防火墙表
防火墙表列出了过滤进出私有云资源的网络流量。防火墙规则用于控制来源网络或 IP 地址与目标网络或 IP 地址之间的网络流量。
设置防火墙表和防火墙规则后,您可以将表附加到子网,以应用相应的规则。您可以将防火墙表应用于多个子网,但一个子网只能与一个防火墙表相关联。
防火墙表用于控制对外部 IP 地址的访问权限。对于所有其他访问权限控制,请在 NSX-T 数据中心内管理防火墙设置。如需了解详情,请参阅管家模式的防火墙。
创建防火墙表
- 访问 Google Cloud VMware Engine 门户。
- 转到网络 > 防火墙表。
- 点击创建新的防火墙表。
- 输入表的名称。
- (可选)添加防火墙规则。每个防火墙表都以一组默认防火墙规则开始。
- 点击完成以保存防火墙表。
将防火墙表附加到子网
定义防火墙表后,您可以指定受表中规则约束的子网。
- 在网络>防火墙表页面上,选择一个防火墙表。
- 选择添加的子网标签。
- 点击 添加到子网。
- 选择要将防火墙表附加到的私有云。
- 选择该私有云的 NsxtEdgeUplink1 子网。
- 点击提交。
- 对该私有云的 NsxtEdgeUplink2 子网重复上述步骤。
防火墙规则
防火墙规则决定了防火墙如何处理特定类型的流量。所选防火墙表的 规则 标签页列出了所有关联规则。
如需创建防火墙规则,请按以下步骤操作:
- 转到网络 > 防火墙表。
- 选择防火墙表。
- 点击创建新规则。
- 设置所需的防火墙规则属性。
- 点击完成以保存该规则,并将其添加到防火墙表的规则列表中。
有状态规则
有状态防火墙规则会通过它的连接跟踪。有状态规则会为现有连接创建流记录。根据流记录的连接状态允许或拒绝通信。对公共 IP 地址使用此规则类型可过滤来自互联网的流量。
默认防火墙规则
每个防火墙表都有以下默认防火墙规则。
| 优先级 | 名称 | 方向 | 流量类型 | 协议 | 来源 | 来源端口 | 目标 | 目标端口 | 操作 |
|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-tcp-to-internet | 出站 | 公共 IP 或互联网流量 | TCP | 不限 | 不限 | 不限 | 不限 | 允许 |
| 65001 | allow-udp-to-internet | 出站 | 公共 IP 或互联网流量 | UDP | 不限 | 不限 | 不限 | 不限 | 允许 |
| 65002 | allow-icmp-to-internet | 出站 | 公共 IP 或互联网流量 | ICMP | 不限 | 不限 | 不限 | 不限 | 允许 |
| 65100 | deny-all-from-internet | 入站 | 公共 IP 或互联网流量 | 所有协议 | 不限 | 不限 | 不限 | 不限 | 拒绝 |
| 65101 | allow-all-to-intranet | 出站 | Private Cloud 内部或 VPN 流量 | 所有协议 | 不限 | 不限 | 不限 | 不限 | 允许 |
| 65102 | allow-all-from-intranet | 入站 | Private Cloud 内部或 VPN 流量 | 所有协议 | 不限 | 不限 | 不限 | 不限 | 允许 |
防火墙规则属性
下表介绍了防火墙规则中的属性。
| 属性 | 说明 |
|---|---|
| 名称 | 唯一标识防火墙规则及其用途的名称。 |
| 优先级 | 100 到 4096 之间的数字,其中 100 是最高优先级。 规则按优先级顺序进行处理。当流量遇到规则匹配时,规则处理会停止。优先级较低的规则与优先级较高的规则相同,因此未处理这些规则。请务必避免冲突规则。 |
| 协议 | 规则涵盖的互联网协议。 |
| 方向 | 该规则适用于入站流量还是出站流量。 您必须为入站和出站流量定义单独的规则。 |
| 操作 | 允许或拒绝规则中定义的流量类型。 |
| 来源 | IP 地址、无类别域间路由 (CIDR) 块(例如 10.0.0.0/24)或 Any。 |
| 源端口范围 | 发起网络流量的端口。您可以指定单个端口或端口范围,例如 443 或 8000-8080。指定范围可让您创建更少的安全规则。 |
| 目标 | IP 地址,CIDR 地址块(例如 10.0.0.0/24)或“任意”。 |
| 目标端口范围 | 网络流量流向的端口。您可以指定单个端口或端口范围,例如 443 或 8000-8080。指定范围可让您创建更少的安全规则。 |