Ordre d'évaluation des stratégies et règles de pare-feu

Chaque réseau cloud privé virtuel (VPC) standard possède un ordre d'application des stratégies de pare-feu réseau qui détermine l'ordre dans lequel Cloud NGFW évalue les règles de stratégie de pare-feu.

Ordre d'application des règles de stratégie de pare-feu réseau

Un réseau VPC peut utiliser l'un des ordres d'application de stratégie de pare-feu réseau suivants :

  • AFTER_CLASSIC_FIREWALL (par défaut) : Cloud NGFW évalue les stratégies et les règles de pare-feu dans l'ordre suivant :

    1. Stratégies de pare-feu hiérarchiques
    2. Stratégies de pare-feu système régionales
    3. Règles de pare-feu VPC
    4. Stratégies de pare-feu réseau mondiales
    5. Règles de pare-feu réseau régionales
    6. Actions implicites

  • BEFORE_CLASSIC_FIREWALL : Cloud NGFW évalue les règles et stratégies de pare-feu dans l'ordre suivant :

    1. Stratégies de pare-feu hiérarchiques
    2. Stratégies de pare-feu système régionales
    3. Stratégies de pare-feu réseau mondiales
    4. Règles de pare-feu réseau régionales
    5. Règles de pare-feu VPC
    6. Actions implicites

Pour modifier l'ordre d'application des stratégies de pare-feu réseau, procédez de l'une des manières suivantes :

  • Utilisez la méthode networks.patch et définissez l'attribut networkFirewallPolicyEnforcementOrder du réseau VPC.

  • Exécutez la commande gcloud compute networks update avec l'option --network-firewall-policy-enforcement-order.

    Exemple :

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Processus d'évaluation des règles de pare-feu

Cette section décrit l'ordre dans lequel Cloud NGFW évalue les règles qui s'appliquent aux ressources cibles dans les réseaux VPC standards.

Chaque règle de pare-feu est une règle d'entrée ou de sortie, en fonction de la direction du trafic :

  • Les règles d'entrée s'appliquent aux paquets pour une nouvelle connexion qu'une ressource cible reçoit. Voici les ressources cibles acceptées pour les règles d'entrée :

    • Interfaces réseau des instances de machines virtuelles (VM).

    • Proxies Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes (aperçu).

  • Les règles de sortie s'appliquent aux paquets pour une nouvelle connexion qu'une interface réseau de VM cible envoie.

Cloud NGFW évalue toujours les règles des stratégies de pare-feu hiérarchiques et des stratégies de pare-feu système régionales avant d'évaluer toute autre règle de pare-feu. Vous contrôlez l'ordre dans lequel Cloud NGFW évalue les autres règles de pare-feu en choisissant un ordre d'application des stratégies de pare-feu de réseau. L'ordre d'application des stratégies de pare-feu de réseau peut être AFTER_CLASSIC_FIREWALL ou BEFORE_CLASSIC_FIREWALL.

AFTER_CLASSIC_FIREWALL Ordre d'application de la stratégie de pare-feu de réseau

Lorsque l'ordre d'application des stratégies de pare-feu de réseau est défini sur AFTER_CLASSIC_FIREWALL, Cloud NGFW évalue les règles des stratégies de pare-feu de réseau mondiales et régionales après avoir évalué les règles de pare-feu VPC. Il s'agit de l'ordre d'évaluation par défaut.

Dans un réseau VPC standard qui utilise l'ordre d'application AFTER_CLASSIC_FIREWALL, l'ordre d'évaluation complet des règles de pare-feu est le suivant :

  1. Stratégies de pare-feu hiérarchiques

    Cloud NGFW évalue les stratégies de pare-feu hiérarchiques dans l'ordre suivant :

    1. Stratégie de pare-feu hiérarchique associée à l'organisation contenant la ressource cible.
    2. Stratégies de pare-feu hiérarchiques associées aux ancêtres de dossier, du dossier de premier niveau au dossier contenant le projet de la ressource cible.

    Lors de l'évaluation des règles dans chaque stratégie de pare-feu hiérarchique, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ne tenez pas compte de toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu hiérarchique, au maximum une règle peut correspondre au trafic. L'action de la règle de pare-feu en cas de correspondance peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • apply_security_profile_group : la règle transfère le trafic vers un point de terminaison de pare-feu configuré, et toute évaluation de règle s'arrête. La décision d'autoriser ou de supprimer le paquet dépend du profil de sécurité configuré du groupe de profils de sécurité.
    • goto_next : l'évaluation de la règle se poursuit avec l'une des options suivantes :
      • Une stratégie de pare-feu hiérarchique associée à un ancêtre de dossier plus proche de la ressource cible, le cas échéant.
      • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu hiérarchiques ont été évaluées.

    Si aucune règle d'une stratégie de pare-feu hiérarchique ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation jusqu'à l'un des éléments suivants :

    • Une stratégie de pare-feu hiérarchique associée à un ancêtre de dossier plus proche de la ressource cible, le cas échéant.
    • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu hiérarchiques ont été évaluées.

  2. Stratégies de pare-feu système régionales

    Lors de l'évaluation des règles de stratégie de pare-feu système régionales, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ne tenez pas compte de toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu système régionale, au maximum une règle peut correspondre au trafic. L'action de la règle de pare-feu en cas de correspondance peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • goto_next : l'évaluation de la règle se poursuit.
      • Une stratégie de pare-feu système régionale avec la priorité d'association la plus élevée suivante, si elle existe.
      • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu système régionales ont été évaluées.

    Si aucune règle d'une stratégie de pare-feu système régionale ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation jusqu'à l'un des éléments suivants :

    • Une stratégie de pare-feu système régionale avec la priorité d'association la plus élevée suivante, si elle existe.
    • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu système régionales ont été évaluées.

  3. Règles de pare-feu VPC.

    Lors de l'évaluation des règles de pare-feu VPC, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ne tenez pas compte de toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Lorsqu'une ou deux règles de pare-feu VPC correspondent au trafic, l'action en cas de correspondance de la règle de pare-feu peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.

    Si deux règles correspondent, elles doivent avoir la même priorité, mais des actions différentes. Dans ce cas, Cloud NGFW applique la règle de pare-feu VPC deny et ignore la règle de pare-feu VPC allow.

    Si aucune règle de pare-feu VPC ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite pour passer à l'étape suivante de l'ordre d'évaluation.

  4. Stratégie de pare-feu de réseau au niveau mondial

    Lors de l'évaluation des règles d'une stratégie de pare-feu de réseau globale, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ne tenez pas compte de toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu de réseau au niveau mondial, au maximum une règle peut correspondre au trafic. L'action de la règle de pare-feu en cas de correspondance peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • apply_security_profile_group : la règle transfère le trafic vers un point de terminaison de pare-feu configuré, et toute évaluation de règle s'arrête. La décision d'autoriser ou de supprimer le paquet dépend du profil de sécurité configuré du groupe de profils de sécurité.
    • goto_next : l'évaluation des règles se poursuit à l'étape de la stratégie de pare-feu réseau régionale dans l'ordre d'évaluation.

    Si aucune règle d'une stratégie de pare-feu réseau mondiale ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation à l'étape de la stratégie de pare-feu de réseau régionale dans l'ordre d'évaluation.

  5. Stratégies de pare-feu de réseau régionales

    Cloud NGFW évalue les règles des stratégies de pare-feu de réseau régionales associées à la région et au réseau VPC de la ressource cible.

    Lors de l'évaluation des règles d'une stratégie de pare-feu de réseau régionale, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ne tenez pas compte de toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu de réseau régionale, au maximum une règle peut correspondre au trafic. L'action de la règle de pare-feu en cas de correspondance peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • goto_next : l'évaluation de la règle passe à l'étape suivante de l'ordre d'évaluation.

    Si aucune règle d'une stratégie de pare-feu de réseau régionale ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action permet de passer à l'étape suivante de l'évaluation.

  6. Dernière étape : action implicite

    Cloud NGFW applique une action implicite si l'évaluation des règles de pare-feu s'est poursuivie à chaque étape précédente en suivant des actions goto_next explicites ou implicites. L'action implicite dépend du sens du trafic :

    • Pour le trafic entrant, l'action implicite dépend également de la ressource cible :

      • Si la ressource cible est une interface réseau d'une instance de VM, l'action d'entrée implicite est deny.

      • Si la ressource cible est une règle de transfert d'un équilibreur de charge d'application interne ou d'un équilibreur de charge réseau proxy interne, l'action d'entrée implicite est allow.

    • Pour le trafic de sortie, l'action implicite est allow.

Diagramme AFTER_CLASSIC_FIREWALL

Le diagramme suivant illustre l'ordre d'application des règles de pare-feu réseau AFTER_CLASSIC_FIREWALL :

Flux de résolution des règles de pare-feu.
Figure 1. Flux de résolution des règles de pare-feu si l'ordre d'application des stratégies de pare-feu réseau est AFTER_CLASSIC_FIREWALL (cliquez pour agrandir).

BEFORE_CLASSIC_FIREWALL Ordre d'application de la stratégie de pare-feu de réseau

Lorsque l'ordre d'application des stratégies de pare-feu de réseau est défini sur BEFORE_CLASSIC_FIREWALL, Cloud NGFW évalue les règles des stratégies de pare-feu de réseau mondiales et régionales avant d'évaluer les règles de pare-feu VPC.

Dans un réseau VPC standard qui utilise l'ordre d'application BEFORE_CLASSIC_FIREWALL, l'ordre d'évaluation complet des règles de pare-feu est le suivant :

  1. Stratégies de pare-feu hiérarchiques

    Cloud NGFW évalue les stratégies de pare-feu hiérarchiques dans l'ordre suivant :

    1. Stratégie de pare-feu hiérarchique associée à l'organisation contenant la ressource cible.
    2. Stratégies de pare-feu hiérarchiques associées aux ancêtres de dossier, du dossier de premier niveau au dossier contenant le projet de la ressource cible.

    Lors de l'évaluation des règles dans chaque stratégie de pare-feu hiérarchique, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ne tenez pas compte de toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu hiérarchique, au maximum une règle peut correspondre au trafic. L'action de la règle de pare-feu en cas de correspondance peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • apply_security_profile_group : la règle transfère le trafic vers un point de terminaison de pare-feu configuré, et toute évaluation de règle s'arrête. La décision d'autoriser ou de supprimer le paquet dépend du profil de sécurité configuré du groupe de profils de sécurité.
    • goto_next : l'évaluation de la règle se poursuit avec l'une des options suivantes :
      • Une stratégie de pare-feu hiérarchique associée à un ancêtre de dossier plus proche de la ressource cible, le cas échéant.
      • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu hiérarchiques ont été évaluées.

    Si aucune règle d'une stratégie de pare-feu hiérarchique ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation jusqu'à l'un des éléments suivants :

    • Une stratégie de pare-feu hiérarchique associée à un ancêtre de dossier plus proche de la ressource cible, le cas échéant.
    • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu hiérarchiques ont été évaluées.

  2. Stratégies de pare-feu système régionales

    Lors de l'évaluation des règles de stratégie de pare-feu système régionales, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ne tenez pas compte de toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu système régionale, au maximum une règle peut correspondre au trafic. L'action de la règle de pare-feu en cas de correspondance peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • goto_next : l'évaluation de la règle se poursuit.
      • Une stratégie de pare-feu système régionale avec la priorité d'association la plus élevée suivante, si elle existe.
      • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu système régionales ont été évaluées.

    Si aucune règle d'une stratégie de pare-feu système régionale ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation jusqu'à l'un des éléments suivants :

    • Une stratégie de pare-feu système régionale avec la priorité d'association la plus élevée suivante, si elle existe.
    • Étape suivante dans l'ordre d'évaluation, si toutes les stratégies de pare-feu système régionales ont été évaluées.

  3. Stratégie de pare-feu de réseau au niveau mondial

    Lors de l'évaluation des règles d'une stratégie de pare-feu de réseau globale, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ne tenez pas compte de toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu de réseau au niveau mondial, une seule règle au maximum peut correspondre au trafic. L'action de la règle de pare-feu en cas de correspondance peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • apply_security_profile_group : la règle transfère le trafic vers un point de terminaison de pare-feu configuré, et toute évaluation de règle s'arrête. La décision d'autoriser ou de supprimer le paquet dépend du profil de sécurité configuré du groupe de profils de sécurité.
    • goto_next : l'évaluation des règles se poursuit à l'étape de la stratégie de pare-feu réseau régionale dans l'ordre d'évaluation.

    Si aucune règle d'une stratégie de pare-feu réseau mondiale ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action poursuit l'évaluation à l'étape de la stratégie de pare-feu de réseau régionale dans l'ordre d'évaluation.

  4. Stratégies de pare-feu de réseau régionales

    Cloud NGFW évalue les règles des stratégies de pare-feu de réseau régionales associées à la région et au réseau VPC de la ressource cible.

    Lors de l'évaluation des règles d'une stratégie de pare-feu de réseau régionale, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ne tenez pas compte de toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Dans une stratégie de pare-feu de réseau régionale, au maximum une règle peut correspondre au trafic. L'action de la règle de pare-feu en cas de correspondance peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.
    • goto_next : l'évaluation de la règle passe à l'étape suivante de l'ordre d'évaluation.

    Si aucune règle d'une stratégie de pare-feu de réseau régionale ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite. Cette action permet de passer à l'étape suivante de l'évaluation.

  5. Règles de pare-feu VPC.

    Lors de l'évaluation des règles de pare-feu VPC, Cloud NGFW effectue les étapes suivantes :

    1. Ignorez toutes les règles dont les cibles ne correspondent pas à la ressource cible.
    2. Ne tenez pas compte de toutes les règles qui ne correspondent pas à la direction du paquet.
    3. Évaluez les règles restantes de la priorité la plus élevée à la plus faible.

      L'évaluation s'arrête lorsque l'une des conditions suivantes est remplie :

      • Une règle qui s'applique à la ressource cible correspond au trafic.
      • Aucune règle s'appliquant à la ressource cible ne correspond au trafic.

    Lorsqu'une ou deux règles de pare-feu VPC correspondent au trafic, l'action en cas de correspondance de la règle de pare-feu peut être l'une des suivantes :

    • allow : la règle autorise le trafic et toute évaluation des règles s'arrête.
    • deny : la règle refuse le trafic et toute évaluation des règles s'arrête.

    Si deux règles correspondent, elles doivent avoir la même priorité, mais des actions différentes. Dans ce cas, Cloud NGFW applique la règle de pare-feu VPC deny et ignore la règle de pare-feu VPC allow.

    Si aucune règle de pare-feu VPC ne correspond au trafic, Cloud NGFW utilise une action goto_next implicite pour passer à l'étape suivante de l'ordre d'évaluation.

  6. Dernière étape : action implicite

    Cloud NGFW applique une action implicite si l'évaluation des règles de pare-feu s'est poursuivie à chaque étape précédente en suivant des actions goto_next explicites ou implicites. L'action implicite dépend du sens du trafic :

    • Pour le trafic entrant, l'action implicite dépend également de la ressource cible :

      • Si la ressource cible est une interface réseau d'une instance de VM, l'action d'entrée implicite est deny.

      • Si la ressource cible est une règle de transfert d'un équilibreur de charge d'application interne ou d'un équilibreur de charge réseau proxy interne, l'action d'entrée implicite est allow.

    • Pour le trafic de sortie, l'action implicite est allow.

Diagramme BEFORE_CLASSIC_FIREWALL

Le diagramme suivant illustre l'ordre d'application des règles de pare-feu réseau BEFORE_CLASSIC_FIREWALL :

Flux de résolution des règles de pare-feu.
Figure 2. Flux de résolution des règles de pare-feu si l'ordre d'application de la stratégie de pare-feu de réseau est BEFORE_CLASSIC_FIREWALL (cliquez pour agrandir).

Règles de pare-feu efficaces

Les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC, et les règles des stratégies de pare-feu réseau globales et régionales contrôlent les connexions. Il peut être utile d'afficher toutes les règles de pare-feu qui affectent un réseau individuel ou une interface de VM.

Règles de pare-feu efficaces du réseau

Vous pouvez afficher toutes les règles de pare-feu appliquées à un réseau VPC. La liste inclut tous les types de règles suivants :

  • Règles héritées des stratégies de pare-feu hiérarchiques
  • Règles de pare-feu VPC
  • Règles appliquées à partir des stratégies de pare-feu réseau globales et régionales

Règles de pare-feu efficaces pour l'instance

Vous pouvez afficher toutes les règles de pare-feu appliquées à l'interface réseau d'une VM. La liste inclut tous les types de règles suivants :

  • Règles héritées des stratégies de pare-feu hiérarchiques
  • Règles appliquées à partir du pare-feu VPC de l'interface
  • Règles appliquées à partir des stratégies de pare-feu réseau globales et régionales

Les règles sont triées en commençant par le niveau de l'organisation pour finir par le niveau du réseau VPC. Seules les règles qui s'appliquent à l'interface de la VM s'affichent. Les règles des autres stratégies ne sont pas affichées.

Pour afficher les règles de stratégies de pare-feu efficaces dans une région, consultez la section Obtenir des stratégies de pare-feu régionales efficaces pour un réseau.

Étapes suivantes