防火墙表

防火墙表列出了过滤进出私有云资源的网络流量。防火墙规则用于控制来源网络或 IP 地址与目标网络或 IP 地址之间的网络流量。

设置防火墙表和防火墙规则后,您可以将表附加到子网,以应用相应的规则。您可以将防火墙表应用于多个子网,但一个子网只能与一个防火墙表相关联。

防火墙表只能应用于管理子网。对于包含工作负载虚拟机的子网,请在 NSX-T 数据中心内管理防火墙设置。如需了解详情,请参阅管家模式的防火墙

创建防火墙表

  1. 访问 Google Cloud VMware Engine 门户
  2. 转到网络 > 防火墙表
  3. 点击创建新的防火墙表
  4. 输入表的名称。
  5. (可选)添加防火墙规则。每个防火墙表都以一组默认防火墙规则开始。
  6. 点击完成以保存防火墙表。

将防火墙表附加到子网

定义防火墙表后,您可以指定受表中规则约束的子网。

  1. 网络 > 防火墙表页面上,选择一个防火墙表。
  2. 打开 添加子网 标签。
  3. 点击 添加到子网
  4. 选择私有云和子网。如果表中用户创建的规则仅适用于公共 IP 地址或互联网,请将表关联到系统管理子网。
  5. 点击提交

防火墙规则

防火墙规则决定了防火墙如何处理特定类型的流量。所选防火墙表的 规则 标签页列出了所有关联规则。

如需创建防火墙规则,请按以下步骤操作:

  1. 转到网络 > 防火墙表
  2. 选择防火墙表。
  3. 点击创建新规则
  4. 设置所需的防火墙规则属性
  5. 点击完成以保存该规则,并将其添加到防火墙表的规则列表中。

无状态规则

无状态防火墙规则仅查看单个数据包,并根据规则进行过滤。对以下两点之间的流量使用无状态规则:

  • 私有云的子网
  • 本地子网和私有云子网
  • 来自私有云的互联网流量

有状态规则

有状态防火墙规则会通过它的连接跟踪。有状态规则会为现有连接创建流记录。根据流记录的连接状态允许或拒绝通信。对公共 IP 地址使用此规则类型可过滤来自互联网的流量。

默认防火墙规则

每个防火墙表都有以下默认防火墙规则。

优先级 名称 状态跟踪 方向 流量类型 协议 来源 来源端口 目标 目标端口 操作
65000 允许所有内网 有状态 出站 公共 IP 或互联网流量 全部 不限 不限 不限 不限 允许
65001 阻止所有内网 有状态 入站 公共 IP 或互联网流量 全部 不限 不限 不限 不限 拒绝
65002 允许所有内网 无状态 出站 Private Cloud 内部或 VPN 流量 全部 不限 不限 不限 不限 允许
65003 允许所有内网 无状态 入站 Private Cloud 内部或 VPN 流量 全部 不限 不限 不限 不限 允许

防火墙规则属性

下表介绍了防火墙规则中的属性。

参数 详细信息
名称 唯一标识防火墙规则及其用途的名称。
优先级 100 到 4096 之间的数字,其中 100 是最高优先级。 规则按优先级顺序进行处理。当流量遇到规则匹配时,规则处理会停止。优先级较低的规则与优先级较高的规则相同,因此未处理这些规则。请务必避免冲突规则。
流量类型 跟踪可以是无状态(私有云、互联网或 VPN)或有状态(公共 IP)。
协议 该规则包含 TCP 协议还是 UDP 协议。
方向 该规则适用于入站流量还是出站流量。 您必须为入站和出站流量定义单独的规则。
操作 允许或拒绝规则中定义的流量类型。
来源 IP 地址、无类别域间路由 (CIDR) 块(例如 10.0.0.0/24)或 Any。指定范围,服务标记或应用安全组可减少创建安全规则的数量。
源端口范围 发起网络流量的端口。您可以指定单个端口或端口范围,例如 443 或 8000-8080。指定范围可让您创建更少的安全规则。
目标 IP 地址,CIDR 地址块(例如 10.0.0.0/24)或“任意”。指定范围,服务标记或应用安全组可减少创建安全规则的数量。
目标端口范围 网络流量流向的端口。您可以指定单个端口或端口范围,例如 443 或 8000-8080。指定范围可让您创建更少的安全规则。