SD-WAN Orchestrator 可讓您在設定檔和 Edge 層級設定防火牆規則,以允許、捨棄、拒絕或略過輸入和輸出流量。如果啟用了可設定狀態的防火牆功能,則將驗證防火牆規則,以篩選輸入和輸出流量。啟用了無狀態防火牆之後,您可以控制只篩選輸出流量。防火牆規則會比對參數,例如 IP 位址、連接埠、VLAN 識別碼、介面、MAC 位址、網域名稱、通訊協定、物件群組、應用程式和 DSCP 標籤。當資料封包符合相符條件時,會採取相關聯的一或多個動作。如果封包不符合任何參數,則會在封包上採取預設動作。

若要使用在設定檔層級啟用「可設定狀態的防火牆」的防火牆規則,請執行此程序的步驟。

程序

  1. SD-WAN Orchestrator,移至設定 (Configure) > 設定檔 (Profiles) > 防火牆 (Firewall)
  2. 為選取的設定檔啟用可設定狀態的防火牆 (Stateful Firewall)
  3. 防火牆規則 (Firewall Rules) 區域中,按一下新增規則 (New Rule)設定規則 (Configure Rule) 對話方塊隨即出現。
  4. 規則名稱 (Rule Name) 方塊中,輸入規則的唯一名稱。
  5. 比對 (Match) 區域下,設定規則的比對條件:
    設定 說明
    來源 (Source) 允許指定封包的來源。請選取下列任一選項:
    • 任何 (Any) - 依預設會允許所有來源位址。
    • 物件群組 (Object Group) - 可讓您選取位址群組和連接埠群組的組合。如需詳細資訊,請參閱物件群組使用物件群組設定防火牆規則
      備註: 如果所選位址群組包含任何網域名稱,則會在與來源相符時忽略這些網域名稱。
    • 定義 (Define) - 可讓您定義特定 VLAN、介面、IP 位址、MAC 位址或連接埠的來源流量。

      對於 IP 位址,請選擇下列三個選項之一:

      • CIDR 首碼 (CIDR prefix) - 如果您想要將網路定義為 CIDR 值 (例如:172.10.0.0 /16),請選擇此選項。
      • 子網路遮罩 (Subnet mask) - 如果您想要根據子網路遮罩定義網路 (例如 172.10.0.0 255.255.0.0),請選擇此選項。
      • 萬用字元遮罩 (Wildcard mask) - 如果您想要能夠將強制執行原則的範圍縮小到共用相符主機 IP 位址值之不同 IP 子網路間的一組裝置,請選擇此選項。萬用字元遮罩會根據反向的子網路遮罩比對 IP 或一組 IP 位址。遮罩的二進位值中若包含「0」,表示值是固定的,遮罩的二進位值中若包含「1」,則表示值是萬用字元 (可以是 1 或 0)。以 IP 位址為 172.0.0 的萬用字元遮罩 0.0.0.255 (二進位對等項目 = 00000000.00000000.00000000.11111111) 為例,前三個八位元數字是固定值,最後一個八位元數字是變數值。
      備註: 如果無法選取介面,則介面不會啟用或不會指派給此區段。
    目的地 (Destination) 允許指定封包的目的地。請選取下列任一選項:
    • 任何 (Any) - 依預設會允許所有目的地位址。
    • 物件群組 (Object Group) - 可讓您選取位址群組和連接埠群組的組合。如需詳細資訊,請參閱物件群組使用物件群組設定防火牆規則
    • 定義 (Define) - 可讓您定義特定 VLAN、介面、IP 位址、網域名稱、通訊協定或連接埠的目的地流量。對於 IP 位址,請選擇下列三個選項之一:CIDR 首碼 (CIDR prefix)子網路遮罩 (Subnet mask)萬用字元遮罩 (Wildcard mask)

      如果無法選取介面,則介面不會啟用或不會指派給此區段。

      使用網域名稱 (Domain Name) 欄位,以符合完整的網域名稱或部分的網域名稱。例如,「salesforce」將會比對「www.salesforce.com」的流量。

    應用程式 (Application) 請選取下列任一選項:
    • 任何 (Any) - 依預設會將防火牆規則套用至任何應用程式。
    • 定義 (Define) - 允許選取應用程式,並區別服務代碼點 (DSCP) 旗標來套用特定的防火牆規則。
    備註: 建立與應用程式相符的防火牆規則時,防火牆取決於 DPI (深入封包檢查) 引擎,以識別特定流量所屬的應用程式。通常,DPI 將無法根據第一個封包來判斷應用程式。DPI 引擎通常需要流量中的前 5-10 個封包來識別應用程式,但防火牆需要將流量從第一個封包進行分類和轉送。這可能會導致第一個流量符合防火牆清單中較一般化的規則。正確識別應用程式後,將自動重新分類與相同元組相符的任何未來流量,並按正確的規則進行重新分類。
  6. 動作 (Action) 區域下,設定規則的動作:
    設定 說明
    防火牆 選取符合規則的條件時,防火牆應對封包執行的下列任一動作:
    • 允許 (Allow) - 依預設會允許資料封包。
    • 捨棄 (Drop) - 無訊息地捨棄資料封包,且不傳送任何通知給來源。
    • 拒絕 (Reject) - 捨棄封包,並傳送明確的重設訊息以通知來源。
    • 略過 (Skip) - 在查閱期間略過規則,並處理下一個規則。但是,此規則會在部署 SD-WAN 時使用。
    記錄 如果您想要在觸發此規則時建立記錄項目,請選取此核取方塊。
  7. 建立或更新防火牆規則時,您可以使用稽核註解 (Audit Comment) 文字方塊來新增稽核註解。最多允許 50 個字元,且您可以為相同規則新增任何數量的註解。
  8. 按一下稽核歷程記錄 (Audit History) 按鈕,以檢視針對規則新增的所有稽核註解。您可以在搜尋 (Search) 欄位中輸入搜尋文字,以搜尋特定註解。
  9. 按一下確定 (OK)

結果

系統會為選取的設定檔建立防火牆規則,並將其顯示在設定檔防火牆 (Profile Firewall) 頁面的防火牆規則 (Firewall Rules) 區域下方。