在設定檔層級和 Edge 層級設定防火牆規則時,您可以選取現有的物件群組,以比對來源或目的地。您可以藉由在規則定義中包含物件群組,來定義 IP 位址範圍或 TCP/UDP/ICMPv4/ICMPv6 連接埠範圍的規則。
在設定檔層級,若要使用物件群組來設定防火牆規則,請執行以下步驟:
程序
- 在企業入口網站的 SD-WAN 服務中,移至。設定檔 (Profiles) 頁面即會顯示現有的設定檔。
- 選取一個設定檔以設定防火牆規則,然後按一下防火牆 (Firewall) 索引標籤。
從
設定檔 (Profiles) 頁面中,您可以直接導覽至
防火牆 (Firewall) 頁面,方法是按一下設定檔的
防火牆 (Firewall) 資料行中的
檢視 (View) 連結。
- 移至設定防火牆 (Configure Firewall) 區段,然後在防火牆規則 (Firewall Rules) 下方,按一下 + 新增規則 (+ NEW RULE)。設定規則 (Configure Rule) 對話方塊隨即出現。
- 在規則名稱 (Rule Name) 文字方塊中,輸入規則的唯一名稱。若要從現有規則建立防火牆規則,請從複製規則 (Duplicate Rule) 下拉式功能表中選取要複製的規則。
- 在比對 (Match) 區域中,設定規則的比對條件:
- 選擇規則的 IP 位址類型。依預設,會選取 IPv4 和 IPv6 位址類型。您可以根據選取的 [位址類型 (Address Type)] 設定來源和目的地 IP 位址。
- 從來源 (Source) 下拉式功能表中,選取物件群組 (Object Groups)。
- 從下拉式功能表中選取相關的位址群組和服務群組。如果所選位址群組包含任何網域名稱,則會在與來源比對時忽略這些網域名稱。
您可以按一下 [位址群組 (Address Group)] 和 [服務群組 (Service Group)] 下拉式功能表旁邊的 [資訊 (Info)] 圖示,以檢視對應的位址群組和服務群組的組態詳細資料。
- 如有需要,您也可以針對目的地選取位址群組和服務群組。
根據所選的位址類型,行為將如下所示:
- IPv4 類型規則只會比對所選位址群組中可用的 IPv4 位址。
- IPv6 類型規則只會比對所選位址群組中可用的 IPv6 位址。
- 混合類型規則會同時比對所選位址群組中的 IPv4 和 IPv6 位址。
- 視需要選擇防火牆動作,然後按一下建立 (Create)。
- 按一下儲存變更 (Save Changes)。
系統會為選取的設定檔建立防火牆規則,並將其顯示在
設定檔防火牆 (Profile Firewall) 頁面的
防火牆規則 (Firewall Rules) 區域下方。
備註: 無法在 Edge 層級更新在設定檔層級建立的規則。若要覆寫規則,使用者需要在 Edge 層級,使用新參數建立相同的規則,以覆寫設定檔層級的規則。
在
設定檔防火牆 (Profile Firewall) 頁面的
防火牆規則 (Firewall Rules) 區域中,您可以執行以下動作:
- 刪除 (DELETE) - 若要刪除現有的防火牆規則,請選取這些規則前面的核取方塊,然後按一下刪除 (DELETE)。
- 複製 (CLONE) - 若要複製防火牆規則,請選取該規則,然後按一下複製 (CLONE)。
- 註解歷程記錄 (COMMENT HISTORY) - 若要檢視在建立或更新規則時新增的所有註解,請選取該規則,然後按一下註解歷程記錄 (COMMENT HISTORY)。
- 搜尋規則 (Search for Rule) - 允許依照規則名稱、IP 位址、連接埠/連接埠範圍以及位址群組和服務群組名稱來搜尋規則。
結果
您為設定檔建立的防火牆規則,會自動套用至與設定檔相關聯的所有 Edge。如有需要,您可以導覽至
設定 (Configure) >
Edge,選取一個 Edge,然後按一下
防火牆 (Firewall) 索引標籤,以建立 Edge 特定的其他規則。
設定檔中的規則 (Rules From Profile) 區段顯示繼承自設定檔的規則,且這些規則將為唯讀。如果您要覆寫任何設定檔層級的規則,請新增規則。新增的規則將顯示在
設定檔中的規則 (Rules From Profile) 區段上方的資料表,必要時,藉由修改或刪除來處理該規則。
備註: 依預設會將防火牆規則指派給全域區段。如有需要,您可以從
區段 (Segment) 下拉式清單中選擇區段,並建立專屬於所選區段的防火牆規則。
您可以使用其他 IP 位址、連接埠號碼、服務類型和代碼,來修改物件群組。這些變更會自動包含在使用物件群組的防火牆規則中。
備註: 在修改物件群組之前,您可以從同一 UI 畫面中按一下位址群組和服務名稱旁邊的 [資訊 (Info)] 圖示,以檢視位址群組和服務群組的組態詳細資料。系統將顯示一個快顯視窗,其中顯示了對應的位址群組和服務群組的組態詳細資料。