防火牆表格列出規則,以篩選私人雲端資源的網路流量。 您可以將防火牆數據表套用至 VLAN/子網。 規則可控制來源網路或IP位址與目的地網路或IP位址之間的網路流量。
防火牆規則
下表描述防火牆規則中的參數。
| 財產 | 詳細資訊 |
|---|---|
| 名稱 | 可唯一識別防火牆規則及其用途的名稱。 |
| 優先順序 | 介於 100 到 4096 之間的數位,100 是最高優先順序。 規則會依優先順序進行處理。 當流量發生規則匹配時,規則處理立即停止。 因此,不會處理優先順序較低的規則,其屬性與優先順序較高的規則相同。 請小心避免衝突的規則。 |
| 狀態追蹤 | 追蹤可以是無狀態(私人雲端、因特網或 VPN)或具狀態(公用 IP)。 |
| 通訊協定 | 選項包括 Any、TCP 或 UDP。 如果您需要ICMP,請使用 Any。 |
| 方向 | 規則是否適用於連入或連出流量。 |
| 動作 | 允許或拒絕規則中定義的流量類型。 |
| 來源 | IP 位址、無類別域間路由(CIDR)區塊(例如 10.0.0.0/24),或任何。 指定範圍、服務標籤或應用程式安全組可讓您建立較少的安全性規則。 |
| 來源埠 | 網路流量的來源埠。 您可以指定個別埠或埠範圍,例如 443 或 8000-8080。 指定範圍讓您可建立較少的安全性規則。 |
| 目的地 | IP 位址、無類別域間路由 (CIDR) 區塊(例如 10.0.0.0/24),或任意。 指定範圍、服務標籤或應用程式安全組可讓您建立較少的安全性規則。 |
| 目的地連接埠 | 網路流量的目標埠。 您可以指定個別埠或埠範圍,例如 443 或 8000-8080。 指定範圍讓您可建立較少的安全性規則。 |
無狀態
無狀態規則只會查看個別封包,並根據規則加以篩選。
反向方向的流量可能需要其他規則。 針對下列點之間的流量使用無狀態規則:
- 私人雲端的子網
- 內部部署子網和私人雲端子網
- 來自私人雲端的因特網流量
有狀態的
具狀態規則會察覺通過它的連線。 會為現有的連線建立流程記錄。 根據流量記錄的連接狀態,允許或拒絕通訊。 針對公用IP位址使用此規則類型來篩選來自因特網的流量。
預設規則
每個防火牆數據表都會建立下列默認規則。
| 優先順序 | 名稱 | 狀態追蹤 | 方向 | 流量類型 | 協定 | 來源 | 來源連接埠 | 目的地 | 目的地港口 | 行動 |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | 允許所有連線到互聯網 | 有狀態的 | 出境 | 公用IP或因特網流量 | 全部 | 任意 | 任意 | 任意 | 任意 | 允許 |
| 65001 | 拒絕所有來自互聯網的訪問 | 有狀態 | 進來的 | 公用IP或因特網流量 | 全部 | 任意 | 任意 | 任意 | 任意 | 否認 |
| 65002 | 允許所有人訪問內聯網 | 無狀態 | 出境 | 私有雲內部或 VPN 流量 | 全部 | 任意 | 任意 | 任意 | 任意 | 允許 |
| 65003 | allow-all-from-intranet | 無狀態 | 進來的 | 私有雲端內部或 VPN 流量 | 全部 | 任意 | 任意 | 任意 | 任意 | 允許 |