在配置文件级别和 Edge 级别配置防火墙规则时,您可以选择现有的对象组以匹配源或目标。您可以在规则定义中包含对象组,以便为 IP 地址范围或 TCP/UDP/ICMPv4/ICMPv6 端口范围定义规则。

在配置文件级别,要使用对象组配置防火墙规则,请执行以下步骤:

过程

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 配置文件 (Profiles)配置文件 (Profiles) 页面将显示现有的配置文件。
  2. 选择一个配置文件以配置防火墙规则,然后单击防火墙 (Firewall) 选项卡。
    配置文件 (Profiles) 页面中,您可以单击配置文件的 防火墙 (Firewall) 列中的 查看 (View) 链接以直接导航到 防火墙 (Firewall) 页面。
  3. 转到配置防火墙 (Configure Firewall) 部分,然后在防火墙规则 (Firewall Rules) 下,单击 + 新建规则 (+ NEW RULE)。将显示配置规则 (Configure Rule) 对话框。
  4. 规则名称 (Rule Name) 文本框中,为规则输入唯一的名称。要从现有规则创建防火墙规则,请从复制规则 (Duplicate Rule) 下拉菜单中选择要复制的规则。
  5. 匹配 (Match) 区域中,配置规则的匹配条件:
    1. 为规则选择 IP 地址类型。默认情况下,将选择“IPv4 和 IPv6”(IPv4 and IPv6) 地址类型。您可以根据所选地址类型配置源和目标 IP 地址。
    2. 源 (Source) 下拉菜单中,选择对象组 (Object Groups)
    3. 从下拉菜单中选择相关的地址组和服务组。如果所选地址组包含任何域名,则在为源进行匹配时将忽略这些域名。
    4. 如果需要,您还可以为目标选择地址组和服务组。
      根据所选的地址类型,行为将如下所示:
      • IPv4 类型规则仅匹配选定地址组中可用的 IPv4 地址。
      • IPv6 类型规则仅匹配选定地址组中可用的 IPv6 地址。
      • 混合类型规则匹配选定地址组中的 IPv4 和 IPv6 地址。
    5. 根据需要选择防火墙操作,然后单击创建 (Create)
      有关匹配和操作参数的更多信息,请参阅 配置防火墙规则
    6. 单击保存更改 (Save Changes)

结果

您为配置文件创建的防火墙规则将自动应用于与该配置文件关联的所有 Edge。如果需要,您可以导航到 配置 (Configure) > Edge (Edges),选择相应 Edge,然后单击 防火墙 (Firewall) 选项卡,以创建 Edge 特定的其他规则或修改继承的规则。
配置文件中的规则 (Rules From Profile) 部分显示从配置文件中继承的规则,这些规则为只读。如果要覆盖任何配置文件级别的规则,请添加新规则。添加的规则将显示在 配置文件中的规则 (Rules From Profile) 部分上方的表中,如果需要,可以通过执行修改或删除操作来处理该规则。
注: 默认情况下,这些防火墙规则分配给全局分段。如果需要,您可以从 分段 (Segment) 下拉列表中选择一个分段,然后创建选定分段特定的防火墙规则。

您可以通过使用其他 IP 地址、端口号、服务类型和代码来修改对象组。这些更改将自动包含在使用对象组的防火墙规则中。