Una sezione di regole del firewall viene modificata e salvata in modo indipendente e viene utilizzata per applicare una configurazione del firewall separata ai tenant.
Procedura
- Selezionare .
- Fare clic sulla scheda Generale per le regole di livello 3 (L3) o sulla scheda Ethernet per le regole di livello 2 (L2).
- Fare clic su una sezione o una regola esistente.
- Fare clic sull'icona della sezione nella barra dei menu e selezionare Aggiungi sezione precedente o Aggiungi sezione successiva.
Nota: Alle informazioni del pacchetto di qualsiasi traffico che tenta di passare attraverso il firewall, vengono applicate le regole nell'ordine visibile nella tabella delle regole, iniziando dalla parte superiore e continuando con le regole predefinite nella parte inferiore. In alcuni casi, l'ordine di precedenza di due o più regole può essere importante per determinare la strada che seguirà un pacchetto.
- Immettere il nome della sezione.
- Per rendere il firewall stateless, selezionare Abilita firewall stateless. Questa opzione è applicabile solo per il livello 3.
I firewall stateless osservano il traffico di rete e limitano o bloccano i pacchetti in base agli indirizzi di origine e di destinazione o ad altri valori statici. Per i flussi TCP e UDP, dopo il primo pacchetto, viene creata e gestita una cache per la tupla del traffico in una direzione qualsiasi, se il risultato del firewall è CONSENTI. Ciò significa che il traffico non deve essere più controllato rispetto alle regole del firewall, ottenendo così una latenza inferiore. I firewall stateless sono quindi in genere più veloci e con prestazioni migliori in situazioni di carichi di traffico più pesanti.
I firewall stateful possono osservare i flussi del traffico da estremità a estremità. Il firewall viene interpellato per ogni pacchetto, per convalidare lo stato e i numeri di sequenza. I firewall stateful sono migliori nell'identificazione delle comunicazioni non autorizzate e contraffatte.
Una volta definito, non è possibile alternare tra stateful e stateless.
- Selezionare uno o più oggetti per applicare la sezione.
I tipi di oggetto sono porte logiche, commutatori logici e gruppo NS. Se si seleziona un gruppo NS, questo deve contenere uno o più commutatori logici o porte logiche. Se il gruppo NS contiene solo set di IP o set di MAC, verrà ignorato.
Nota: Se la sezione e le regole all'interno hanno
Si applica a impostato su NSGroup, allora le impostazioni
Si applica a in una sezione sovrascriveranno tutte le impostazioni
Si applica a nelle regole di tale sezione. Questo perché il firewall a livello di sezione
Si applica a ha la precedenza su
Si applica a a livello della regola.
- Fare clic su OK.
Operazioni successive
Aggiungere regole firewall alla sezione.