SD-WAN Orchestrator 可讓您在設定檔和 Edge 層級設定防火牆規則,以允許、捨棄、拒絕或略過輸入和輸出流量。如果啟用了可設定狀態的防火牆功能,則將驗證防火牆規則,以篩選輸入和輸出流量。啟用了無狀態防火牆之後,您可以控制只篩選輸出流量。防火牆規則會比對參數,例如 IP 位址、連接埠、VLAN 識別碼、介面、MAC 位址、網域名稱、通訊協定、物件群組、應用程式和 DSCP 標籤。當資料封包符合相符條件時,會採取相關聯的一或多個動作。如果封包不符合任何參數,則會在封包上採取預設動作。
若要使用在設定檔層級啟用「可設定狀態的防火牆」的防火牆規則,請執行此程序的步驟。
程序
- 從 SD-WAN Orchestrator,移至設定 (Configure) > 設定檔 (Profiles) > 防火牆 (Firewall)。
- 為選取的設定檔啟用可設定狀態的防火牆 (Stateful Firewall)。
- 在防火牆規則 (Firewall Rules) 區域中,按一下新增規則 (New Rule)。設定規則 (Configure Rule) 對話方塊隨即出現。
- 在規則名稱 (Rule Name) 方塊中,輸入規則的唯一名稱。
- 在比對 (Match) 區域下,設定規則的比對條件:
設定 |
說明 |
來源 (Source) |
允許指定封包的來源。請選取下列任一選項:
|
目的地 (Destination) |
允許指定封包的目的地。請選取下列任一選項:
|
應用程式 (Application) |
請選取下列任一選項:
- 任何 (Any) - 依預設會將防火牆規則套用至任何應用程式。
- 定義 (Define) - 允許選取應用程式,並區別服務代碼點 (DSCP) 旗標來套用特定的防火牆規則。
備註: 建立與應用程式相符的防火牆規則時,防火牆取決於 DPI (深入封包檢查) 引擎,以識別特定流量所屬的應用程式。通常,DPI 將無法根據第一個封包來判斷應用程式。DPI 引擎通常需要流量中的前 5-10 個封包來識別應用程式,但防火牆需要將流量從第一個封包進行分類和轉送。這可能會導致第一個流量符合防火牆清單中較一般化的規則。正確識別應用程式後,將自動重新分類與相同元組相符的任何未來流量,並按正確的規則進行重新分類。
|
- 在動作 (Action) 區域下,設定規則的動作:
設定 |
說明 |
防火牆 |
選取符合規則的條件時,防火牆應對封包執行的下列任一動作:
- 允許 (Allow) - 依預設會允許資料封包。
- 捨棄 (Drop) - 無訊息地捨棄資料封包,且不傳送任何通知給來源。
- 拒絕 (Reject) - 捨棄封包,並傳送明確的重設訊息以通知來源。
- 略過 (Skip) - 在查閱期間略過規則,並處理下一個規則。但是,此規則會在部署 SD-WAN 時使用。
|
記錄 |
如果您想要在觸發此規則時建立記錄項目,請選取此核取方塊。 |
- 建立或更新防火牆規則時,您可以使用稽核註解 (Audit Comment) 文字方塊來新增稽核註解。最多允許 50 個字元,且您可以為相同規則新增任何數量的註解。
- 按一下稽核歷程記錄 (Audit History) 按鈕,以檢視針對規則新增的所有稽核註解。您可以在搜尋 (Search) 欄位中輸入搜尋文字,以搜尋特定註解。
- 按一下確定 (OK)。
結果
系統會為選取的設定檔建立防火牆規則,並將其顯示在設定檔防火牆 (Profile Firewall) 頁面的防火牆規則 (Firewall Rules) 區域下方。