防火牆資料表概觀
防火牆資料表會列出規則,藉以篩選私人雲端資源的網路流量。 您可以將防火牆資料表套用至 VLAN/子網路。 規則可控制來源網路、IP 位址與目的地網路、IP 位址之間的網路流量。
防火牆規則
下表說明防火牆規則中的參數。
| 屬性 | 詳細資料 |
|---|---|
| 名稱 | 可唯一識別防火牆規則及其用途的名稱。 |
| 優先順序 | 介於 100 到 4096 之間的數字,100 是最高優先順序。 規則會依照優先順序進行處理。 當流量遇到相符的規則時,規則處理作業就會停止。 因此,如果較低優先順序的規則,與較高優先順序的規則具有相同屬性,則系統不會處理前項規則。 請小心避免規則發生衝突情形。 |
| 狀態追蹤 | 追蹤可以是無狀態 (私人雲端、網際網路或 VPN) 或具狀態 (公用 IP)。 |
| 通訊協定 | 選項包括 [任意]、[TCP] 或 [UDP]。 如果您需要 ICMP,請選擇 [任意]。 |
| 方向 | 規則適用於連入還是連出流量。 |
| 動作 | 允許或拒絕規則中定義的流量類型。 |
| 來源 | IP 位址、無類別網域間路由 (CIDR) 區塊 (例如 10.0.0.0/24) 或 [任意]。 指定範圍、服務標籤或應用程式安全性群組,可讓您建立較少的安全性規則。 |
| 來源連接埠 | 產生網路流量的連接埠。 您可以指定個別連接埠或連接埠範圍,例如 443 或 8000-8080。 指定範圍可讓您建立較少的安全性規則。 |
| 目的地 | IP 位址、無類別網域間路由 (CIDR) 區塊 (例如 10.0.0.0/24) 或 [任意]。 指定範圍、服務標籤或應用程式安全性群組,可讓您建立較少的安全性規則。 |
| 目的地連接埠 | 網路流量流向的連接埠。 您可以指定個別連接埠或連接埠範圍,例如 443 或 8000-8080。 指定範圍可讓您建立較少的安全性規則。 |
無狀態
無狀態規則只會查看個別封包,並根據規則進行篩選。
系統可能需要其他規則,才能以反方向流動流量。 針對下列幾點之間的流量使用無狀態規則:
- 私人雲端的子網路
- 內部部署子網路和私人雲端子網路
- 來自私人雲端的網際網路流量
具狀態
具狀態規則會察覺到通過其本身的連線作業。 系統會為現有連線建立流程記錄。 允許或拒絕通訊都會以此流程記錄的連線狀態為依據。 針對公用 IP 位址使用此規則類型,藉以篩選來自網際網路的流量。
預設規則
系統會在每個防火牆資料表建立下列預設規則。
| 優先順序 | 名稱 | 狀態追蹤 | Direction | 流量類型 | 通訊協定 | 來源 | 來源連接埠 | Destination | 目的地連接埠 | 動作 |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet | 具狀態 | 輸出 | 公用 IP 或網際網路流量 | 全部 | 任意 | 任意 | 任意 | 任意 | Allow |
| 65001 | deny-all-from-internet | 具狀態 | 連入 | 公用 IP 或網際網路流量 | 全部 | 任意 | 任意 | 任意 | 任意 | 拒絕 |
| 65002 | allow-all-to-intranet | 無狀態 | 輸出 | 私人雲端內部或 VPN 流量 | 全部 | 任意 | 任意 | 任意 | 任意 | Allow |
| 65003 | allow-all-from-intranet | 無狀態 | 連入 | 私人雲端內部或 VPN 流量 | 全部 | 任意 | 任意 | 任意 | 任意 | Allow |