Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Les stratégies de pare-feu de réseau régionales vous permettent de créer et d'appliquer une stratégie de pare-feu cohérente sur tous les sous-réseaux d'une région de votre réseau VPC. Vous pouvez attribuer des stratégies de pare-feu de réseau régionales à un réseau VPC. Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions, ou qui vont au niveau suivant de la hiérarchie.
Spécifications
Les stratégies de pare-feu réseau régionales sont principalement similaires aux stratégies de pare-feu réseau mondiales. Celles-ci ne comportent qu'une seule région cible, tandis que les stratégies de pare-feu réseau globales s'appliquent automatiquement à toutes les régions.
Les stratégies de pare-feu réseau régionales sont créées au niveau du VPC.
La création d'une stratégie n'applique pas automatiquement les règles au réseau.
Une fois créées, elles peuvent être appliquées (associées) à n'importe quel réseau VPC de votre projet.
Les stratégies de pare-feu réseau régionales sont des conteneurs pour les règles de pare-feu. Lorsque vous associez une stratégie au réseau VPC, toutes les règles sont immédiatement appliquées.
Vous pouvez associer la même stratégie de pare-feu réseau régionale à plusieurs réseaux VPC d'un projet.
Les stratégies de pare-feu réseau régionales ne sont pas compatibles avec l'inspection de couche 7.
Les stratégies de pare-feu réseau régionales sont compatibles avec les tags dans les règles de pare-feu. Pour en savoir plus, consultez Créer et gérer des tags sécurisés.
Vous pouvez créer des stratégies de pare-feu de réseau régionales avec un type de stratégie de pare-feu défini sur RDMA_ROCE_POLICY afin de pouvoir les utiliser avec les réseaux VPC RoCE. Pour en savoir plus, consultez Pare-feu Cloud nouvelle génération pour les réseaux VPC RoCE.
Détails des stratégies de pare-feu de réseau régionales
Les règles des stratégies de pare-feu réseau régionales sont définies dans une ressource de stratégie de pare-feu qui agit comme un conteneur pour les règles de pare-feu. Les règles définies dans une stratégie de pare-feu réseau régionale ne sont pas appliquées tant que la stratégie n'est pas associée à un réseau VPC.
Une même règle peut être associée à plusieurs réseaux VPC. Si vous modifiez une règle d'une stratégie, cette modification s'applique à tous les réseaux associés.
Dans une région spécifique, une seule stratégie de pare-feu réseau régionale peut être associée à un réseau. Les règles des stratégies de pare-feu réseau mondiales, les règles de pare-feu VPC et les règles des stratégies de pare-feu réseau régionales sont évaluées dans un ordre bien défini.
Une stratégie de pare-feu qui n'est associée à aucun réseau est une stratégie de pare-feu réseau régionale non associée.
Détails des règles de stratégie de pare-feu de réseau régionales
Les stratégies de pare-feu réseau régionales contiennent des règles qui fonctionnent généralement de la même manière que les règles de stratégie de pare-feu réseau, à quelques différences près, comme suit :
Application régionale : les règles des stratégies de pare-feu réseau régionales ne s'appliquent qu'à la région dans laquelle la stratégie de pare-feu réseau régionale est créée.
Ordre de priorité : vous devez spécifier des priorités lors de la création des règles des stratégies de pare-feu réseau régionales. Ces priorités sont uniques et ne sont importantes que dans une stratégie de pare-feu réseau régionale.
L'ordre d'évaluation des règles est déterminé par la priorité de la règle, du nombre le plus faible au nombre le plus élevé. La règle ayant la valeur numérique la plus basse est attribuée à la priorité logique la plus élevée et est évaluée avant les règles ayant des priorités logiques inférieures. La priorité d'une règle diminue lorsque le numéro qui lui est attribué augmente (1, 2, 3, N+1). Vous ne pouvez pas configurer deux règles (ou plus) ayant la même priorité.
La priorité de chaque règle doit être définie sur une valeur numérique comprise entre 0 et 2147483547 (inclus). La valeur numérique minimale de priorité est 0.
Les valeurs de priorité comprises entre 2147483548 (INT-MAX-99) et 2147483647 (INT-MAX) sont réservées pour les règles de pare-feu par défaut du système.
Ordre d'évaluation : les stratégies de pare-feu réseau régionales sont toujours évaluées après les stratégies de pare-feu réseau globales. Par défaut, les règles de pare-feu VPC sont évaluées avant les stratégies de pare-feu réseau globales et régionales. Vous pouvez également personnaliser l'ordre d'évaluation des règles pour appliquer les stratégies de pare-feu réseau globales avant ou après les règles de pare-feu VPC.
Les règles des stratégies de pare-feu réseau régionales incluent également les tags sécurisés sources et cibles.
Règles prédéfinies
Lorsque vous créez une stratégie de pare-feu de réseau régionale, Cloud Next Generation Firewall ajoute des règles prédéfinies avec la priorité la plus basse à la stratégie. Ces règles sont appliquées à toutes les connexions qui ne correspondent pas à une règle définie explicitement dans la stratégie, ce qui entraîne leur transmission à des stratégies de niveau inférieur ou à des règles de réseau.
Pour en savoir plus sur les différents types de règles prédéfinies et leurs caractéristiques, consultez la section Règles prédéfinies.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/14 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/08/14 (UTC)."],[[["\u003cp\u003eRegional network firewall policies enforce consistent firewall rules across all subnetworks within a specific region in a VPC network.\u003c/p\u003e\n"],["\u003cp\u003eThese policies are containers for firewall rules, which are not enforced until the policy is associated with a VPC network.\u003c/p\u003e\n"],["\u003cp\u003eA single regional network firewall policy can be associated with multiple VPC networks, and changes to the rules within the policy will apply to all associated networks.\u003c/p\u003e\n"],["\u003cp\u003eRegional network firewall rules are unique to the region they're created in and their evaluation order is based on priority, with lower numbers indicating higher priority, and they are always evaluated after global network policies.\u003c/p\u003e\n"],["\u003cp\u003eRegional network firewall policies do not support Layer 7 inspection, but they do support Tags in firewall rules, and include predefined rules that handle connections that don't match explicitly defined rules.\u003c/p\u003e\n"]]],[],null,["# Regional network firewall policies\n\n*Regional network firewall policies* let you create and enforce a consistent\nfirewall policy across all subnetworks within a region in your\nVPC network. You can assign regional\nnetwork firewall policies to a VPC network. These policies\ncontain rules that can explicitly deny or allow connections, or go to the next\nlevel of the hierarchy.\n\nSpecifications\n--------------\n\n- Regional network firewall policies are mostly similar to the global network firewall policies.The regional network firewall policies have one and only one target region, while the global network firewall policies apply automatically to all regions.\n- Regional network firewall policies are created at the VPC level. Creating a policy does not automatically apply the rules to the network.\n- Policies, once created, can be applied to (*associated* with) any VPC network in your project.\n- Regional network firewall policies are containers for firewall rules. When you associate a policy with the VPC network, all rules are immediately applied.\n- You can *associate* the same regional network firewall policy to multiple VPC networks in a project.\n- Regional network firewall policies do not support Layer 7 inspection.\n- Regional network firewall policies support Tags in firewall rules. For more details, see [Create and manage secure tags](/firewall/docs/use-tags-for-firewalls).\n- You can create regional network firewall policies with a firewall policy type set to `RDMA_ROCE_POLICY` so that you can use them with RoCE VPC networks. For more information, see [Cloud Next Generation Firewall for RoCE VPC networks](/firewall/docs/firewall-for-roce).\n\nRegional network firewall policy details\n----------------------------------------\n\nRegional network firewall policy rules are defined in a firewall policy resource\nthat acts as a container for firewall rules. The rules defined in a regional\nnetwork firewall policy are not enforced until the policy is associated with a\nVPC network.\n\nA single policy can be associated with multiple VPC networks. If\nyou modify a rule in a policy, that rule change applies to all\nassociated networks.\n\nIn a specific region, only one regional network firewall policy can be\nassociated with a network. Global network firewall policy rules,\nVPC firewall rules, and regional network firewall policy rules\nare [evaluated in a well-defined order](/firewall/docs/firewall-policies-overview#rule-evaluation).\n\nA firewall policy that is not associated with any networks is an *unassociated*\nregional network firewall policy.\n\nRegional network firewall policy rule details\n---------------------------------------------\n\nRegional network firewall policies contain rules that generally work the same as\n[network firewall policy rules](/firewall/docs/network-firewall-policies), but there\nare a few differences:\n\n- **Regional enforcement:** The regional network firewall policy rules\n are only applicable to the region where the regional network firewall\n policy is created.\n\n- **Priority order:** You must specify priorities while creating the\n regional network firewall policy rules. These priorities are unique and only significant within\n a regional network firewall policy.\n\n Rule evaluation order is determined by the rule priority, from the lowest\n number to the highest number. The rule\n with the lowest numeric value assigned has the highest logical priority and\n is evaluated before rules with lower logical priorities. The priority of a\n rule decreases as its number\n increases (1, 2, 3, N+1). You cannot configure two or more rules with the\n same priority.\n\n The priority for each rule must be set to a number from 0 to\n 2147483547 inclusive. The minimum numeric priority is 0.\n The priority values from 2147483548 (INT-MAX-99) to\n 2147483647 (INT-MAX) are reserved for system default firewall rules.\n- **Evaluation order:** Regional network firewall policies are always evaluated\n after global network firewall policies. By default, VPC\n firewall rules are\n evaluated before global and regional network firewall policies. You can\n also customize the rule evaluation order to enforce the global network\n firewall policies before or after the VPC firewall rules.\n\nThe regional network firewall policy rules also include source and target\nsecure tags.\n\nPredefined rules\n----------------\n\nWhen you create a regional network firewall policy, Cloud Next Generation Firewall adds\npredefined rules with the lowest priority to the policy. These rules are applied\nto any connections that don't match an explicitly defined rule in the policy,\ncausing such connections to be passed down to lower-level policies or network rules.\n\nTo learn about the various types of predefined\nrules and their characteristics, see [Predefined rules](/firewall/docs/firewall-policies-overview#pre-defined-rules).\n\nIdentity and Access Management (IAM) roles\n------------------------------------------\n\nFor details about IAM roles that govern the actions to create and manage\nregional network firewall policies, see [Use regional network firewall policies](/firewall/docs/use-regional-firewall-policies)."]]
