SD-WAN Orchestrator 允许您在配置文件和 Edge 级别配置防火墙规则,以允许、丢弃、拒绝或跳过入站和出站流量。如果启用了有状态防火墙功能,则将验证防火墙规则以筛选入站和出站流量。启用无状态防火墙时,您可以控制只筛选出站流量。防火墙规则与一些参数匹配,例如,IP 地址、端口、VLAN ID、接口、MAC 地址、域名、协议、对象组、应用程序和 DSCP 标记。在数据包符合匹配条件时,将执行一个或多个关联的操作。如果数据包与任何参数均不匹配,则会对该数据包执行默认操作。
要在配置文件级别配置防火墙规则并启用有状态防火墙,请执行该过程中的步骤。
过程
- 从 SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles) > 防火墙 (Firewall)。
- 为选定的配置文件启用有状态防火墙 (Stateful Firewall)。
- 在防火墙规则 (Firewall Rules) 区域下面,单击新建规则 (New Rule)。将显示配置规则 (Configure Rule) 对话框。
- 在规则名称 (Rule Name) 框中,为规则输入唯一的名称。
- 在匹配 (Match) 区域下面,配置规则的匹配条件:
设置 |
描述 |
源 |
允许指定数据包的源。选择任何以下选项:
|
目标 (Destination) |
允许指定数据包的目标。选择任何以下选项:
|
应用程序 (Application) |
选择任何以下选项:
- 任意 (Any) - 默认情况下,将防火墙规则应用于任何应用程序。
- 定义 (Define) - 用于选择应用程序和差分服务代码点 (Differentiated Services Code Point, DSCP) 标记以应用特定的防火墙规则。
注: 在创建与应用程序匹配的防火墙规则时,防火墙依靠 DPI(深入的数据包检查)引擎以确定特定流量所属的应用程序。通常,DPI 无法根据第一个数据包来确定应用程序。DPI 引擎通常需要使用流量中的前 5-10 个数据包以确定应用程序,但防火墙需要从第一个数据包中对流量进行分类和转发。这可能会导致第一个流量与防火墙列表中的更一般规则匹配。在正确确定应用程序后,与同一元组匹配的任何将来的流量将自动重新分类,并与正确的规则相匹配。
|
- 在操作 (Action) 区域下面,为规则配置操作:
设置 |
描述 |
防火墙 (Firewall) |
选择在满足规则条件时防火墙应对数据包执行的任何以下操作:
- 允许 (Allow) - 默认情况下,允许数据包。
- 丢弃 (Drop) - 以静默方式丢弃数据包,而不向源发送任何通知。
- 拒绝 (Reject) - 丢弃数据包,并发送明确重置消息以通知源。
- 跳过 (Skip) - 在查找期间跳过规则,并处理下一个规则。不过,将在部署 SD-WAN 时使用该规则。
|
日志 |
如果要在触发该规则时创建日志条目,请选中该复选框。 |
- 创建或更新防火墙规则时,您可以使用审核备注 (Audit Comment) 文本框添加审核备注。一条备注最多允许 50 个字符,但是可以为同一规则添加任意数量的备注。
- 单击审核历史记录 (Audit History) 按钮可查看为规则添加的所有审核备注。您可以在搜索 (Search) 字段中输入搜索文本,以搜索特定的备注。
- 单击确定 (OK)。
结果
将为选定配置文件创建一个防火墙规则,并在配置文件防火墙 (Profile Firewall) 页面的防火墙规则 (Firewall Rules) 区域下面显示该规则。