防火墙区域用于对一组防火墙规则进行分组。

防火墙区域由一个或多个单独的防火墙规则组成。每个单独的防火墙规则包含确定是应允许还是阻止数据包的说明;允许数据包使用哪些协议;允许数据包使用哪些端口,等等。区域用于多租户,例如,用于销售和工程部门的特定规则位于单独的区域中。

可以将一个区域定义为强制实施有状态或无状态规则。无状态规则被视为传统无状态 ACL。无状态区域不支持反射 ACL。建议不要在单个逻辑交换机端口上混用无状态和有状态规则,这可能会导致未定义的行为。

可以在区域中上下移动规则。对于尝试通过防火墙的任何流量,将按照区域中显示的顺序应用规则以处理数据包信息,从顶部开始并移到底部的默认规则。与数据包匹配的第一个规则将应用它配置的操作,并执行在该规则配置的选项中指定的任何处理,而忽略所有后续规则(即使后面的规则是更好的匹配项)。因此,您应该将具体的规则放在更常规的规则上面,以确保不会忽略这些规则。默认规则(位于规则表底部)是一个总括性规则;将为与任何其他规则不匹配的数据包强制实施默认规则。

注: 逻辑交换机有一个称为 N-VDS 模式的属性。此属性来自交换机所属的传输区域。如果 N-VDS 模式为 ENS(也称为 Enhanced Datapath),则无法使用交换机或其端口在 SourceDestinationApplied To 字段中创建防火墙规则或区域。