SD-WAN Orchestrator 可讓您在設定檔和 Edge 層級設定防火牆規則,以允許、捨棄、拒絕或略過輸入和輸出流量。防火牆會使用來源 IP 位址/連接埠、目的地 IP 位址/連接埠、應用程式、應用程式類別和 DSCP 標籤等參數來建立防火牆規則。
若要使用在設定檔層級啟用「可設定狀態的防火牆」的防火牆規則,請執行此程序的步驟。
程序
- 從 SD-WAN Orchestrator,移至設定 (Configure) > 設定檔 (Profiles) > 防火牆 (Firewall)。
- 為選取的設定檔啟用可設定狀態的防火牆 (Stateful Firewall)。
- 在防火牆規則 (Firewall Rules) 區域中,按一下新增規則 (New Rule)。設定規則 (Configure Rule) 對話方塊隨即出現。
- 在規則名稱 (Rule Name) 方塊中,輸入規則的唯一名稱。
- 在比對 (Match) 區域下,設定規則的比對條件:
設定 |
說明 |
來源 (Source) |
允許指定封包的來源。請選取下列任一選項:
- 任何 (Any) - 依預設會允許所有來源位址。
- 物件群組 (Object Group) - 可讓您選取位址群組和連接埠群組的組合。
- 定義 (Define) - 可讓您定義特定 VLAN、IP 位址、MAC 位址或連接埠的來源流量。對於 IP 位址,請選擇下列三個選項之一:
- CIDR 首碼 (CIDR prefix) - 如果您想要將網路定義為 CIDR 值 (例如:
172.10.0.0 /16 ),請選擇此選項。
- 子網路遮罩 (Subnet mask) - 如果您想要根據子網路遮罩定義網路 (例如
172.10.0.0 255.255.0.0 ),請選擇此選項。
- 萬用字元遮罩 (Wildcard mask) - 如果您想要能夠將強制執行原則的範圍縮小到共用相符主機 IP 位址值之不同 IP 子網路間的一組裝置,請選擇此選項。萬用字元遮罩會根據反向的子網路遮罩比對 IP 或一組 IP 位址。遮罩的二進位值中若包含「0」,表示值是固定的,遮罩的二進位值中若包含「1」,則表示值是萬用字元 (可以是 1 或 0)。以 IP 位址為 172.0.0 的萬用字元遮罩 0.0.0.255 (二進位對等項目 = 00000000.00000000.00000000.11111111) 為例,前三個八位元數字是固定值,最後一個八位元數字是變數值。
|
目的地 |
允許指定封包的目的地。請選取下列任一選項:
- 任何 (Any) - 依預設會允許所有目的地位址。
- 物件群組 (Object Group) - 可讓您選取位址群組和連接埠群組的組合。如需物件群組的詳細資訊,請參閱物件群組。
- 定義 (Define) - 可讓您定義特定 VLAN、IP 位址、MAC 位址或連接埠的目的地流量。對於 IP 位址,請選擇下列三個選項之一:CIDR 首碼 (CIDR prefix)、子網路遮罩 (Subnet mask) 或萬用字元遮罩 (Wildcard mask)。
|
應用程式 |
允許指定要套用防火牆規則的應用程式。請選取下列任一選項:
- 任何 (Any) - 依預設會將防火牆規則套用至任何應用程式。
- 定義 (Define) - 可讓您選取特定的應用程式。
|
- 在動作 (Action) 區域下,設定規則的動作:
設定 |
說明 |
防火牆 |
選取符合規則的條件時,防火牆應對封包執行的下列任一動作:
- 允許 (Allow) - 依預設會允許資料封包。
- 捨棄 (Drop) - 無訊息地捨棄資料封包,且不傳送任何通知給來源。
- 拒絕 (Reject) - 捨棄封包,並傳送明確的重設訊息以通知來源。
- 略過 (Skip) - 在查閱期間略過規則,並處理下一個規則。但是,此規則會在部署 SD-WAN 時使用。
|
記錄 |
如果您想要在觸發此規則時建立記錄項目,請選取此核取方塊。 |
- 按一下確定 (OK)。
結果
系統會為選取的設定檔建立防火牆規則,並將其顯示在設定檔防火牆 (Profile Firewall) 頁面的防火牆規則 (Firewall Rules) 區域下方。