SD-WAN Orchestrator 允许您在配置文件和 Edge 级别配置防火墙规则,以允许、丢弃、拒绝或跳过入站和出站流量。防火墙使用一些参数以创建防火墙规则,例如,源 IP 地址/端口、目标 IP 地址/端口、应用程序、应用程序类别和 DSCP 标记。
要在配置文件级别配置防火墙规则并启用有状态防火墙,请执行该过程中的步骤。
过程
- 从 SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles) > 防火墙 (Firewall)。
- 为选定的配置文件启用有状态防火墙 (Stateful Firewall)。
- 在防火墙规则 (Firewall Rules) 区域下面,单击新建规则 (New Rule)。此时将显示配置规则 (Configure Rule) 对话框。
- 在规则名称 (Rule Name) 框中,为规则输入唯一的名称。
- 在匹配 (Match) 区域下面,配置规则的匹配条件:
| 设置 |
描述 |
| 源 (Source) |
允许指定数据包的源。选择任何以下选项:
- 任意 (Any) - 默认情况下,允许所有源地址。
- 对象组 (Object Group) - 允许您选择地址组和端口组的组合。
- 定义 (Define) - 允许您将源流量定义为特定的 VLAN、IP 地址、MAC 地址或端口。对于 IP 地址,请选择以下三个选项之一:
- CIDR 前缀 (CIDR prefix) - 如果要将网络定义为 CIDR 值(例如
172.10.0.0 /16),请选择该选项。
- 子网掩码 (Subnet mask) - 如果要根据子网掩码(例如
172.10.0.0 255.255.0.0)定义网络,请选择该选项。
- 通配符掩码 (Wildcard mask) - 如果您希望能够将策略实施范围缩小到不同 IP 子网中的一组具有相同匹配主机 IP 地址值的设备,请选择该选项。通配符掩码与基于反向子网掩码的一个 IP 或一组 IP 地址相匹配。掩码二进制值中的“0”表示值是固定的,掩码二进制值中的“1”表示值是通配符(可以是 1 或 0)。例如,IP 地址为 172.0.0 的通配符掩码 0.0.0.255(二进制值等同于 00000000.00000000.00000000.11111111),前三个八位字节是固定值,最后一个八位字节是可变值。
|
| 目标 |
允许指定数据包的目标。选择任何以下选项:
- 任意 (Any) - 默认情况下,允许所有目标地址。
- 对象组 (Object Group) - 允许您选择地址组和端口组的组合。有关对象组的更多信息,请参阅对象组。
- 定义 (Define) - 允许您将目标流量定义为特定的 VLAN、IP 地址、MAC 地址或端口。对于 IP 地址,请选择以下三个选项之一:CIDR 前缀 (CIDR prefix)、子网掩码 (Subnet mask) 或通配符掩码 (Wildcard mask)。
|
| 应用程序 |
允许指定应用程序以应用防火墙规则。选择任何以下选项:
- 任意 (Any) - 默认情况下,将防火墙规则应用于任何应用程序。
- 定义 (Define) - 允许您选择特定的应用程序。
|
- 在操作 (Action) 区域下面,为规则配置操作:
| 设置 |
描述 |
| 防火墙 |
选择在满足规则条件时防火墙应对数据包执行的任何以下操作:
- 允许 (Allow) - 默认情况下,允许数据包。
- 丢弃 (Drop) - 以静默方式丢弃数据包,而不向源发送任何通知。
- 拒绝 (Reject) - 丢弃数据包,并发送明确重置消息以通知源。
- 跳过 (Skip) - 在查找期间跳过规则,并处理下一个规则。不过,将在部署 SD-WAN 时使用该规则。
|
| 日志 |
如果要在触发该规则时创建日志条目,请选中该复选框。 |
- 单击确定 (OK)。
结果
将为选定配置文件创建一个防火墙规则,并在配置文件防火墙 (Profile Firewall) 页面的防火墙规则 (Firewall Rules) 区域下面显示该规则。
