I criteri firewall di rete regionali ti consentono di creare e applicare un criterio firewall coerente in tutte le subnet all'interno di una regione nella tua rete VPC. Puoi assegnare i criteri firewall di rete regionali a una rete VPC. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni oppure passare al livello successivo della gerarchia.
Specifiche
- I criteri firewall di rete regionali sono per lo più simili ai criteri firewall di rete globali.I criteri firewall di rete regionali hanno una sola regione di destinazione, mentre i criteri firewall di rete globali si applicano automaticamente a tutte le regioni.
- I criteri firewall di rete regionali vengono creati a livello di VPC. La creazione di un criterio non applica automaticamente le regole alla rete.
- Una volta create, le policy possono essere applicate (associate) a qualsiasi rete VPC del progetto.
- I criteri firewall di rete regionali sono contenitori per le regole firewall. Quando associ un criterio alla rete VPC, tutte le regole vengono applicate immediatamente.
- Puoi associare lo stesso criterio firewall di rete a livello di regione a più reti VPC in un progetto.
- I criteri firewall di rete regionali non supportano l'ispezione di livello 7.
- I criteri firewall di rete regionali supportano i tag nelle regole del firewall. Per maggiori dettagli, vedi Utilizzare i tag per i firewall.
Dettagli del criterio firewall di rete a livello di regione
Le regole dei criteri firewall di rete a livello di regione sono definite in una risorsa dei criteri firewall che funge da contenitore per le regole del firewall. Le regole definite in un criterio firewall di rete regionale non vengono applicate finché il criterio non viene associato a una rete VPC.
Un singolo criterio può essere associato a più reti VPC. Se modifichi una regola in un criterio, la modifica si applica a tutte le reti attualmente associate.
In una regione specifica, a una rete può essere associato un solo criterio firewall di rete regionale. Le regole dei criteri firewall di rete globali, le regole firewall VPC e le regole dei criteri firewall di rete regionali vengono valutate in un ordine ben definito.
Un criterio firewall che non è associato a nessuna rete è una policy firewall di rete regionale non associata.
Dettagli della regola del criterio firewall di rete a livello di regione
I criteri firewall di rete regionali contengono regole che in genere funzionano come le regole della policy firewall di rete, ma esistono alcune differenze:
Applicazione a livello di regione:le regole del criterio firewall di rete regionale sono applicabili solo alla regione in cui viene creato il criterio.
Ordine di priorità:devi specificare le priorità durante la creazione delle regole del criterio firewall di rete regionale. Queste priorità sono univoche e significative solo all'interno di un criterio firewall di rete a livello di regione.
L'ordine di valutazione delle regole è determinato dalla priorità della regola, dal numero più basso al numero più alto. La regola con il valore numerico assegnato più basso ha la priorità logica più elevata e viene valutata prima delle regole con priorità logiche più basse. La priorità di una regola diminuisce con l'aumentare del suo numero (1, 2, 3, N+1). Non puoi configurare due o più regole con la stessa priorità.
La priorità per ogni regola deve essere impostata su un numero compreso tra 0 e 2147483547 inclusi. La priorità numerica minima è 0. I valori di priorità da 2147483548 (INT-MAX-99) a 2147483647 (INT-MAX) sono riservati alle regole firewall predefinite del sistema.
Ordine di valutazione: i criteri firewall di rete regionali vengono sempre valutati dopo i criteri firewall di rete globali. Per impostazione predefinita, le regole firewall VPC vengono valutate prima dei criteri firewall di rete globali e regionali. Puoi anche personalizzare l'ordine di valutazione delle regole per applicare le policy firewall di rete globale prima o dopo le regole firewall VPC.
Le regole del criterio firewall di rete regionale includono anche i tag di sicurezza di origine e di destinazione.
Regole predefinite
Quando crei un criterio di firewall di rete regionale, Cloud Next Generation Firewall aggiunge al criterio le regole predefinite con la priorità più bassa. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita esplicitamente nel criterio, pertanto vengono trasmesse a criteri o regole di rete di livello inferiore.
Per informazioni sui vari tipi di regole predefinite e sulle relative caratteristiche, consulta Regole predefinite.
i ruoli IAM (Identity and Access Management)
Per informazioni dettagliate sui ruoli IAM che regolano le azioni per creare e gestire i criteri firewall di rete regionali, consulta Utilizzare i criteri firewall di rete regionali.