防火牆規則區段會進行獨立編輯和儲存,並且用來將個別的防火牆組態套用至承租人。
程序
- 選取。
- 對於第 3 層 (L3) 規則,按一下一般索引標籤,對於第 2 層 (L2) 規則,按一下乙太網路索引標籤。
- 按一下現有的區段或規則。
- 按一下功能表列上的區段圖示,然後選取新增以上區段或新增以下區段。
備註: 對於嘗試通過防火牆的任何流量,封包資訊皆會受到 [規則] 表格中所顯示規則順序的約束,從頂端開始,一路往底部的預設規則依序處理。在某些情況下,兩個以上規則的優先順序對於判定封包的處理方式而言可能很重要。
- 輸入區段名稱。
- 若要使防火牆無狀態,請選取啟用無狀態防火牆。此選項僅適用於 L3。
無狀態防火牆會監控網路流量,並根據來源和目的地位址或其他靜態值來限制或封鎖封包。對於 TCP 和 UDP 流量,在第一個封包之後,如果防火牆結果是 ALLOW,則會為任一方向的流量元組建立和維護快取。這表示流量不再需要檢查防火牆規則,如此可降低延遲。因此,無狀態防火牆在較大流量負載下通常較快且效能更佳。
可設定狀態防火牆可以從端對端監控流量串流。系統一律會針對每個封包來諮詢防火牆,以驗證狀態和序號。可設定狀態防火牆較能識別未經過驗證及偽造的通訊。
一旦定義完成後,便不會在可設定狀態及無狀態之間切換。
- 選取要套用區段的一或多個物件。
物件的類型為邏輯連接埠、邏輯交換器和 NSGroup。如果您選取 NSGroup,它必須包含一或多個邏輯交換器或邏輯連接埠。僅包含 IP 集或 MAC 集的 NSGroup 將被忽略。
備註: 區段中的
套用至將覆寫該區段中任何規則中的
套用至設定。
- 按一下確定。