在配置文件级别和 Edge 级别配置防火墙规则时,您可以选择现有的对象组以匹配源或目标。您可以在规则定义中包含对象组,以便为 IP 地址范围或 TCP/UDP/ICMPv4/ICMPv6 端口范围定义规则。
在配置文件级别,要使用对象组配置防火墙规则,请执行以下步骤:
过程
在企业门户的 SD-WAN 服务中,转到。配置文件 (Profiles) 页面将显示现有的配置文件。
选择一个配置文件以配置防火墙规则,然后单击防火墙 (Firewall) 选项卡。
从
配置文件 (Profiles) 页面中,您可以单击配置文件的
防火墙 (Firewall) 列中的
查看 (View) 链接以直接导航到
防火墙 (Firewall) 页面。
转到配置防火墙 (Configure Firewall) 部分,然后在防火墙规则 (Firewall Rules) 下,单击 + 新建规则 (+ NEW RULE) 。将显示配置规则 (Configure Rule) 对话框。
在规则名称 (Rule Name) 文本框中,为规则输入唯一的名称。要从现有规则创建防火墙规则,请从复制规则 (Duplicate Rule) 下拉菜单中选择要复制的规则。
在匹配 (Match) 区域中,配置规则的匹配条件:
为规则选择 IP 地址类型。默认情况下,将选择“IPv4 和 IPv6”(IPv4 and IPv6) 地址类型。您可以根据所选地址类型配置源和目标 IP 地址。
从源 (Source) 下拉菜单中,选择对象组 (Object Groups) 。
从下拉菜单中选择相关的地址组和服务组。如果所选地址组包含任何域名,则在为源进行匹配时将忽略这些域名。
您可以单击“地址组”(Address Group) 和“服务组”(Service Group) 下拉菜单旁边的“信息”(Info) 图标,以查看相应地址组和服务组的配置详细信息。
如果需要,您还可以为目标选择地址组和服务组。
根据所选的地址类型,行为将如下所示:
IPv4 类型规则仅匹配选定地址组中可用的 IPv4 地址。
IPv6 类型规则仅匹配选定地址组中可用的 IPv6 地址。
混合类型规则匹配选定地址组中的 IPv4 和 IPv6 地址。
根据需要选择防火墙操作,然后单击创建 (Create) 。
单击保存更改 (Save Changes) 。
将为选定配置文件创建一个防火墙规则,并在
配置文件防火墙 (Profile Firewall) 页面的
防火墙规则 (Firewall Rules) 区域下面显示该规则。
注: 无法在 Edge 级别更新在配置文件级别创建的规则。要覆盖规则,用户需要在 Edge 级别使用新参数创建相同的规则以覆盖配置文件级别的规则。
在
配置文件防火墙 (Profile Firewall) 页面的
防火墙规则 (Firewall Rules) 区域中,您可以执行以下操作:
删除 (DELETE) - 要删除现有的防火墙规则,请选中这些规则前面的复选框,然后单击删除 (DELETE) 。
克隆 (CLONE) - 要复制防火墙规则,请选择该规则,然后单击克隆 (CLONE) 。
注释历史记录 (COMMENT HISTORY) - 要查看在创建或更新规则时添加的所有注释,请选择该规则,然后单击注释历史记录 (COMMENT HISTORY) 。
搜索规则 (Search for Rule) - 允许按规则名称、IP 地址、端口/端口范围以及地址组和服务组名称搜索规则。
结果
您为配置文件创建的防火墙规则将自动应用于与该配置文件关联的所有 Edge。如果需要,您可以导航到
配置 (Configure) >
Edge (Edges) ,选择相应 Edge,然后单击
防火墙 (Firewall) 选项卡,以创建 Edge 特定的其他规则。
配置文件中的规则 (Rules From Profile) 部分显示从配置文件中继承的规则,这些规则为只读。如果要覆盖任何配置文件级别的规则,请添加新规则。添加的规则将显示在
配置文件中的规则 (Rules From Profile) 部分上方的表中,如果需要,可以通过执行修改或删除操作来处理该规则。
注: 默认情况下,这些防火墙规则分配给全局分段。如果需要,您可以从
分段 (Segment) 下拉列表中选择一个分段,然后创建选定分段特定的防火墙规则。
您可以通过使用其他 IP 地址、端口号、服务类型和代码来修改对象组。这些更改将自动包含在使用对象组的防火墙规则中。
注: 在修改对象组之前,您可以从同一 UI 屏幕中单击地址组和服务名称旁边的“信息”(Info) 图标,以查看地址组和服务组的配置详细信息。系统将显示一个弹出窗口,其中显示了相应的地址组和服务组的配置详细信息。