SD-WAN Orchestrator 可讓您在設定檔和 Edge 層級設定防火牆規則,以允許、捨棄、拒絕或略過輸入和輸出流量。防火牆會使用來源 IP 位址/連接埠、目的地 IP 位址/連接埠、應用程式、應用程式類別和 DSCP 標籤等參數來建立防火牆規則。

若要使用在設定檔層級啟用「可設定狀態的防火牆」的防火牆規則,請執行此程序的步驟。

程序

  1. SD-WAN Orchestrator,移至設定 (Configure) > 設定檔 (Profiles) > 防火牆 (Firewall)
  2. 為選取的設定檔啟用可設定狀態的防火牆 (Stateful Firewall)
  3. 防火牆規則 (Firewall Rules) 區域中,按一下新增規則 (New Rule)設定規則 (Configure Rule) 對話方塊隨即出現。
  4. 規則名稱 (Rule Name) 方塊中,輸入規則的唯一名稱。
  5. 比對 (Match) 區域下,設定規則的比對條件:
    設定 說明
    來源 (Source) 允許指定封包的來源。請選取下列任一選項:
    • 任何 (Any) - 依預設會允許所有來源位址。
    • 物件群組 (Object Group) - 可讓您選取位址群組和連接埠群組的組合。
    • 定義 (Define) - 可讓您定義特定 VLAN、IP 位址、MAC 位址或連接埠的來源流量。對於 IP 位址,請選擇下列三個選項之一:
      • CIDR 首碼 (CIDR prefix) - 如果您想要將網路定義為 CIDR 值 (例如:172.10.0.0 /16),請選擇此選項。
      • 子網路遮罩 (Subnet mask) - 如果您想要根據子網路遮罩定義網路 (例如 172.10.0.0 255.255.0.0),請選擇此選項。
      • 萬用字元遮罩 (Wildcard mask) - 如果您想要能夠將強制執行原則的範圍縮小到共用相符主機 IP 位址值之不同 IP 子網路間的一組裝置,請選擇此選項。萬用字元遮罩會根據反向的子網路遮罩比對 IP 或一組 IP 位址。遮罩的二進位值中若包含「0」,表示值是固定的,遮罩的二進位值中若包含「1」,則表示值是萬用字元 (可以是 1 或 0)。以 IP 位址為 172.0.0 的萬用字元遮罩 0.0.0.255 (二進位對等項目 = 00000000.00000000.00000000.11111111) 為例,前三個八位元數字是固定值,最後一個八位元數字是變數值。
    目的地 允許指定封包的目的地。請選取下列任一選項:
    • 任何 (Any) - 依預設會允許所有目的地位址。
    • 物件群組 (Object Group) - 可讓您選取位址群組和連接埠群組的組合。如需物件群組的詳細資訊,請參閱物件群組
    • 定義 (Define) - 可讓您定義特定 VLAN、IP 位址、MAC 位址或連接埠的目的地流量。對於 IP 位址,請選擇下列三個選項之一:CIDR 首碼 (CIDR prefix)子網路遮罩 (Subnet mask)萬用字元遮罩 (Wildcard mask)
    應用程式 允許指定要套用防火牆規則的應用程式。請選取下列任一選項:
    • 任何 (Any) - 依預設會將防火牆規則套用至任何應用程式。
    • 定義 (Define) - 可讓您選取特定的應用程式。
  6. 動作 (Action) 區域下,設定規則的動作:
    設定 說明
    防火牆 選取符合規則的條件時,防火牆應對封包執行的下列任一動作:
    • 允許 (Allow) - 依預設會允許資料封包。
    • 捨棄 (Drop) - 無訊息地捨棄資料封包,且不傳送任何通知給來源。
    • 拒絕 (Reject) - 捨棄封包,並傳送明確的重設訊息以通知來源。
    • 略過 (Skip) - 在查閱期間略過規則,並處理下一個規則。但是,此規則會在部署 SD-WAN 時使用。
    記錄 如果您想要在觸發此規則時建立記錄項目,請選取此核取方塊。
  7. 按一下確定 (OK)

結果

系統會為選取的設定檔建立防火牆規則,並將其顯示在設定檔防火牆 (Profile Firewall) 頁面的防火牆規則 (Firewall Rules) 區域下方。