您可以編輯預設防火牆設定,用來套用至不符合任何使用者定義防火牆規則的流量。

執行這項作業的原因和時機

預設防火牆設定會套用至不符合任何使用者定義防火牆規則的流量。「分散式防火牆」預設規則會顯示在集中式防火牆使用者介面中。預設第 3 層規則會顯示在 [一般] 索引標籤下方,而預設第 2 層規則會顯示在 [乙太網路] 索引標籤下方。

預設分散式防火牆規則會允許所有 L3 和 L2 流量通過您基礎結構中所有準備就緒的叢集。預設規則一律位於規則表格底部,且無法刪除或新增。但是,您可將規則的 [動作] 元素從 [允許] 變更為 [捨棄] 或 [拒絕] (不建議),並指示是否應記錄該規則的流量。

程序

  1. 按一下防火牆 (Firewall)

    [一般防火牆] 畫面隨即顯示。

  2. 確定您位於一般 (General)索引標籤中以便編輯 L3 規則。按一下乙太網路 (Ethernet)索引標籤,即可編輯 L2 規則。
  3. 動作 (Action)資料行下方,展開區段並選取其中一個選項:
    • 允許 - 允許具有指定來源、目的地和通訊協定的所有 L3 或 L2 流量通過目前的防火牆內容。符合規則且被接受的封包會周遊系統,好像防火牆不存在一樣。

    • 捨棄 - 捨棄具有指定來源、目的地和通訊協定的封包。捨棄封包是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。

    • 拒絕 - 拒絕具有指定來源、目的地和通訊協定的封包。拒絕封包是較委婉的拒絕方式,它會傳送無法連線目的地訊息給寄件者。如果通訊協定是 TCP,則會傳送 TCP RST 訊息。系統會針對 UDP、ICMP 和其他 IP 連線傳送具有以系統管理方式禁止程式碼的 ICMP 訊息。使用拒絕的其中一個好處是,發生一次無法建立連線的情形後,傳送方應用程式即會收到通知。

    備註︰

    不建議選取拒絕 (Reject)作為預設規則的動作。

  4. 記錄 (Log)資料行下方,展開區段並選取是 (Yes)以啟用記錄,或選取否 (No)以停用記錄。您也可以在此處寫下備註。請注意,選取 [是] 會記錄符合此規則的所有工作階段。啟用記錄可能會影響效能。
  5. 按一下儲存 (Save)並確認您的變更。