防火牆規則區段會進行獨立編輯和儲存,並且用來將個別的防火牆組態套用至承租人。
程序
- 選取。
- 對於第 3 層 (L3) 規則,按一下一般索引標籤,對於第 2 層 (L2) 規則,按一下乙太網路索引標籤。
- 按一下現有的區段或規則。
- 按一下功能表列上的區段圖示,然後選取新增以上區段或新增以下區段。
備註: 對於嘗試通過防火牆的任何流量,封包資訊皆會受到 [規則] 表格中所顯示規則順序的約束,從頂端開始,一路往底部的預設規則依序處理。在某些情況下,兩個以上規則的優先順序對於判定封包的處理方式而言可能很重要。
- 輸入區段名稱。
備註: 依預設,防火牆規則區域 (及其規則) 設定為 [可設定狀態]。在可設定狀態防火牆中,將為與動作為 [允許] 的防火牆規則相符的流量建立及保留快取。根據防火牆規則集驗證新流量的第一個封包後,不再需要檢查屬於該流量的後續網路封包。在流量負載較重的情況下,這可降低流量延遲並改善整體防火牆效能。可設定狀態防火牆也更能識別未經授權或偽造的網路流量。
對於某些應用程式,可能需要使用無狀態防火牆。在無狀態防火牆中,會根據規則集驗證流量的每個封包。對於無狀態流量,不會保留任何快取。若要將防火牆規則區段變更為僅包含無狀態規則,請參閱步驟 6,否則請繼續執行步驟 7。
- (選擇性) 若要使防火牆無狀態,請選取啟用無狀態防火牆按鈕。此選項僅適用於 L3。
一旦定義完成後,便不會在可設定狀態及無狀態之間切換。
- 選取要套用區段的一或多個物件。
物件的類型為邏輯連接埠、邏輯交換器和 NSGroup。如果您選取 NSGroup,它必須包含一或多個邏輯交換器或邏輯連接埠。僅包含 IP 集或 MAC 集的 NSGroup 將被忽略。
備註: 如果區段及其所含規則的
套用至均設為 NSGroup,則區段中的
套用至會覆寫該區段所含規則中的所有
套用至設定。這是因為防火牆區段層級的
套用至優先於規則層級的
套用至。
- 按一下確定。