您可以在設定檔和 Edge 層級設定防火牆規則,以允許、捨棄、拒絕或略過輸入和輸出流量。如果啟用了可設定狀態的防火牆功能,則將驗證防火牆規則,以篩選輸入和輸出流量。啟用了無狀態防火牆之後,您可以控制只篩選輸出流量。防火牆規則會比對參數,例如 IP 位址、連接埠、VLAN 識別碼、介面、MAC 位址、網域名稱、通訊協定、物件群組、應用程式和 DSCP 標籤。當資料封包符合相符條件時,會採取相關聯的一或多個動作。如果封包不符合任何參數,則會在封包上採取預設動作。

若要使用新的 Orchestrator UI 在設定檔層級設定防火牆規則,請執行以下步驟。

程序

  1. 從企業入口網站中,移至設定 (Configure) > 設定檔 (Profiles)設定檔 (Profiles) 頁面即會顯示現有的設定檔。
  2. 選取一個設定檔以設定防火牆規則,然後按一下防火牆 (Firewall) 索引標籤。
    設定檔 (Profiles) 頁面中,您可以直接導覽至 防火牆 (Firewall) 頁面,方法是按一下設定檔的 防火牆 (Firewall) 資料行中的 檢視 (View) 連結。
  3. 移至設定防火牆 (Configure Firewall) 區段,然後在防火牆規則 (Firewall Rules) 區域下方,按一下 + 新增規則 (+ NEW RULE)設定規則 (Configure Rule) 對話方塊隨即出現。
  4. 規則名稱 (Rule Name) 文字方塊中,輸入規則的唯一名稱。若要從現有規則建立防火牆規則,請從複製規則 (Duplicate Rule) 下拉式功能表中選取要複製的規則。
  5. 比對 (Match) 區段中,設定規則的比對條件:
    欄位 說明
    位址類型 (Address Type) 依預設,會選取 IPv4 和 IPv6 位址類型。您可以根據選取的 [位址類型 (Address Type)] 設定來源和目的地 IP 位址,如下所示:
    • IPv4 - 僅允許將 IPv4 位址設定為來源和目的地。
    • IPv6 - 僅允許將 IPv6 位址設定為來源和目的地。
    • IPv4 和 IPv6 (IPv4 and IPv6) - 允許在比對準則中設定 IPv4 和 IPv6 位址。如果選擇此模式,則無法設定來源或目的地 IP 位址。
    備註: 當升級時,舊版中的防火牆規則會移至 IPv4 模式。
    來源 (Source)
    允許指定封包的來源。請選取下列任一選項:
    • 任何 (Any) - 依預設會允許所有來源位址。
    • 物件群組 (Object Group) - 可讓您選取位址群組和連接埠群組的組合。如需詳細資訊,請參閱物件群組使用物件群組設定防火牆規則
      備註: 如果所選位址群組包含任何網域名稱,則會在與來源相符時忽略這些網域名稱。
    • 定義 (Define) - 可讓您定義特定 VLAN、介面、IPv4 或 IPv6 位址、MAC 位址或傳輸連接埠的來源流量。選取下列其中一個選項:
      • VLAN - 比對來自指定 VLAN (從下拉式功能表中選取) 的流量。
      • 介面和 IP 位址 (Interface and IP Address) - 比對來自指定介面和 IPv4 或 IPv6 位址 (從下拉式功能表中選取) 的流量。
        備註: 如果無法選取介面,則介面不會啟動或不會指派給此區段。
        備註: 如果選取 IPv4 和 IPv6 (IPv4 and IPv6) (混合模式) 作為位址類型,則僅根據指定介面比對流量。
        除了 IP 位址,您還可以指定下列其中一個位址類型以比對來源流量:
        • CIDR 首碼 (CIDR prefix) - 如果您想要將網路定義為 CIDR 值 (例如:172.10.0.0 /16),請選擇此選項。
        • 子網路遮罩 (Subnet mask) - 如果您想要根據子網路遮罩定義網路 (例如 172.10.0.0 255.255.0.0),請選擇此選項。
        • 萬用字元遮罩 (Wildcard mask) - 如果您想要能夠將強制執行原則的範圍縮小到共用相符主機 IP 位址值之不同 IP 子網路間的一組裝置,請選擇此選項。萬用字元遮罩會根據反向的子網路遮罩比對 IP 或一組 IP 位址。遮罩的二進位值中若包含「0」,表示值是固定的,遮罩的二進位值中若包含「1」,則表示值是萬用字元 (可以是 1 或 0)。以 IP 位址為 172.0.0 的萬用字元遮罩 0.0.0.255 (二進位對等項目 = 00000000.00000000.00000000.11111111) 為例,前三個八位元數字是固定值,最後一個八位元數字是可變值。該選項僅適用於 IPv4 位址。
      • Mac 位址 (Mac Address) - 根據指定的 MAC 位址比對流量。
      • 傳輸 (Transport) - 比對來自指定的來源連接埠或連接埠範圍的流量。
    目的地 (Destination) 允許指定封包的目的地。請選取下列任一選項:
    • 任何 (Any) - 依預設會允許所有目的地位址。
    • 物件群組 (Object Group) - 可讓您選取位址群組和連接埠群組的組合。如需詳細資訊,請參閱物件群組使用物件群組設定防火牆規則
    • 定義 (Define) - 可讓您定義特定 VLAN、介面、IPv4 或 IPv6 位址、網域名稱、通訊協定或連接埠的目的地流量。選取下列其中一個選項:
      • VLAN - 比對來自指定 VLAN (從下拉式功能表中選取) 的流量。
      • 介面 (Interface) - 比對來自指定介面 (從下拉式功能表中選取) 的流量。
        備註: 如果無法選取介面,則介面不會啟動或不會指派給此區段。
      • IP 位址 (IP Address) - 比對指定的 IPv4 或 IPv6 位址和網域名稱的流量。
        備註: 如果選取 IPv4 和 IPv6 (IPv4 and IPv6) (混合模式) 作為位址類型,則無法將 IP 位址指定為目的地。

        除了 IP 位址以外,您還可以指定下列其中一種位址類型以比對來源流量:CIDR 首碼 (CIDR prefix)子網路遮罩 (Subnet mask)萬用字元遮罩 (Wildcard mask)

        使用網域名稱 (Domain Name) 欄位,以符合完整的網域名稱或部分的網域名稱。例如,「salesforce」將會比對「mixe」的流量。

      • 傳輸 (Transport) - 比對來自指定的來源連接埠或連接埠範圍的流量。
        通訊協定 (Protocol) - 比對指定的通訊協定 (從下拉式功能表中選取) 的流量。支援的通訊協定為 GRE、ICMP、TCP 和 UDP。
        備註: 混合模式 (IPv4 和 IPv6) 不支援 ICMP。
    應用程式 (Application) 請選取下列任一選項:
    • 任何 (Any) - 依預設會將防火牆規則套用至任何應用程式。
    • 定義 (Define) - 允許選取應用程式,並區別服務代碼點 (DSCP) 旗標來套用特定的防火牆規則。
    備註: 建立與應用程式相符的防火牆規則時,防火牆取決於 DPI (深度封包檢查) 引擎,以識別特定流量所屬的應用程式。通常,DPI 將無法根據第一個封包來判斷應用程式。DPI 引擎通常需要流量中的前 5-10 個封包來識別應用程式,但防火牆需要將流量從第一個封包進行分類和轉送。這可能會導致第一個流量符合防火牆清單中較一般化的規則。正確識別應用程式後,將自動重新分類與相同元組相符的任何未來流量,並按正確的規則進行重新分類。
  6. 動作 (Action) 區段中,設定當流量符合定義的準則時,所要執行的動作。
    欄位 說明
    防火牆 (Firewall) 選取符合規則的條件時,防火牆應對封包執行的下列任一動作:
    • 允許 (Allow) - 依預設會允許資料封包。
    • 捨棄 (Drop) - 無訊息地捨棄資料封包,且不傳送任何通知給來源。
    • 拒絕 (Reject) - 捨棄封包,並傳送明確的重設訊息以通知來源。
    • 略過 (Skip) - 在查閱期間略過規則,並處理下一個規則。但是,將在部署 SD-WAN 時使用此規則。
      備註: 僅當為設定檔和 Edge 啟用了 可設定狀態的防火牆 (Stateful Firewall) 功能時,您才能設定 拒絕 (Reject)略過 (Skip) 動作。
    記錄 (Log) 如果您想要在觸發此規則時建立記錄項目,請選取此核取方塊。
  7. 建立或更新防火牆規則時,您可以在新增註解 (New Comment) 欄位中,新增有關規則的註解。最多允許 50 個字元,且您可以為相同規則新增任何數量的註解。
  8. 設定所有必要的設定之後,請按一下建立 (Create)
    系統會為選取的設定檔建立防火牆規則,並將其顯示在 設定檔防火牆 (Profile Firewall) 頁面的 防火牆規則 (Firewall Rules) 區域下方。
    備註: 無法在 Edge 層級更新在設定檔層級建立的規則。若要覆寫規則,使用者需要在 Edge 層級,使用新參數建立相同的規則,以覆寫設定檔層級的規則。