防火墙表

防火墙表列出了过滤进出私有云资源的网络流量。您可以将防火墙表应用于 VLAN/子网。这些规则用于控制来源网络或 IP 地址与目标网络或 IP 地址之间的网络流量。

防火墙规则

下表介绍了防火墙规则中的参数。

属性 详情
名称 唯一标识防火墙规则及其用途的名称。
优先级 100 到 4096 之间的数字,其中 100 是最高优先级。规则按优先级顺序进行处理。当流量遇到规则匹配时,规则处理会停止。结果,优先级较低的规则与优先级较高的规则相同,因此未处理这些规则。请务必避免冲突规则。
状态跟踪 跟踪可以是无状态(私有云、互联网或 VPN)或有状态(公共 IP)。
协议 选项包括 Any、TCP 或 UDP。如果您需要 ICMP,请使用 Any。
方向 该规则适用于入站还是出站流量。
操作 允许或拒绝规则中定义的流量类型。
来源 IP 地址、无类别域间路由 (CIDR) 块(例如 10.0.0.0/24)或 Any。指定范围,服务标记或应用安全组可减少创建安全规则的数量。
来源端口 发起网络流量的端口。您可以指定单个端口或端口范围,例如 443 或 8000-8080。指定范围可让您创建更少的安全规则。
目标 IP 地址,CIDR 地址块(例如 10.0.0.0/24)或“任意”。指定范围,服务标记或应用安全组可减少创建安全规则的数量。
目标端口 网络流量流向的端口。您可以指定单个端口或端口范围,例如 443 或 8000-8080。指定范围可让您创建更少的安全规则。

无状态

无状态规则仅查看单个数据包,并根据规则进行过滤。

对于反方向中的流量流动需要其他规则。对以下两点之间的流量使用无状态规则:

  • 私有云的子网
  • 本地子网和私有云子网
  • 来自私有云的互联网流量

有状态

有状态规则会通过它的连接跟踪。有状态规则会为现有连接创建流记录。根据流记录的连接状态允许或拒绝通信。对公共 IP 地址使用此规则类型可过滤来自互联网的流量。

默认规则

每个防火墙表都有以下默认规则。

优先级 名称 状态跟踪 方向 流量类型 协议 来源 来源端口 目标 目标端口 操作
65000 允许所有内网 有状态 出站 公共 IP 或互联网流量 所有 不限 不限 不限 不限 允许
65001 阻止所有内网 有状态 入站 公共 IP 或互联网流量 所有 不限 不限 不限 不限 拒绝
65002 允许所有内网 无状态 出站 Private Cloud 内部或 VPN 流量 所有 不限 不限 不限 不限 允许
65003 允许所有内网 无状态 入站 Private Cloud 内部或 VPN 流量 所有 不限 不限 不限 不限 允许

后续步骤