Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Stratégies de pare-feu de réseau régionales

Les stratégies de pare-feu de réseau régionales vous permettent de créer et d'appliquer une stratégie de pare-feu cohérente sur tous les sous-réseaux d'une région de votre réseau VPC. Vous pouvez attribuer des stratégies de pare-feu de réseau régionales à un réseau VPC. Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions, ou qui vont au niveau suivant de la hiérarchie.

Spécifications

  • Les stratégies de pare-feu réseau régionales sont principalement similaires aux stratégies de pare-feu réseau mondiales. Celles-ci ne comportent qu'une seule région cible, tandis que les stratégies de pare-feu réseau globales s'appliquent automatiquement à toutes les régions.
  • Les stratégies de pare-feu réseau régionales sont créées au niveau du VPC. La création d'une stratégie n'applique pas automatiquement les règles au réseau.
  • Une fois créées, elles peuvent être appliquées (associées) à n'importe quel réseau VPC de votre projet.
  • Les stratégies de pare-feu réseau régionales sont des conteneurs pour les règles de pare-feu. Lorsque vous associez une stratégie au réseau VPC, toutes les règles sont immédiatement appliquées.
  • Vous pouvez associer la même stratégie de pare-feu réseau régionale à plusieurs réseaux VPC d'un projet.
  • Les stratégies de pare-feu réseau régionales sont compatibles avec les tags dans les règles de pare-feu. Pour plus d'informations, consultez la section Utiliser des tags pour les pare-feu.

Détails des stratégies de pare-feu de réseau régionales

Les règles des stratégies de pare-feu réseau régionales sont définies dans une ressource de stratégie de pare-feu qui agit comme un conteneur pour les règles de pare-feu. Les règles définies dans une stratégie de pare-feu réseau régionale ne sont pas appliquées tant que la stratégie n'est pas associée à un réseau VPC.

Une même règle peut être associée à plusieurs réseaux VPC. Si vous modifiez une règle d'une stratégie, cette modification s'applique à tous les réseaux actuellement associés.

Dans une région spécifique, une seule stratégie de pare-feu de réseau régionale peut être associée à un réseau. Les règles des stratégies de pare-feu réseau, les règles de pare-feu VPC et les règles des stratégies de pare-feu réseau régionales sont évaluées dans un ordre bien défini.

Une stratégie de pare-feu qui n'est associée à aucun réseau est une stratégie de pare-feu réseau régionale non associée.

Détails des règles de stratégie de pare-feu de réseau régionales

Les stratégies de pare-feu réseau régionales contiennent des règles qui fonctionnent généralement de la même manière que les règles de stratégie de pare-feu réseau, à quelques différences près, comme suit :

  • Application régionale : les règles des stratégies de pare-feu réseau régionales ne s'appliquent qu'à la région dans laquelle la stratégie de pare-feu réseau régionale est créée.
  • Ordre de priorité : vous devez spécifier les priorités lors de la création des règles des stratégies de pare-feu réseau régionales. Ces priorités doivent être uniques dans la même stratégie de pare-feu réseau régionale. Les priorités ne sont importantes que dans une stratégie de pare-feu réseau régionale. L'ordre d'évaluation des règles est déterminé par la priorité de la règle, du nombre le plus faible au nombre le plus élevé. La règle ayant la valeur numérique la plus basse est attribuée à la priorité logique la plus élevée et est évaluée avant les règles ayant des priorités logiques inférieures. La valeur numérique minimale de priorité est 0. La priorité d'une règle diminue lorsque le numéro qui lui est attribué augmente (1, 2, 3, N+1). Vous ne pouvez pas configurer deux règles (ou plus) ayant la même priorité. La priorité de chaque règle doit être définie sur une valeur numérique comprise entre 0 et 2147483547 (inclus). Les valeurs de priorité comprises entre 2147483548 (INT-MAX-99) et 2147483647 (INT-MAX) sont conservées pour les règles de pare-feu par défaut du système.
  • Ordre d'évaluation : les stratégies de pare-feu réseau régionales sont toujours évaluées après les stratégies de pare-feu réseau globales. Par défaut, les règles de pare-feu VPC sont évaluées avant les stratégies de pare-feu réseau mondiales et régionales. Vous pouvez également personnaliser l'ordre d'évaluation et spécifier si les règles de pare-feu réseau doivent être évaluées avant ou après les règles de pare-feu VPC.

Les règles des stratégies de pare-feu réseau régionales incluent également les tags sécurisés sources et cibles.

Règles prédéfinies

Toutes les stratégies de pare-feu réseau régionales disposent de deux règles goto_next prédéfinies avec la priorité la plus basse. Ces règles sont appliquées à toutes les connexions qui ne correspondent pas à une règle définie explicitement dans la stratégie, ce qui entraîne leur transmission à des règles de niveau inférieur ou à des règles de réseau.

Ces règles sont identiques aux règles des stratégies de pare-feu hiérarchiques. Pour plus de détails sur les règles prédéfinies, consultez la section Règles prédéfinies.

Rôles IAM (Identity and Access Management)

Pour en savoir plus sur les rôles IAM qui régissent les actions de création et de gestion des stratégies de pare-feu réseau régionales, consultez la page Utiliser des stratégies de pare-feu réseau régionales.