您可以在配置文件和 Edge 级别配置防火墙规则,以允许、丢弃、拒绝或跳过入站和出站流量。如果激活了有状态防火墙功能,则将验证防火墙规则以筛选入站和出站流量。对于无状态防火墙,只能筛选出站流量。防火墙规则匹配 IP 地址、端口、VLAN ID、接口、MAC 地址、域名、协议、对象组、应用程序、DSCP 标记、URL 类别、URL 信誉评分和安全服务组等参数。在数据包符合匹配条件时,将执行一个或多个关联的操作。如果数据包与任何参数均不匹配,则会对该数据包执行默认操作。

要在配置文件级别配置防火墙规则,请执行以下步骤。

过程

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 配置文件 (Profiles)配置文件 (Profiles) 页面将显示现有的配置文件。
  2. 选择一个配置文件以配置防火墙规则,然后单击防火墙 (Firewall) 选项卡。
    配置文件 (Profiles) 页面中,您可以单击配置文件的 防火墙 (Firewall) 列中的 查看 (View) 链接以直接导航到 防火墙 (Firewall) 页面。
  3. 转到配置防火墙 (Configure Firewall) 部分,然后在防火墙规则 (Firewall Rules) 区域下面,单击 + 新建规则 (+ NEW RULE)。将显示新建规则 (New Rule) 页面。
  4. 规则名称 (Rule Name) 文本框中,为规则输入唯一的名称。要从现有规则创建防火墙规则,请从复制规则 (Duplicate Rule) 下拉菜单中选择要复制的规则。
  5. 匹配 (Match) 部分中,配置规则的匹配条件:
    字段 描述
    IP 版本 (IP Version) 默认情况下,将选择 IPv4 和 IPv6 (IPv4 and IPv6) 地址类型。您可以根据所选地址类型配置源和目标 IP 地址,如下所述:
    • IPv4 - 仅允许将 IPv4 地址配置为源和目标。
    • IPv6 - 仅允许将 IPv6 地址配置为源和目标。
    • IPv4 和 IPv6 (IPv4 and IPv6) - 允许在匹配条件中同时配置 IPv4 和 IPv6 地址。如果选择此模式,将无法配置源或目标 IP 地址。
    注: 升级时,先前版本的防火墙规则将移动到 IPv4 模式。
    源 (Source)
    允许指定数据包的源。选择任何以下选项:
    • 任意 (Any) - 默认情况下,允许所有源地址。
    • 对象组 (Object Group) - 允许您选择地址组和服务组的组合。有关更多信息,请参阅对象组使用对象组配置防火墙规则
      注: 在防火墙策略中,使用对象组匹配源流量时,不支持基于域的地址组。
    • 定义 (Define) - 允许您将源流量定义为特定的 VLAN、接口、IPv4 或 IPv6 地址、MAC 地址,或者传输端口。选择以下选项之一:
      • VLAN - 匹配来自从下拉菜单中选择的指定 VLAN 的流量。
        注: 使用 VLAN 匹配防火墙策略中的源或目标流量时,会同时考虑本地和远程 VLAN。
      • 接口和 IP 地址 (Interface and IP Address) - 匹配来自从下拉菜单中选择的指定接口和 IPv4 或 IPv6 地址的流量。
        注: 如果无法选择某个接口,则表明该接口未激活或未分配给此分段。
        注: 如果选择 IPv4 和 IPv6 (IPv4 and IPv6)(混合模式)作为地址类型,则仅基于指定接口匹配流量。
        除了 IP 地址以外,您还可以指定以下地址类型之一以匹配源流量:
        • CIDR 前缀 (CIDR prefix) - 如果要将网络定义为 CIDR 值(例如 172.10.0.0 /16),请选择该选项。
        • 子网掩码 (Subnet mask) - 如果要根据子网掩码(例如 172.10.0.0 255.255.0.0)定义网络,请选择该选项。
        • 通配符掩码 (Wildcard mask) - 如果您希望能够将策略实施范围缩小到不同 IP 子网中的一组具有相同匹配主机 IP 地址值的设备,请选择该选项。通配符掩码基于反向子网掩码匹配一个或一组 IP 地址。掩码二进制值中的“0”表示值是固定的,掩码二进制值中的“1”表示值是通配符(可以是 1 或 0)。例如,IP 地址为 172.0.0 的通配符掩码 0.0.0.255(二进制值等同于 00000000.00000000.00000000.11111111),前三个八位字节是固定值,最后一个八位字节是可变值。该选项仅适用于 IPv4 地址。
      • Mac 地址 (Mac Address) - 基于指定的 MAC 地址匹配流量。
      • 传输端口 (Transport Port) - 匹配来自指定源端口或端口范围的流量。
    目标 (Destination) 允许指定数据包的目标。选择任何以下选项:
    • 任意 (Any) - 默认情况下,允许所有目标地址。
    • 对象组 (Object Group) - 允许您选择地址组和服务组的组合。有关更多信息,请参阅对象组使用对象组配置防火墙规则
    • 定义 (Define) - 允许您将目标流量定义为特定的 VLAN、接口、IPv4 或 IPv6 地址、域名、协议,或者端口。选择以下选项之一:
      • VLAN - 匹配来自从下拉菜单中选择的指定 VLAN 的流量。
        注: 使用 VLAN 匹配防火墙策略中的源或目标流量时,会同时考虑本地和远程 VLAN。
      • 接口 (Interface) - 匹配来自从下拉菜单中选择的指定接口的流量。
        注: 如果无法选择某个接口,则表明该接口未激活或未分配给此分段。
      • IP 地址 (IP Address) - 匹配指定 IPv4 或 IPv6 地址和域名的流量。
        注: 如果选择 IPv4 和 IPv6 (IPv4 and IPv6)(混合模式)作为地址类型,则无法将 IP 地址指定为目标。

        除了 IP 地址以外,您还可以指定以下地址类型之一以匹配源流量:CIDR 前缀 (CIDR prefix)子网掩码 (Subnet mask)通配符掩码 (Wildcard mask)

        可以使用域名 (Domain Name) 字段与整个域名或域名的一部分进行匹配。例如,“salesforce”将流量与“mixe”进行匹配。

      • 传输 (Transport) - 匹配来自指定源端口或端口范围的流量。
        协议 (Protocol) - 匹配从下拉菜单中选择的指定协议的流量。支持的协议包括 GRE、ICMP、TCP 和 UDP。
        注: 混合模式(IPv4 和 IPv6)不支持 ICMP。
    应用程序 (Application) 选择任何以下选项:
    • 任意 (Any) - 默认情况下,将防火墙规则应用于任何应用程序。
    • 定义 (Define) - 用于选择应用程序和差分服务代码点 (Differentiated Services Code Point, DSCP) 标记以应用特定的防火墙规则。
    注: 在创建与应用程序匹配的防火墙规则时,防火墙依靠 DPI(深度数据包检查)引擎以确定特定流量所属的应用程序。DPI 无法根据第一个数据包来确定应用程序。DPI 引擎通常需要使用流量中的前 5-10 个数据包以确定应用程序,但防火墙需要从第一个数据包中对流量进行分类和转发。这可能会导致第一个流量与防火墙列表中的更一般规则匹配。在正确确定应用程序后,与同一元组匹配的任何将来的流量将自动重新分类,并与正确的规则相匹配。

    有关与 FTPv6 防火墙/业务策略规则匹配的特定用例的更多信息,请参阅对 FTPv6 的 Edge 防火墙支持
  6. 防火墙操作 (Firewall Action) 部分中,配置在流量与定义的条件匹配时执行的操作。
    字段 描述
    防火墙 (Firewall) 选择在满足规则条件时防火墙应对数据包执行的任何以下操作:
    • 允许 (Allow) - 默认情况下,允许数据包。
    • 丢弃 (Drop) - 以静默方式丢弃数据包,而不向源发送任何通知。
    • 拒绝 (Reject) - 丢弃数据包,并发送明确重置消息以通知源。
    • 跳过 (Skip) - 在查找期间跳过规则,并处理下一个规则。不过,将在部署 SD-WAN 时使用该规则。
      注: 仅当为配置文件和 Edge 激活了 有状态防火墙 (Stateful Firewall) 功能时,您才能配置 拒绝 (Reject)跳过 (Skip) 操作。
    日志 (Log) 如果要在触发该规则时创建日志条目,请选中该复选框。
  7. 创建或更新防火墙规则时,您可以在注释 (Comment) 部分的新注释 (New Comment) 字段中添加有关规则的注释。一条注释最多允许 50 个字符,但是可以为同一规则添加任意数量的注释。
  8. 安全服务 (Security Services) 部分中,通过从下拉菜单中选择“安全服务组”(Security Service Group) 来为规则配置安全服务。将显示安全服务组内配置的所有安全服务的摘要。您可以单击每个安全服务旁边的查看 (View) 按钮,以查看配置详细信息。

    防火墙 (Firewall) 页面中,您可以通过单击安全服务 (Security Services) 部分右侧的 + 新建 (+ Create New) 链接来创建新的安全服务组。

    注: 仅当防火墙操作是 允许 (Allow) 时,才能在规则中激活安全服务。如果防火墙操作不是 允许 (Allow),将停用安全服务。
  9. 在配置所有所需的设置后,单击创建 (Create)
    将为选定配置文件创建一个防火墙规则,并在 配置文件防火墙 (Profile Firewall) 页面的 防火墙规则 (Firewall Rules) 区域下面显示该规则。
    注: 无法在 Edge 级别更新在配置文件级别创建的规则。要覆盖规则,用户需要在 Edge 级别使用新参数创建相同的规则以覆盖配置文件级别的规则。
    配置文件防火墙 (Profile Firewall) 页面的 防火墙规则 (Firewall Rules) 区域中,您可以执行以下操作:
    • 删除 (DELETE) - 要删除现有的防火墙规则,请选中这些规则前面的复选框,然后单击删除 (DELETE)
    • 克隆 (CLONE) - 要复制防火墙规则,请选择该规则,然后单击克隆 (CLONE)
    • 注释历史记录 (COMMENT HISTORY) - 要查看在创建或更新规则时添加的所有注释,请选择该规则,然后单击注释历史记录 (COMMENT HISTORY)
    • 搜索规则 (Search for Rule) - 允许按规则名称、IP 地址、端口/端口范围以及地址组和服务组名称搜索规则。