区域级网络防火墙政策
区域级网络防火墙政策可让您在 VPC 网络的一个区域中的所有子网之间创建和实施一致的防火墙政策。您可以将区域级网络防火墙政策分配给 VPC 网络。这些政策包含可以明确拒绝或允许连接或转到层次结构的下一级层的规则。
规格
- 区域级网络防火墙政策与全球网络防火墙政策大致类似。区域级网络防火墙政策有且只有一个目标区域,而全球网络防火墙政策会自动应用于所有区域。
- 区域级网络防火墙政策在 VPC 级层创建。创建政策不会自动将规则应用于网络。
- 政策在创建后可以应用于(关联)项目中的任何 VPC 网络。
- 区域级网络防火墙政策是防火墙规则的容器。在您将政策与 VPC 网络关联后,系统会立即应用所有规则。
- 您可以将同一区域级网络防火墙政策关联到项目中的多个 VPC 网络。
- 区域级网络防火墙政策支持防火墙规则中的标记。如需了解详情,请参阅使用防火墙标记
区域级网络防火墙政策详细信息
区域级网络防火墙政策规则在防火墙规则资源中定义,该资源充当防火墙规则的容器。在区域级网络防火墙政策与 VPC 网络关联之前,系统不会强制执行该政策中定义的规则。
一个政策可以与多个 VPC 网络关联。如果您修改政策中的规则,则该规则更改将应用于当前关联的所有网络。
在特定区域中,只有一个区域网络防火墙政策可以与一个网络关联。网络防火墙政策规则、VPC 防火墙规则和区域级网络防火墙政策规则按照明确定义的顺序进行评估。
未与任何网络关联的防火墙政策是未关联的区域级网络防火墙政策。
区域级网络防火墙政策规则详细信息
区域级网络防火墙政策包含的规则通常与网络防火墙政策规则相同,但存在一些区别:
区域级强制执行:区域级网络防火墙政策规则仅适用于在其中创建区域级网络防火墙政策的区域。
优先级顺序:您必须在创建区域级网络防火墙政策规则时指定优先级。这些优先级是唯一的,仅在区域级网络防火墙政策中非常重要。
规则评估顺序取决于规则优先级,从最低数字到最高数字。分配了最低数值的规则具有最高逻辑优先级,并且在具有较低逻辑优先级的规则之前进行评估。规则的优先级随其数字的增加而降低(1、2、3、N+1)。您不能配置两条或更多具有相同优先级的规则。
每条规则的优先级必须设置为 0 到 2147483547(含)之间的数字。最小数字优先级为 0。 会为系统默认防火墙规则保留优先级值 2147483548 (INT-MAX-99) 到 2147483647 (INT-MAX)。
评估顺序:区域级网络防火墙政策始终在全球网络防火墙政策之后评估。默认情况下,VPC 防火墙规则始终在全球和区域级网络防火墙政策之前评估。您也可以自定义规则评估顺序,以在 VPC 防火墙规则之前或之后强制执行全球网络防火墙政策。
区域级网络防火墙政策规则还包括来源安全标记和目标安全标记。
预定义规则
所有区域级网络防火墙政策都有四个具有最低优先级的预定义 goto_next
规则。这些规则适用于任何与政策中明确定义的规则不匹配的连接,导致此类连接传递到较低级层的政策或网络规则。
这些规则与分层防火墙政策规则相同。如需详细了解预定义规则,请参阅预定义规则。
Identity and Access Management (IAM) 角色
如需详细了解用于控制创建和管理区域级网络防火墙政策的操作的 IAM 角色,请参阅使用区域级网络防火墙政策。