防火墙表

防火墙表列出了过滤进出私有云资源的网络流量。防火墙规则用于控制来源网络或 IP 地址与目标网络或 IP 地址之间的网络流量。

设置防火墙表和防火墙规则后,您可以将表附加到子网,以应用相应的规则。您可以将防火墙表应用于多个子网,但一个子网只能与一个防火墙表相关联。

防火墙表用于控制对外部 IP 地址的访问权限。对于所有其他访问权限控制,请在 NSX-T 数据中心内管理防火墙设置。如需了解详情,请参阅管家模式的防火墙

创建防火墙表

  1. 访问 Google Cloud VMware Engine 门户
  2. 转到网络 > 防火墙表
  3. 点击创建新的防火墙表
  4. 输入表的名称。
  5. (可选)添加防火墙规则。每个防火墙表都以一组默认防火墙规则开始。
  6. 点击完成以保存防火墙表。

将防火墙表附加到子网

定义防火墙表后,您可以指定受表中规则约束的子网。

  1. 网络 > 防火墙表页面上,选择一个防火墙表。
  2. 选择添加的子网标签。
  3. 点击 添加到子网
  4. 选择要将防火墙表附加到的私有云。
  5. 选择该私有云的 NsxtEdgeUplink1 子网。
  6. 点击提交
  7. 对该私有云的 NsxtEdgeUplink2 子网重复上述步骤。

防火墙规则

防火墙规则决定了防火墙如何处理特定类型的流量。所选防火墙表的 规则 标签页列出了所有关联规则。

如需创建防火墙规则,请按以下步骤操作:

  1. 转到网络 > 防火墙表
  2. 选择防火墙表。
  3. 点击创建新规则
  4. 设置所需的防火墙规则属性
  5. 点击完成以保存该规则,并将其添加到防火墙表的规则列表中。

有状态规则

有状态防火墙规则会通过它的连接跟踪。有状态规则会为现有连接创建流记录。根据流记录的连接状态允许或拒绝通信。对公共 IP 地址使用此规则类型可过滤来自互联网的流量。

默认防火墙规则

每个防火墙表都有以下默认防火墙规则。

优先级 名称 方向 流量类型 协议 来源 来源端口 目标 目标端口 操作
65000 allow-tcp-to-internet 出站 公共 IP 或互联网流量 TCP 不限 不限 不限 不限 允许
65001 allow-udp-to-internet 出站 公共 IP 或互联网流量 UDP 不限 不限 不限 不限 允许
65002 allow-icmp-to-internet 出站 公共 IP 或互联网流量 ICMP 不限 不限 不限 不限 允许
65100 阻止所有内网 入站 公共 IP 或互联网流量 所有协议 不限 不限 不限 不限 拒绝
65101 允许所有内网 出站 Private Cloud 内部或 VPN 流量 所有协议 不限 不限 不限 不限 允许
65102 允许所有内网 入站 Private Cloud 内部或 VPN 流量 所有协议 不限 不限 不限 不限 允许

防火墙规则属性

下表介绍了防火墙规则中的属性。

属性 说明
名称 唯一标识防火墙规则及其用途的名称。
优先级 100 到 4096 之间的数字,其中 100 是最高优先级。 规则按优先级顺序进行处理。当流量遇到规则匹配时,规则处理会停止。优先级较低的规则与优先级较高的规则相同,因此未处理这些规则。请务必避免冲突规则。
协议 规则所涵盖的互联网协议。
方向 该规则适用于入站流量还是出站流量。 您必须为入站和出站流量定义单独的规则。
操作 允许或拒绝规则中定义的流量类型。
来源 IP 地址、无类别域间路由 (CIDR) 块(例如 10.0.0.0/24)或 Any。指定范围,服务标记或应用安全组可减少创建安全规则的数量。
源端口范围 发起网络流量的端口。您可以指定单个端口或端口范围,例如 443 或 8000-8080。指定范围可让您创建更少的安全规则。
目标 IP 地址,CIDR 地址块(例如 10.0.0.0/24)或“任意”。指定范围,服务标记或应用安全组可减少创建安全规则的数量。
目标端口范围 网络流量流向的端口。您可以指定单个端口或端口范围,例如 443 或 8000-8080。指定范围可让您创建更少的安全规则。