區域性防火牆政策

區域網路防火牆政策可讓您在虛擬私有雲網路的區域內，為所有子網路建立及強制執行一致的防火牆政策。您可以將區域網路防火牆政策指派給虛擬私有雲網路，這類政策包含可明確拒絕或允許連線的規則，或是前往階層的下一個層級。

規格

區域網路防火牆政策與全域網路防火牆政策大致相似。區域網路防火牆政策只有一個目標區域，而全域網路防火牆政策會自動套用至所有區域。
區域網路防火牆政策是在虛擬私有雲層級建立。建立政策後，系統不會自動將規則套用至聯播網。
建立政策後，即可套用至專案中的任何虛擬私有雲網路 (與其建立關聯)。
區域網路防火牆政策是防火牆規則的容器，將政策連結至虛擬私有雲網路時，系統會立即套用所有規則。
您可以將同一個區域網路防火牆政策連結至專案中的多個虛擬私有雲網路。
區域網路防火牆政策不支援第 7 層檢查。
區域網路防火牆政策支援防火牆規則中的標記。詳情請參閱「建立及管理安全代碼」。
您可以建立防火牆政策類型設為 RDMA_ROCE_POLICY 的區域網路防火牆政策，以便與 RoCE 虛擬私有雲網路搭配使用。詳情請參閱「Cloud Next Generation Firewall for RoCE VPC networks」。

區域網路防火牆政策規則是在防火牆政策資源中定義，該資源可做為防火牆規則的容器。區域網路防火牆政策中定義的規則，必須與虛擬私有雲網路建立關聯，才會強制執行。

單一政策可與多個虛擬私有雲網路建立關聯。如果您修改政策中的規則，該規則變更會套用至所有相關聯的聯播網。

在特定區域中，一個網路只能連結一項區域網路防火牆政策。系統會依據明確定義的順序評估全域網路防火牆政策規則、虛擬私有雲防火牆規則和區域網路防火牆政策規則。

如果防火牆政策未與任何網路建立關聯，就是未建立關聯的區域網路防火牆政策。

區域網路防火牆政策包含的規則與網路防火牆政策規則大致相同，但有幾項差異：

區域強制執行：區域網路防火牆政策規則僅適用於建立區域網路防火牆政策的區域。
優先順序：建立區域網路防火牆政策規則時，您必須指定優先順序。這些優先順序不得重複，且僅在區域網路防火牆政策中具有意義。

規則評估順序取決於規則優先順序 (編號最低到最高)。獲派最低數字值的規則有最高的邏輯優先順序，會在邏輯優先順序低的規則前先評估。規則的優先順序會隨著數字增加而降低 (1、2、3、N+1)。您無法設定兩個以上優先順序相同的規則。

每項規則的優先順序都必須設為介於 0 至 2147483547 之間的數字 (含首尾)。數字優先順序下限為 0。優先順序值從 2147483548 (INT-MAX-99) 到 2147483647 (INT-MAX) 會保留給系統預設防火牆規則。
評估順序：系統一律會在評估全域網路防火牆政策後，評估區域網路防火牆政策。根據預設，系統會先評估虛擬私有雲防火牆規則，再評估全域和區域網路防火牆政策。您也可以自訂規則評估順序，在虛擬私有雲防火牆規則之前或之後強制執行全域網路防火牆政策。

區域網路防火牆政策規則也包含來源和目標安全標記。

建立區域性網路防火牆政策時，Cloud Next Generation Firewall 會將優先順序最低的預先定義規則新增至政策。這些規則會套用至政策中未明確定義規則的任何連線，導致這類連線傳遞至較低層級的政策或網路規則。

如要瞭解各種預先定義的規則類型及其特性，請參閱「預先定義的規則」。

如要進一步瞭解控管建立及管理區域網路防火牆政策動作的 IAM 角色，請參閱「使用區域網路防火牆政策」。