防火墙表列出了用于筛选传入和传出私有云资源的网络流量的规则。 可以将防火墙表应用到 VLAN/子网。 规则控制源网络或 IP 地址与目标网络或 IP 地址之间的网络流量。
防火墙规则
下表描述了防火墙规则中的参数。
| 财产 | 详细信息 |
|---|---|
| 名称 | 唯一标识防火墙规则及其用途的名称。 |
| 优先级 | 介于 100 和 4096 之间的数字,100 是最高优先级。 规则按优先级顺序进行处理。 当流量遇到规则匹配时,规则的处理过程将停止。 因此,优先级较低且与优先级较高的规则具有相同属性的规则不会被处理。 注意避免冲突的条款。 |
| 状态跟踪 | 跟踪可以是无状态(私有云、Internet 或 VPN)或有状态(公共 IP)。 |
| 协议 | 选项包括 Any、TCP 或 UDP。 如果需要 ICMP,请使用 Any。 |
| 方向 | 该规则适用于入站流量,还是出站流量。 |
| 行动 | 对规则中定义的流量类型进行允许或拒绝。 |
| 来源 | 例如,IP 地址、无类域间路由(CIDR)块(例如 10.0.0.0/24)或任意。 通过指定范围、服务标记或应用程序安全组,可以创建更少的安全规则。 |
| 源端口 | 网络流量的来源端口。 可以指定单个端口或端口范围,例如 443 或 8000-8080。 指定范围可以减少创建的安全规则数。 |
| 目标 | 例如 IP 地址、无类域间路由(CIDR)块(如 10.0.0.0/24)或 "Any"。 通过指定范围、服务标记或应用程序安全组,可以创建更少的安全规则。 |
| 目标端口 | 网络流量流向的端口。 可以指定单个端口或端口范围,例如 443 或 8000-8080。 指定范围可以减少创建的安全规则数。 |
无状态
无状态规则仅查看单个数据包,并根据规则对其进行筛选。
可能需要针对相反方向的交通流制定其他规则。 对以下节点之间的流量使用无状态规则:
- 私有云的子网
- 本地子网和私有云子网
- 来自私有云的 Internet 流量
有状态
有状态规则可识别通过该规则的连接。 将为现有连接创建流记录。 是允许还是拒绝通信取决于流记录的连接状态。 将此规则类型用于公共 IP 地址以筛选来自 Internet 的流量。
默认规则
在每个防火墙表上创建以下默认规则。
| 优先权 | 名字 | 状态跟踪 | 方向 | 流量类型 | 协议 | 来源 | 源端口 | 目的地 | 目标端口 | 行动 |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | 允许所有连接到互联网 | 有状态的 | 出站 | 公共 IP 或 Internet 流量 | 全部 | 任意 | 任意 | 任意 | 任意 | 允许 |
| 65001 | 拒绝来自互联网的所有请求 | 有状态的 | 入站 | 公共 IP 或 Internet 流量 | 全部 | 任意 | 任意 | 任意 | 任意 | 否认 |
| 65002 | 允许所有访问内网 | 无状态 | 出站 | 私有云内部流量或 VPN 流量 | 全部 | 任意 | 任意 | 任意 | 任意 | 允许 |
| 65003 | 允许从内网访问所有内容 | 无状态 | 入站 | 私有云内部流量或 VPN 流量 | 全部 | 任意 | 任意 | 任意 | 任意 | 允许 |