Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
As políticas regionais de firewall permitem criar e aplicar uma política de firewall consistente
em todas as sub-redes em uma região na sua
rede VPC. É possível atribuir políticas de firewall regionais a uma rede VPC. Essas políticas contêm regras que podem negar ou permitir conexões explicitamente ou ir para o próximo nível da hierarquia.
Especificações
As políticas de firewall regionais são semelhantes às políticas de firewall de rede
globais. As políticas de firewall regionais têm uma e apenas uma região de destino,
enquanto as políticas de firewall de rede globais são aplicadas automaticamente a todas
as regiões.
As políticas de firewall regionais são criadas no nível da VPC.
Criar uma política não aplica automaticamente as regras à rede.
Depois de criadas, as políticas podem ser aplicadas a (associadas a) qualquer
rede VPC no projeto.
As políticas de firewall de rede regionais são contêineres para regras de firewall. Quando você associa uma política à rede VPC, todas as regras são aplicadas imediatamente.
É possível associar a mesma política de firewall regional a várias
redes VPC em um projeto.
As políticas de firewall da rede regional não oferecem suporte à inspeção da camada 7.
As políticas de firewall regionais são compatíveis com tags em regras de firewall. Para mais detalhes, consulte Criar e gerenciar tags seguras.
É possível criar políticas de firewall de rede regionais com um tipo de política de firewall
definido como RDMA_ROCE_POLICY para usá-las com redes VPC
RoCE. Para mais informações, consulte
Cloud Next Generation Firewall para redes VPC RoCE.
Detalhes da política de firewall da rede regional
As regras da política de firewall regional são definidas em um recurso de política de firewall que atua como contêiner para regras de firewall. As regras definidas em uma política
de firewall regional não são aplicadas até que a política seja associada a uma
rede VPC.
Uma única política pode ser associada a várias redes VPC. Se você modificar uma regra em uma política, a mudança será aplicada a todas as redes associadas.
Em uma região específica, apenas uma política de firewall de rede regional pode ser associada a uma rede. As regras de política de firewall de rede globais, regras de firewall de VPC e regras de política de firewall de rede regionais são avaliadas em uma ordem bem definida.
Uma política de firewall não associada a nenhuma rede é uma política de firewall regional
não associada.
Detalhes da regra da política de firewall da rede regional
As políticas de firewall da rede regional contêm regras que geralmente funcionam da mesma forma que as regras da política de firewall de rede, mas há algumas diferenças:
Restrição regional: as regras da política de firewall regional
são aplicáveis apenas à região em que a política de firewall de rede
regional é criada.
Ordem de prioridade: é preciso especificar prioridades ao criar as regras da política de firewall da rede regional. Essas prioridades são únicas e significativas apenas em uma política de firewall de rede regional.
A ordem de avaliação da regra é determinada pela prioridade da regra, do menor número para o maior. A regra
com o menor valor numérico atribuído tem a maior prioridade lógica e é
avaliada antes das regras com prioridades lógicas mais baixas. A prioridade de uma regra diminui à medida que o número dela
aumenta (1, 2, 3, N+1). Não é possível configurar duas ou mais regras com a mesma
prioridade.
A prioridade de cada regra precisa ser definida como um número entre 0 e
2.147.483.547, incluindo ambos. A prioridade numérica mínima é 0.
Os valores de prioridade de 2.147.483.548 (INT-MAX-99) a 2.147.483.647 (INT-MAX) são reservados para regras de firewall padrão do sistema.
Ordem de avaliação: as políticas de firewall regionais são sempre avaliadas
após as políticas de firewall de rede globais. Por padrão, as regras de firewall da VPC são
avaliadas antes das políticas de firewall de rede global e regional. Também é possível personalizar a ordem de avaliação de regras para aplicar as políticas de firewall da rede global antes ou depois das regras de firewall da VPC.
As regras da política de firewall regional também incluem tags seguras de origem e de destino.
Regras predefinidas
Quando você cria uma política de firewall de rede regional, o Cloud Firewall adiciona à política regras predefinidas com a menor prioridade. Essas regras são aplicadas a todas as conexões que não correspondem a uma regra definida explicitamente na política, fazendo com que essas conexões sejam transmitidas para políticas de nível inferior ou regras de rede.
Para saber mais sobre os vários tipos de regras predefinidas e as características delas, consulte Regras predefinidas.
papéis do Identity and Access Management (IAM)
Para ver detalhes sobre os papéis do IAM que regem as ações para criar e gerenciar
políticas de firewall regionais, consulte Usar políticas de firewall regionais.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-14 UTC."],[[["\u003cp\u003eRegional network firewall policies enforce consistent firewall rules across all subnetworks within a specific region in a VPC network.\u003c/p\u003e\n"],["\u003cp\u003eThese policies are containers for firewall rules, which are not enforced until the policy is associated with a VPC network.\u003c/p\u003e\n"],["\u003cp\u003eA single regional network firewall policy can be associated with multiple VPC networks, and changes to the rules within the policy will apply to all associated networks.\u003c/p\u003e\n"],["\u003cp\u003eRegional network firewall rules are unique to the region they're created in and their evaluation order is based on priority, with lower numbers indicating higher priority, and they are always evaluated after global network policies.\u003c/p\u003e\n"],["\u003cp\u003eRegional network firewall policies do not support Layer 7 inspection, but they do support Tags in firewall rules, and include predefined rules that handle connections that don't match explicitly defined rules.\u003c/p\u003e\n"]]],[],null,["# Regional network firewall policies\n\n*Regional network firewall policies* let you create and enforce a consistent\nfirewall policy across all subnetworks within a region in your\nVPC network. You can assign regional\nnetwork firewall policies to a VPC network. These policies\ncontain rules that can explicitly deny or allow connections, or go to the next\nlevel of the hierarchy.\n\nSpecifications\n--------------\n\n- Regional network firewall policies are mostly similar to the global network firewall policies.The regional network firewall policies have one and only one target region, while the global network firewall policies apply automatically to all regions.\n- Regional network firewall policies are created at the VPC level. Creating a policy does not automatically apply the rules to the network.\n- Policies, once created, can be applied to (*associated* with) any VPC network in your project.\n- Regional network firewall policies are containers for firewall rules. When you associate a policy with the VPC network, all rules are immediately applied.\n- You can *associate* the same regional network firewall policy to multiple VPC networks in a project.\n- Regional network firewall policies do not support Layer 7 inspection.\n- Regional network firewall policies support Tags in firewall rules. For more details, see [Create and manage secure tags](/firewall/docs/use-tags-for-firewalls).\n- You can create regional network firewall policies with a firewall policy type set to `RDMA_ROCE_POLICY` so that you can use them with RoCE VPC networks. For more information, see [Cloud Next Generation Firewall for RoCE VPC networks](/firewall/docs/firewall-for-roce).\n\nRegional network firewall policy details\n----------------------------------------\n\nRegional network firewall policy rules are defined in a firewall policy resource\nthat acts as a container for firewall rules. The rules defined in a regional\nnetwork firewall policy are not enforced until the policy is associated with a\nVPC network.\n\nA single policy can be associated with multiple VPC networks. If\nyou modify a rule in a policy, that rule change applies to all\nassociated networks.\n\nIn a specific region, only one regional network firewall policy can be\nassociated with a network. Global network firewall policy rules,\nVPC firewall rules, and regional network firewall policy rules\nare [evaluated in a well-defined order](/firewall/docs/firewall-policies-overview#rule-evaluation).\n\nA firewall policy that is not associated with any networks is an *unassociated*\nregional network firewall policy.\n\nRegional network firewall policy rule details\n---------------------------------------------\n\nRegional network firewall policies contain rules that generally work the same as\n[network firewall policy rules](/firewall/docs/network-firewall-policies), but there\nare a few differences:\n\n- **Regional enforcement:** The regional network firewall policy rules\n are only applicable to the region where the regional network firewall\n policy is created.\n\n- **Priority order:** You must specify priorities while creating the\n regional network firewall policy rules. These priorities are unique and only significant within\n a regional network firewall policy.\n\n Rule evaluation order is determined by the rule priority, from the lowest\n number to the highest number. The rule\n with the lowest numeric value assigned has the highest logical priority and\n is evaluated before rules with lower logical priorities. The priority of a\n rule decreases as its number\n increases (1, 2, 3, N+1). You cannot configure two or more rules with the\n same priority.\n\n The priority for each rule must be set to a number from 0 to\n 2147483547 inclusive. The minimum numeric priority is 0.\n The priority values from 2147483548 (INT-MAX-99) to\n 2147483647 (INT-MAX) are reserved for system default firewall rules.\n- **Evaluation order:** Regional network firewall policies are always evaluated\n after global network firewall policies. By default, VPC\n firewall rules are\n evaluated before global and regional network firewall policies. You can\n also customize the rule evaluation order to enforce the global network\n firewall policies before or after the VPC firewall rules.\n\nThe regional network firewall policy rules also include source and target\nsecure tags.\n\nPredefined rules\n----------------\n\nWhen you create a regional network firewall policy, Cloud Next Generation Firewall adds\npredefined rules with the lowest priority to the policy. These rules are applied\nto any connections that don't match an explicitly defined rule in the policy,\ncausing such connections to be passed down to lower-level policies or network rules.\n\nTo learn about the various types of predefined\nrules and their characteristics, see [Predefined rules](/firewall/docs/firewall-policies-overview#pre-defined-rules).\n\nIdentity and Access Management (IAM) roles\n------------------------------------------\n\nFor details about IAM roles that govern the actions to create and manage\nregional network firewall policies, see [Use regional network firewall policies](/firewall/docs/use-regional-firewall-policies)."]]
