Pare-feu pour les réseaux VPC ULL
Cloud Next Generation Firewall (Cloud NGFW) pour les réseaux de cloud privé virtuel (VPC) à latence ultra-faible (ULL) fournit une configuration de sécurité pour la solution ULL.
Le pare-feu Cloud NGFW standard effectue le traitement des paquets, ce qui peut affecter la vitesse du réseau. Étant donné que les réseaux VPC ULL nécessitent des performances et une disponibilité élevées, Cloud NGFW utilise un type de stratégie de pare-feu ULL_POLICY. Ce type de règle permet aux administrateurs réseau d'appliquer des limites de sécurité essentielles tout en maintenant les performances requises pour le trading à haute fréquence. Pour en savoir plus sur la solution ULL, consultez la présentation de la solution ULL.
Spécifications
Cette section décrit les spécifications du pare-feu pour la solution ULL.
Les réseaux VPC ULL sont compatibles avec les règles de pare-feu uniquement dans les stratégies de pare-feu réseau régionales. Elles ne sont pas compatibles avec les stratégies de pare-feu réseau mondiales, les stratégies de pare-feu hiérarchiques ni les règles de pare-feu VPC.
Pour éviter la configuration de fonctionnalités induisant une latence, les réseaux VPC à latence ultra-faible nécessitent le type de stratégie de pare-feu
ULL_POLICY. Le champPOLICY_TYPEdu pare-feu est défini lors de la création de la règle et ne peut pas être modifié ultérieurement.Vous pouvez associer une stratégie de pare-feu à un réseau VPC ULL si vous créez la stratégie avec l'indicateur
--policy_type=ULL_POLICY.Les stratégies de pare-feu ULL conservent le même comportement avec état que les réseaux VPC standards. Si une règle de pare-feu autorise une connexion entrante, le pare-feu autorise automatiquement le trafic sortant de retour pour cette connexion sans nécessiter de règle distincte.
Fonctionnalités compatibles et non compatibles
Le tableau suivant répertorie les fonctionnalités de pare-feu compatibles et non compatibles dans les réseaux VPC ULL. La coche indique les attributs compatibles, et le symbole indique les fonctionnalités non compatibles.
| Catégorie de fonctionnalité | Nom de la fonctionnalité | État |
|---|---|---|
| Champ d'application des règles | Règles de pare-feu réseau régionales | |
| Stratégies de pare-feu réseau mondiales | ||
| Stratégies de pare-feu hiérarchiques | ||
| Types de règle | Règles basées sur des règles | |
| Anciennes règles de pare-feu VPC | ||
| Critères de correspondance | Tags sécurisés | |
| Groupes d'adresses | ||
| 5-tuple (adresse IP, port, protocole) | ||
| Anciennes balises réseau, objets de nom de domaine complet (FQDN), objets de géolocalisation et renseignements sur les menaces | ||
| Services avancés | Journalisation des règles de pare-feu | |
| Service de détection et de prévention des intrusions | ||
| Types de trafic | Trafic en monodiffusion (trafic sécurisé et évalué par les règles de pare-feu ULL_POLICY) |
|
| Trafic ULL Multicast |
Étapes suivantes
- Créer et gérer des règles de pare-feu pour les réseaux VPC ULL
- Présentation de la solution à latence ultra-faible