Omówienie tabel zapory
Tabela zapory zawiera listę reguł filtrowania ruchu sieciowego do i z zasobów chmury prywatnej. Tabele zapory można zastosować do sieci VLAN/podsieci. Reguły kontrolują ruch sieciowy między siecią źródłową lub adresem IP a docelową siecią lub adresem IP.
Reguły zapory
W poniższej tabeli opisano parametry reguły zapory.
| Właściwość | Szczegóły |
|---|---|
| Nazwa | Nazwa, która jednoznacznie identyfikuje regułę zapory i jej przeznaczenie. |
| Priority | Liczba z zakresu od 100 do 4096, z 100 jest najwyższym priorytetem. Reguły są przetwarzane w kolejności priorytetu. Gdy ruch napotka dopasowanie reguły, przetwarzanie reguł zostanie zatrzymane. W związku z tym reguły o niższych priorytetach, które mają te same atrybuty co reguły o wyższych priorytetach, nie są przetwarzane. Należy zachować ostrożność, aby uniknąć reguł powodujących konflikt. |
| Śledzenie stanu | Śledzenie może być bezstanowe (chmura prywatna, Internet lub sieć VPN) lub stanowe (publiczny adres IP). |
| Protokół | Opcje obejmują dowolne, TCP lub UDP. Jeśli potrzebujesz protokołu ICMP, użyj opcji Dowolny. |
| Kierunek | Określa, czy reguła ma zastosowanie do ruchu przychodzącego, czy wychodzącego. |
| Akcja | Zezwalaj lub odmawiaj typu ruchu zdefiniowanego w regule. |
| Element źródłowy | Adres IP, blok routingu między domenami (CIDR, classless inter-domain routing) (na przykład 10.0.0.0/24) lub Any. Określanie zakresu, tagu usługi lub grupy zabezpieczeń aplikacji umożliwia utworzenie mniejszej liczby reguł zabezpieczeń. |
| Port źródłowy | Port, z którego pochodzi ruch sieciowy. Można określić pojedynczy port lub zakres portów, takich jak 443 lub 8000-8080. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń. |
| Element docelowy | Adres IP, blok routingu między domenami (CIDR, classless inter-domain routing) (na przykład 10.0.0.0/24) lub Any. Określanie zakresu, tagu usługi lub grupy zabezpieczeń aplikacji umożliwia utworzenie mniejszej liczby reguł zabezpieczeń. |
| Port docelowy | Port, do którego przepływa ruch sieciowy. Można określić pojedynczy port lub zakres portów, takich jak 443 lub 8000-8080. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń. |
Bezstanowe
Reguła bezstanowa analizuje tylko poszczególne pakiety i filtruje je na podstawie reguły.
Dodatkowe reguły mogą być wymagane dla przepływu ruchu w odwrotnym kierunku. Użyj reguł bezstanowych dla ruchu między następującymi punktami:
- Podsieci chmur prywatnych
- Podsieć lokalna i podsieć chmury prywatnej
- Ruch internetowy z chmur prywatnych
Stanowe
Reguła stanowa jest świadoma połączeń, które przechodzą przez nią. Rekord przepływu tworzony jest dla istniejących połączeń. Komunikacja jest dozwolona lub zablokowana na podstawie stanu połączenia z rekordu przepływu. Użyj tego typu reguły dla publicznych adresów IP, aby filtrować ruch z Internetu.
Reguły domyślne
Następujące reguły domyślne są tworzone w każdej tabeli zapory.
| Priorytet | Nazwa | Śledzenie stanu | Kierunek | Typ ruchu | Protokół | Element źródłowy | Port źródłowy | Element docelowy | Port docelowy | Akcja |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-Internet | Stanowe | Wychodzący | Publiczny adres IP lub ruch internetowy | Wszyscy | Dowolne | Dowolne | Dowolne | Dowolne | Zezwalaj |
| 65001 | deny-all-from-Internet | Stanowe | Przychodzący | Publiczny adres IP lub ruch internetowy | Wszyscy | Dowolne | Dowolne | Dowolne | Dowolne | Zablokuj |
| 65002 | allow-all-to-intranet | Bezstanowe | Wychodzący | Ruch wewnętrzny lub vpn w chmurze prywatnej | Wszyscy | Dowolne | Dowolne | Dowolne | Dowolne | Zezwalaj |
| 65003 | allow-all-from-intranet | Bezstanowe | Przychodzący | Ruch wewnętrzny lub vpn w chmurze prywatnej | Wszyscy | Dowolne | Dowolne | Dowolne | Dowolne | Zezwalaj |