I criteri firewall di rete regionali consentono di creare e applicare un criterio firewall coerente in tutte le subnet all'interno di una regione nella rete VPC. Puoi assegnare policy firewall di rete regionali a una rete VPC. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni oppure passare al livello successivo della gerarchia.
Specifiche
- I criteri firewall di rete regionali sono per lo più simili a quelli globali.I criteri firewall di rete regionali hanno una sola regione di destinazione, mentre quelli globali si applicano automaticamente a tutte le regioni.
- I criteri firewall di rete regionali vengono creati a livello di VPC. La creazione di un criterio non applica automaticamente le regole alla rete.
- Una volta create, le policy possono essere applicate a qualsiasi rete VPC del tuo progetto (associata).
- I criteri firewall di rete regionali sono contenitori per le regole firewall. Quando associ una policy alla rete VPC, tutte le regole vengono applicate immediatamente.
- Puoi associare lo stesso criterio firewall di rete regionale a più reti VPC in un progetto.
- I criteri firewall di rete regionali non supportano l'ispezione di livello 7.
- I criteri firewall di rete regionali supportano i tag nelle regole firewall. Per maggiori dettagli, vedi Creare e gestire tag sicuri.
Dettagli del criterio firewall di rete a livello di regione
Le regole dei criteri firewall di rete regionali sono definite in una risorsa di criteri firewall che funge da contenitore per le regole firewall. Le regole definite in una policy firewall di rete regionale non vengono applicate finché la policy non viene associata a una rete VPC.
Una singola policy può essere associata a più reti VPC. Se modifiche una regola in un criterio, la modifica della regola viene applicata a tutte le reti attualmente associate.
In una regione specifica, a una rete può essere associato un solo criterio firewall di rete regionale. Le regole dei criteri firewall di rete globali, le regole firewall VPC e le regole dei criteri firewall di rete regionali vengono valutate in un ordine ben definito.
Una policy firewall non associata ad alcuna rete è una policy firewall di rete regionale non associata.
Dettagli della regola del criterio firewall di rete a livello di regione
I criteri firewall di rete regionali contengono regole che in genere funzionano come le regole dei criteri firewall di rete, ma ci sono alcune differenze:
Applicazione a livello di regione: le regole del criterio firewall di rete regionale sono applicabili solo alla regione in cui viene creato il criterio firewall di rete regionale.
Ordine di priorità:devi specificare le priorità durante la creazione delle regole del criterio firewall di rete regionale. Queste priorità sono univoche e significative solo all'interno di un criterio firewall di rete regionale.
L'ordine di valutazione delle regole è determinato dalla priorità della regola, dal numero più basso al numero più alto. La regola con il valore numerico assegnato più basso ha la priorità logica più elevata e viene valutata prima delle regole con priorità logiche più basse. La priorità di una regola diminuisce man mano che il suo numero aumenta (1, 2, 3, N+1). Non puoi configurare due o più regole con la stessa priorità.
La priorità di ogni regola deve essere impostata su un numero compreso tra 0 e 2147483547 inclusi. La priorità numerica minima è 0. I valori di priorità da 2147483548 (INT-MAX-99) a 2147483647 (INT-MAX) sono riservati alle regole firewall predefinite del sistema.
Ordine di valutazione:i criteri firewall di rete regionali vengono sempre valutati dopo i criteri firewall di rete globali. Per impostazione predefinita, le regole firewall VPC vengono valutate prima dei criteri firewall di rete globali e regionali. Puoi anche personalizzare l'ordine di valutazione delle regole per applicare le policy firewall di rete globali prima o dopo le regole firewall VPC.
Le regole dei criteri firewall di rete regionali includono anche tag sicuri di origine e destinazione.
Regole predefinite
Quando crei una policy firewall di rete regionale, Cloud Next Generation Firewall aggiunge regole predefinite con la priorità più bassa alla policy. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita in modo esplicito nel criterio, facendo sì che queste connessioni vengano trasmesse a criteri o regole di rete di livello inferiore.
Per scoprire i vari tipi di regole predefinite e le loro caratteristiche, consulta Regole predefinite.
i ruoli IAM (Identity and Access Management)
Per informazioni dettagliate sui ruoli IAM che regolano le azioni per creare e gestire i criteri firewall di rete regionali, vedi Utilizzare i criteri firewall di rete regionali.