在設定檔層級和 Edge 層級設定防火牆規則時,您可以選取現有的物件群組,以比對來源或目的地。您可以藉由在規則定義中包含物件群組,來定義 IP 位址範圍或 TCP/UDP/ICMPv4/ICMPv6 連接埠範圍的規則。

在設定檔層級,若要使用物件群組來設定防火牆規則,請執行以下步驟:

程序

  1. 在企業入口網站的 SD-WAN 服務中,移至設定 (Configure) > 設定檔 (Profiles)設定檔 (Profiles) 頁面即會顯示現有的設定檔。
  2. 選取一個設定檔以設定防火牆規則,然後按一下防火牆 (Firewall) 索引標籤。
    設定檔 (Profiles) 頁面中,您可以直接導覽至 防火牆 (Firewall) 頁面,方法是按一下設定檔的 防火牆 (Firewall) 資料行中的 檢視 (View) 連結。
  3. 移至設定防火牆 (Configure Firewall) 區段,然後在防火牆規則 (Firewall Rules) 下方,按一下 + 新增規則 (+ NEW RULE)設定規則 (Configure Rule) 對話方塊隨即出現。
  4. 規則名稱 (Rule Name) 文字方塊中,輸入規則的唯一名稱。若要從現有規則建立防火牆規則,請從複製規則 (Duplicate Rule) 下拉式功能表中選取要複製的規則。
  5. 比對 (Match) 區域中,設定規則的比對條件:
    1. 選擇規則的 IP 位址類型。依預設,會選取 IPv4 和 IPv6 位址類型。您可以根據選取的 [位址類型 (Address Type)] 設定來源和目的地 IP 位址。
    2. 來源 (Source) 下拉式功能表中,選取物件群組 (Object Groups)
    3. 從下拉式功能表中選取相關的位址群組和服務群組。如果所選位址群組包含任何網域名稱,則會在與來源比對時忽略這些網域名稱。
    4. 如有需要,您也可以針對目的地選取位址群組和服務群組。
      根據所選的位址類型,行為將如下所示:
      • IPv4 類型規則只會比對所選位址群組中可用的 IPv4 位址。
      • IPv6 類型規則只會比對所選位址群組中可用的 IPv6 位址。
      • 混合類型規則會同時比對所選位址群組中的 IPv4 和 IPv6 位址。
    5. 視需要選擇防火牆動作,然後按一下建立 (Create)
      如需有關比對和動作參數的詳細資訊,請參閱 設定防火牆規則
    6. 按一下儲存變更 (Save Changes)

結果

您為設定檔建立的防火牆規則,會自動套用至與設定檔相關聯的所有 Edge。如有需要,您可以導覽至 設定 (Configure) > Edge,選取一個 Edge,然後按一下 防火牆 (Firewall) 索引標籤,以建立 Edge 特定的其他規則或修改繼承的規則。
設定檔中的規則 (Rules From Profile) 區段顯示繼承自設定檔的規則,且這些規則將為唯讀。如果您要覆寫任何設定檔層級的規則,請新增規則。新增的規則將顯示在 設定檔中的規則 (Rules From Profile) 區段上方的資料表,必要時,藉由修改或刪除來處理該規則。
備註: 依預設會將防火牆規則指派給全域區段。如有需要,您可以從 區段 (Segment) 下拉式清單中選擇區段,並建立專屬於所選區段的防火牆規則。

您可以使用其他 IP 位址、連接埠號碼、服務類型和代碼,來修改物件群組。這些變更會自動包含在使用物件群組的防火牆規則中。