Udostępnij za pośrednictwem


Omówienie tabel zapory

Tabela zapory zawiera listę reguł filtrowania ruchu sieciowego do i z zasobów chmury prywatnej. Tabele zapory można zastosować do sieci VLAN/podsieci. Reguły kontrolują ruch sieciowy między siecią źródłową lub adresem IP a docelową siecią lub adresem IP.

Reguły zapory

W poniższej tabeli opisano parametry reguły zapory.

Właściwość Szczegóły
Nazwa Nazwa, która jednoznacznie identyfikuje regułę zapory i jej przeznaczenie.
Priority Liczba z zakresu od 100 do 4096, z 100 jest najwyższym priorytetem. Reguły są przetwarzane w kolejności priorytetu. Gdy ruch napotka dopasowanie reguły, przetwarzanie reguł zostanie zatrzymane. W związku z tym reguły o niższych priorytetach, które mają te same atrybuty co reguły o wyższych priorytetach, nie są przetwarzane. Należy zachować ostrożność, aby uniknąć reguł powodujących konflikt.
Śledzenie stanu Śledzenie może być bezstanowe (chmura prywatna, Internet lub sieć VPN) lub stanowe (publiczny adres IP).
Protokół Opcje obejmują dowolne, TCP lub UDP. Jeśli potrzebujesz protokołu ICMP, użyj opcji Dowolny.
Kierunek Określa, czy reguła ma zastosowanie do ruchu przychodzącego, czy wychodzącego.
Akcja Zezwalaj lub odmawiaj typu ruchu zdefiniowanego w regule.
Element źródłowy Adres IP, blok routingu między domenami (CIDR, classless inter-domain routing) (na przykład 10.0.0.0/24) lub Any. Określanie zakresu, tagu usługi lub grupy zabezpieczeń aplikacji umożliwia utworzenie mniejszej liczby reguł zabezpieczeń.
Port źródłowy Port, z którego pochodzi ruch sieciowy. Można określić pojedynczy port lub zakres portów, takich jak 443 lub 8000-8080. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń.
Element docelowy Adres IP, blok routingu między domenami (CIDR, classless inter-domain routing) (na przykład 10.0.0.0/24) lub Any. Określanie zakresu, tagu usługi lub grupy zabezpieczeń aplikacji umożliwia utworzenie mniejszej liczby reguł zabezpieczeń.
Port docelowy Port, do którego przepływa ruch sieciowy. Można określić pojedynczy port lub zakres portów, takich jak 443 lub 8000-8080. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń.

Bezstanowe

Reguła bezstanowa analizuje tylko poszczególne pakiety i filtruje je na podstawie reguły.
Dodatkowe reguły mogą być wymagane dla przepływu ruchu w odwrotnym kierunku. Użyj reguł bezstanowych dla ruchu między następującymi punktami:

  • Podsieci chmur prywatnych
  • Podsieć lokalna i podsieć chmury prywatnej
  • Ruch internetowy z chmur prywatnych

Stanowe

Reguła stanowa jest świadoma połączeń, które przechodzą przez nią. Rekord przepływu tworzony jest dla istniejących połączeń. Komunikacja jest dozwolona lub zablokowana na podstawie stanu połączenia z rekordu przepływu. Użyj tego typu reguły dla publicznych adresów IP, aby filtrować ruch z Internetu.

Reguły domyślne

Następujące reguły domyślne są tworzone w każdej tabeli zapory.

Priorytet Nazwa Śledzenie stanu Kierunek Typ ruchu Protokół Element źródłowy Port źródłowy Element docelowy Port docelowy Akcja
65000 allow-all-to-Internet Stanowe Wychodzący Publiczny adres IP lub ruch internetowy Wszyscy Dowolne Dowolne Dowolne Dowolne Zezwalaj
65001 deny-all-from-Internet Stanowe Przychodzący Publiczny adres IP lub ruch internetowy Wszyscy Dowolne Dowolne Dowolne Dowolne Zablokuj
65002 allow-all-to-intranet Bezstanowe Wychodzący Ruch wewnętrzny lub vpn w chmurze prywatnej Wszyscy Dowolne Dowolne Dowolne Dowolne Zezwalaj
65003 allow-all-from-intranet Bezstanowe Przychodzący Ruch wewnętrzny lub vpn w chmurze prywatnej Wszyscy Dowolne Dowolne Dowolne Dowolne Zezwalaj

Następne kroki