所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.1 用户指南 (Region Type I) 10

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
添加防火墙规则

添加防火墙规则

您可根据自身网络安全需求,在出方向和入方向添加相应虚拟防火墙规则。

背景信息

虚拟防火墙的规则可分为默认规则和自定义规则。

  • 默认规则是系统自动创建的规则,索引编号为“*”,优先级最低,分别在入方向和出方向上拒绝所有报文。此规则确保在数据包不匹配任何其他规则时拒绝此数据包,用户无法对其进行修改或删除。
    说明:

    虚拟防火墙关联子网后,除拥有默认规则外,还默认拥有以下规则:

    • 放行目的IP地址为 255.255.255.255/32的广播报文。
    • 放行目的网段为 224.0.0.0/24的组播报文。
    • 放行目的IP地址为 169.254.169.254/32 ,TCP端口为80的metadata报文。
    • 放行公共服务预留网段资源的报文,例如目的网段为100.126.0.0/16的报文。
  • 自定义规则是用户创建的规则。

入方向指从外部访问防火墙规则下的弹性云服务器,出方向指防火墙规则下的弹性云服务器访问防火墙规则外的地址。

在多条规则同时存在的防火墙中,数据流量是按照规则序号顺序(从编号最小的规则开始)依次与多个规则进行匹配,防火墙规则的判断逻辑如图11-7所示。

图11-7 防火墙规则判断逻辑
  • 如果数据包与白名单(即允许动作)相匹配,则执行允许。
  • 如果数据包与黑名单(即拒绝动作)相匹配,则执行拒绝。
  • 如果数据包与黑白名单都不匹配,则执行优先级最低的默认阻止规则。

操作步骤

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  1. 在导航栏左上角选择地域和Project。
  2. 在系统首页,选择“网络 > 虚拟防火墙”。
  3. 在右侧虚拟防火墙界面,单击要添加规则的虚拟防火墙名称进入详情页面。
  4. 若要在入方向添加防火墙规则,则在右侧虚拟防火墙详情页面,单击“入方向”页签。

    若要在出方向添加防火墙规则,则在右侧虚拟防火墙详情页面,单击“出方向”页签。

    图11-8 添加规则

  5. 单击“添加规则”按钮,弹出添加规则窗口,根据提示填写相关参数。参数说明请参见表11-5

    表11-5 参数说明

    参数

    参数说明

    取值样例

    动作

    防火墙策略,必选项。

    可选择允许、拒绝或驳回。

    • “允许”表示放行流量。
    • “拒绝”表示阻止流量,将在没有任何响应的情况下丢弃流量。
    • “驳回”表示阻止流量,将阻止流量并返回报告目标无法访问。

    允许

    协议

    防火墙支持的协议,必选项。目前只支持选择TCP、UDP、ANY、ICMP协议,当选择ANY或者ICMP时,端口范围信息不可填写。

    • TCP:传输层协议,提供可靠的数据传输,并在相互进行通信的设备或服务间保持一个虚拟连接。
    • UDP:传输层协议,主要作用是将网络数据流量压缩成数据包的形式。
    • ICMP:网络层协议,用于传递出错报告控制消息,使用ping程序检测通信状况。
    • ANY:表示对所有协议生效。

    TCP

    源地址

    此方向允许的源地址。

    默认值为0.0.0.0/0,代表支持所有的IP地址。

    例如:

    xxx.xxx.xxx.xxx/32(IP地址)

    xxx.xxx.xxx.0/24(子网)

    0.0.0.0/0(任意地址)

    0.0.0.0/0

    源端口范围

    单个源端口或源端口范围,选择TCP或UDP协议时必须填写。

    • 单个源端口,取值范围是0~65535,取0时代表不限制端口号。
    • 源端口范围,取值范围在1~65535之间,两个数字必须以短划线分隔。

    22或22-30

    目的地址

    此方向允许的目的地址。

    默认值为0.0.0.0/0,代表支持所有的IP地址。

    例如:

    xxx.xxx.xxx.xxx/32(IP地址)

    xxx.xxx.xxx.0/24(子网)

    0.0.0.0/0(任意地址)

    0.0.0.0/0

    目的端口范围

    单个目的端口或目的端口范围,选择TCP或UDP协议时必须填写。

    • 单个目的端口,取值范围是0~65535,取0时代表不限制端口号。
    • 目的端口范围,取值范围在1~65535之间,两个数字必须以短划线分隔。

    22或22-30

  6. 单击“确定”,添加防火墙规则。

    防火墙规则添加成功后会创建按顺序生成相应的规则编号,在虚拟防火墙列表中可以查看已创建的防火墙规则。

    说明:

    如果您在规则添加中协议选择ICMP或ANY,则该防火墙规则在列表中显示源/目的端口为0。

翻译
下载文档
更新时间:2019-08-15

文档编号:EDOC1100043090

浏览量:18056

下载量:563

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页