在配置防火墙规则时,您可以选择现有的对象组以匹配源或目标。这包括对象组中可用的 IP 地址或端口号的范围。

有关防火墙规则的更多信息,请参阅 配置防火墙规则

您可以在经典或新 Orchestrator UI 中配置防火墙规则。以下过程介绍了经典 Orchestrator UI 中的配置。要在新 Orchestrator UI 中进行配置,请参阅使用新 Orchestrator UI 配置配置文件防火墙

过程

  1. 在企业门户中,单击配置 (Configure) > 配置文件 (Profiles)
  2. 从列表中选择一个配置文件,然后单击防火墙 (Firewall) 选项卡。
  3. 单击新建规则 (New Rule),或单击操作 (Actions) > 新建规则 (New Rule)
  4. 输入防火墙规则的名称。
  5. 匹配 (Match) 区域中,选择 IP 地址类型。默认情况下,将选择 IPv4 地址类型。
    注: 要配置具有 混合 (Mixed)IPv6 地址类型的防火墙规则,您必须使用新的 Orchestrator UI。有关更多信息,请参阅 使用新 Orchestrator UI 配置防火墙规则
  6. 对于源,单击对象组 (Object Group)
  7. 从下拉列表中选择相关的地址组和端口组。
    如果所选地址组包含任何域名,则在为源进行匹配时将忽略这些域名。
  8. 如果需要,您还可以为目标选择地址组和端口组。
    根据所选的地址类型,行为将如下所示:
    • IPv4 类型规则仅匹配选定地址组中可用的 IPv4 地址。
    • IPv6 类型规则仅匹配选定地址组中可用的 IPv6 地址。
    • 混合类型规则匹配选定地址组中的 IPv4 和 IPv6 地址。
  9. 根据需要选择操作,然后单击确定 (OK)

结果

您为配置文件创建的防火墙规则将自动应用于与该配置文件关联的所有 Edge。如果需要,您可以创建 Edge 特定的其他规则。
  1. 导航到配置 (Configure) > Edge,选择一个 Edge,然后单击防火墙 (Firewall) 选项卡。
  2. 单击新建规则 (New Rule),或单击操作 (Actions) > 新建规则 (New Rule)
  3. 使用相关对象组和其他操作定义规则。

Edge 级别的防火墙规则将显示从配置文件继承的规则,并且这些规则将为只读。如果要覆盖任何配置文件级别的规则,请添加新规则。添加的规则将显示在表顶部,如果需要,可以通过执行修改或删除操作来处理该规则。

注: 默认情况下,这些防火墙规则分配给全局分段。如果需要,您可以从 选择分段 (Select Segment) 下拉列表中选择一个分段,然后创建选定分段特定的防火墙规则。

下一步做什么

您可以使用其他 IP 地址和端口号修改对象组。这些更改将自动包含在使用对象组的防火墙规则中。