防火墙规则区域是单独编辑和保存的,用于将单独的防火墙配置应用于租户。
过程
- 选择。
- 对于第 3 层 (L3) 规则,请单击常规选项卡;对于第 2 层 (L2) 规则,请单击以太网选项卡。
- 单击一个现有的区域或规则。
- 单击菜单栏上的区域图标,然后选择在上方添加区域或在下方添加区域。
注: 对于尝试通过防火墙的任何流量,将按照“规则”表中显示的顺序应用规则以处理数据包信息,从顶部开始并移到底部的默认规则。在某些情况下,两个或更多规则的优先级顺序在确定如何处理数据包方面可能是非常重要的。
- 输入区域名称。
注: 默认情况下,防火墙规则区域(及其规则)配置为有状态。在有状态防火墙中,将为与操作为“允许”的防火墙规则匹配的流量创建和保留缓存。根据防火墙规则集验证新流量的第一个数据包后,不再需要检查属于该流量的后续网络数据包。在流量负载较重的情况下,这可降低流量延迟并改善整体防火墙性能。有状态防火墙还可以更好地识别未授权或伪造的网络流量。
对于某些应用程序,可能需要无状态防火墙。在无状态防火墙中,会根据规则集验证流量的每个数据包。对于无状态流量,不会保留任何缓存。要将防火墙规则区域更改为仅包含无状态规则,请参见步骤 6,否则请继续执行步骤 7。
- (可选) 要将防火墙设为无状态,请选择启用无状态防火墙按钮。此选项仅适用于 L3。
在定义后,就不会在有状态和无状态之间进行切换。
- 选择一个或多个对象以应用区域。
对象类型包括逻辑端口、逻辑交换机和 NS 组。如果您选择 NS 组,则它必须包含一个或多个逻辑交换机或逻辑端口。如果 NS 组仅包含 IP 集或 MAC 集,则将被忽略。
注: 如果区域及其所含规则的
应用对象均设置为 NS 组,则区域中的
应用对象将覆盖该区域所含规则中的所有
应用对象设置。这是因为防火墙区域级别的
应用对象优先于规则级别的
应用对象。
- 单击确定。