您可以在配置文件和 Edge 级别配置防火墙规则,以允许、丢弃、拒绝或跳过入站和出站流量。如果激活了有状态防火墙功能,则将验证防火墙规则以筛选入站和出站流量。启用无状态防火墙时,您可以控制只筛选出站流量。防火墙规则匹配 IP 地址、端口、VLAN ID、接口、MAC 地址、域名、协议、对象组、应用程序和 DSCP 标记等参数。在数据包符合匹配条件时,将执行一个或多个关联的操作。如果数据包与任何参数均不匹配,则会对该数据包执行默认操作。

要使用新的 Orchestrator UI 在配置文件级别配置防火墙规则,请执行以下步骤。

过程

  1. 在企业门户中,转到配置 (Configure) > 配置文件 (Profiles)配置文件 (Profiles) 页面将显示现有的配置文件。
  2. 选择一个配置文件以配置防火墙规则,然后单击防火墙 (Firewall) 选项卡。
    配置文件 (Profiles) 页面中,您可以单击配置文件的 防火墙 (Firewall) 列中的 查看 (View) 链接以直接导航到 防火墙 (Firewall) 页面。
  3. 转到配置防火墙 (Configure Firewall) 部分,然后在防火墙规则 (Firewall Rules) 区域下面单击 + 新建规则 (+ NEW RULE)。将显示配置规则 (Configure Rule) 对话框。
  4. 规则名称 (Rule Name) 文本框中,为规则输入唯一的名称。要从现有规则创建防火墙规则,请从复制规则 (Duplicate Rule) 下拉菜单中选择要复制的规则。
  5. 匹配 (Match) 部分中,配置规则的匹配条件:
    字段 描述
    地址类型 (Address Type) 默认情况下,将选择“IPv4 和 IPv6”(IPv4 and IPv6) 地址类型。您可以根据所选地址类型配置源和目标 IP 地址,如下所述:
    • IPv4 - 仅允许将 IPv4 地址配置为源和目标。
    • IPv6 - 仅允许将 IPv6 地址配置为源和目标。
    • IPv4 和 IPv6 (IPv4 and IPv6) - 允许在匹配条件中同时配置 IPv4 和 IPv6 地址。如果选择此模式,则无法配置源或目标 IP 地址。
    注: 升级时,先前版本的防火墙规则将移动到 IPv4 模式。
    源 (Source)
    允许指定数据包的源。选择任何以下选项:
    • 任意 (Any) - 默认情况下,允许所有源地址。
    • 对象组 (Object Group) - 允许您选择地址组和端口组的组合。有关更多信息,请参阅对象组使用对象组配置防火墙规则
      注: 如果选定的地址组包含任何域名,在与源进行匹配时,将忽略这些域名。
    • 定义 (Define) - 允许您将源流量定义为特定的 VLAN、接口、IPv4 或 IPv6 地址、MAC 地址,或者传输端口。选择以下选项之一:
      • VLAN - 匹配来自从下拉菜单中选择的指定 VLAN 的流量。
      • 接口和 IP 地址 (Interface and IP Address) - 匹配来自从下拉菜单中选择的指定接口和 IPv4 或 IPv6 地址的流量。
        注: 如果无法选择某个接口,则表明该接口未激活或未分配给此分段。
        注: 如果选择 IPv4 和 IPv6 (IPv4 and IPv6)(混合模式)作为地址类型,则仅基于指定接口匹配流量。
        除了 IP 地址以外,您还可以指定以下地址类型之一以匹配源流量:
        • CIDR 前缀 (CIDR prefix) - 如果要将网络定义为 CIDR 值(例如 172.10.0.0 /16),请选择该选项。
        • 子网掩码 (Subnet mask) - 如果要根据子网掩码(例如 172.10.0.0 255.255.0.0)定义网络,请选择该选项。
        • 通配符掩码 (Wildcard mask) - 如果您希望能够将策略实施范围缩小到不同 IP 子网中的一组具有相同匹配主机 IP 地址值的设备,请选择该选项。通配符掩码基于反向子网掩码匹配一个或一组 IP 地址。掩码二进制值中的“0”表示值是固定的,掩码二进制值中的“1”表示值是通配符(可以是 1 或 0)。例如,IP 地址为 172.0.0 的通配符掩码 0.0.0.255(二进制值等同于 00000000.00000000.00000000.11111111),前三个八位字节是固定值,最后一个八位字节是可变值。该选项仅适用于 IPv4 地址。
      • Mac 地址 (Mac Address) - 基于指定的 MAC 地址匹配流量。
      • 传输 (Transport) - 匹配来自指定源端口或端口范围的流量。
    目标 (Destination) 允许指定数据包的目标。选择任何以下选项:
    • 任意 (Any) - 默认情况下,允许所有目标地址。
    • 对象组 (Object Group) - 允许您选择地址组和端口组的组合。有关更多信息,请参阅对象组使用对象组配置防火墙规则
    • 定义 (Define) - 允许您将目标流量定义为特定的 VLAN、接口、IPv4 或 IPv6 地址、域名、协议,或者端口。选择以下选项之一:
      • VLAN - 匹配来自从下拉菜单中选择的指定 VLAN 的流量。
      • 接口 (Interface) - 匹配来自从下拉菜单中选择的指定接口的流量。
        注: 如果无法选择某个接口,则表明该接口未激活或未分配给此分段。
      • IP 地址 (IP Address) - 匹配指定 IPv4 或 IPv6 地址和域名的流量。
        注: 如果选择 IPv4 和 IPv6 (IPv4 and IPv6)(混合模式)作为地址类型,则无法将 IP 地址指定为目标。

        除了 IP 地址以外,您还可以指定以下地址类型之一以匹配源流量:CIDR 前缀 (CIDR prefix)子网掩码 (Subnet mask)通配符掩码 (Wildcard mask)

        可以使用域名 (Domain Name) 字段与整个域名或域名的一部分进行匹配。例如,“salesforce”将流量与“mixe”进行匹配。

      • 传输 (Transport) - 匹配来自指定源端口或端口范围的流量。
        协议 (Protocol) - 匹配从下拉菜单中选择的指定协议的流量。支持的协议包括 GRE、ICMP、TCP 和 UDP。
        注: 混合模式(IPv4 和 IPv6)不支持 ICMP。
    应用程序 (Application) 选择任何以下选项:
    • 任意 (Any) - 默认情况下,将防火墙规则应用于任何应用程序。
    • 定义 (Define) - 用于选择应用程序和差分服务代码点 (Differentiated Services Code Point, DSCP) 标记以应用特定的防火墙规则。
    注: 在创建与应用程序匹配的防火墙规则时,防火墙依靠 DPI(深度数据包检查)引擎以确定特定流量所属的应用程序。通常,DPI 无法根据第一个数据包来确定应用程序。DPI 引擎通常需要使用流量中的前 5-10 个数据包以确定应用程序,但防火墙需要从第一个数据包中对流量进行分类和转发。这可能会导致第一个流量与防火墙列表中的更一般规则匹配。在正确确定应用程序后,与同一元组匹配的任何将来的流量将自动重新分类,并与正确的规则相匹配。
  6. 操作 (Action) 部分中,配置在流量与定义的条件匹配时执行的操作。
    字段 描述
    防火墙 (Firewall) 选择在满足规则条件时防火墙应对数据包执行的任何以下操作:
    • 允许 (Allow) - 默认情况下,允许数据包。
    • 丢弃 (Drop) - 以静默方式丢弃数据包,而不向源发送任何通知。
    • 拒绝 (Reject) - 丢弃数据包,并发送明确重置消息以通知源。
    • 跳过 (Skip) - 在查找期间跳过规则,并处理下一个规则。不过,将在部署 SD-WAN 时使用该规则。
      注: 仅当为配置文件和 Edge 激活了 有状态防火墙 (Stateful Firewall) 功能时,您才能配置 拒绝 (Reject)跳过 (Skip) 操作。
    日志 (Log) 如果要在触发该规则时创建日志条目,请选中该复选框。
  7. 创建或更新防火墙规则时,您可以在新注释 (New Comment) 字段中添加有关规则的注释。一条注释最多允许 50 个字符,但是可以为同一规则添加任意数量的注释。
  8. 在配置所有所需的设置后,单击创建 (Create)
    将为选定配置文件创建一个防火墙规则,并在 配置文件防火墙 (Profile Firewall) 页面的 防火墙规则 (Firewall Rules) 区域下面显示该规则。
    注: 无法在 Edge 级别更新在配置文件级别创建的规则。要覆盖规则,用户需要在 Edge 级别使用新参数创建相同的规则以覆盖配置文件级别的规则。