SD-WAN Orchestrator 允许您在配置文件和 Edge 级别配置防火墙规则,以允许、丢弃、拒绝或跳过入站和出站流量。如果启用了有状态防火墙功能,则将验证防火墙规则以筛选入站和出站流量。启用无状态防火墙时,您可以控制只筛选出站流量。防火墙规则与一些参数匹配,例如,IP 地址、端口、VLAN ID、接口、MAC 地址、域名、协议、对象组、应用程序和 DSCP 标记。在数据包符合匹配条件时,将执行一个或多个关联的操作。如果数据包与任何参数均不匹配,则会对该数据包执行默认操作。

要在配置文件级别配置防火墙规则并启用有状态防火墙,请执行该过程中的步骤。

过程

  1. SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles) > 防火墙 (Firewall)
  2. 为选定的配置文件启用有状态防火墙 (Stateful Firewall)
  3. 防火墙规则 (Firewall Rules) 区域下面,单击新建规则 (New Rule)。将显示配置规则 (Configure Rule) 对话框。
  4. 规则名称 (Rule Name) 框中,为规则输入唯一的名称。
  5. 匹配 (Match) 区域下面,配置规则的匹配条件:
    设置 描述
    允许指定数据包的源。选择任何以下选项:
    • 任意 (Any) - 默认情况下,允许所有源地址。
    • 对象组 (Object Group) - 允许您选择地址组和端口组的组合。有关更多信息,请参阅对象组使用对象组配置防火墙规则
      注: 如果选定的地址组包含任何域名,在与源进行匹配时,将忽略这些域名。
    • 定义 (Define) - 用于将源流量定义为特定的 VLAN、接口、IP 地址、MAC 地址或端口。

      对于 IP 地址,请选择以下三个选项之一:

      • CIDR 前缀 (CIDR prefix) - 如果要将网络定义为 CIDR 值(例如 172.10.0.0 /16),请选择该选项。
      • 子网掩码 (Subnet mask) - 如果要根据子网掩码(例如 172.10.0.0 255.255.0.0)定义网络,请选择该选项。
      • 通配符掩码 (Wildcard mask) - 如果您希望能够将策略实施范围缩小到不同 IP 子网中的一组具有相同匹配主机 IP 地址值的设备,请选择该选项。通配符掩码与基于反向子网掩码的一个 IP 或一组 IP 地址相匹配。掩码二进制值中的“0”表示值是固定的,掩码二进制值中的“1”表示值是通配符(可以是 1 或 0)。例如,IP 地址为 172.0.0 的通配符掩码 0.0.0.255(二进制值等同于 00000000.00000000.00000000.11111111),前三个八位字节是固定值,最后一个八位字节是可变值。
      注: 如果无法选择某个接口,则表明该接口未启用或未分配给此分段。
    目标 (Destination) 允许指定数据包的目标。选择任何以下选项:
    • 任意 (Any) - 默认情况下,允许所有目标地址。
    • 对象组 (Object Group) - 允许您选择地址组和端口组的组合。有关更多信息,请参阅对象组使用对象组配置防火墙规则
    • 定义 (Define) - 用于将目标流量定义为特定的 VLAN、接口、IP 地址、域名、协议或端口。对于 IP 地址,请选择以下三个选项之一:CIDR 前缀 (CIDR prefix)子网掩码 (Subnet mask)通配符掩码 (Wildcard mask)

      如果无法选择某个接口,则表明该接口未启用或未分配给此分段。

      可以使用域名 (Domain Name) 字段与整个域名或域名的一部分进行匹配。例如,“salesforce”将流量与“www.salesforce.com”进行匹配。

    应用程序 (Application) 选择任何以下选项:
    • 任意 (Any) - 默认情况下,将防火墙规则应用于任何应用程序。
    • 定义 (Define) - 用于选择应用程序和差分服务代码点 (Differentiated Services Code Point, DSCP) 标记以应用特定的防火墙规则。
    注: 在创建与应用程序匹配的防火墙规则时,防火墙依靠 DPI(深入的数据包检查)引擎以确定特定流量所属的应用程序。通常,DPI 无法根据第一个数据包来确定应用程序。DPI 引擎通常需要使用流量中的前 5-10 个数据包以确定应用程序,但防火墙需要从第一个数据包中对流量进行分类和转发。这可能会导致第一个流量与防火墙列表中的更一般规则匹配。在正确确定应用程序后,与同一元组匹配的任何将来的流量将自动重新分类,并与正确的规则相匹配。
  6. 操作 (Action) 区域下面,为规则配置操作:
    设置 描述
    防火墙 (Firewall) 选择在满足规则条件时防火墙应对数据包执行的任何以下操作:
    • 允许 (Allow) - 默认情况下,允许数据包。
    • 丢弃 (Drop) - 以静默方式丢弃数据包,而不向源发送任何通知。
    • 拒绝 (Reject) - 丢弃数据包,并发送明确重置消息以通知源。
    • 跳过 (Skip) - 在查找期间跳过规则,并处理下一个规则。不过,将在部署 SD-WAN 时使用该规则。
    日志 如果要在触发该规则时创建日志条目,请选中该复选框。
  7. 创建或更新防火墙规则时,您可以使用审核备注 (Audit Comment) 文本框添加审核备注。一条备注最多允许 50 个字符,但是可以为同一规则添加任意数量的备注。
  8. 单击审核历史记录 (Audit History) 按钮可查看为规则添加的所有审核备注。您可以在搜索 (Search) 字段中输入搜索文本,以搜索特定的备注。
  9. 单击确定 (OK)

结果

将为选定配置文件创建一个防火墙规则,并在配置文件防火墙 (Profile Firewall) 页面的防火墙规则 (Firewall Rules) 区域下面显示该规则。