Tűzfaltáblák áttekintése
A tűzfaltáblák olyan szabályokat sorolnak fel, amelyek a magánfelhő-erőforrások felé és onnan érkező hálózati forgalmat szűrik. Tűzfaltáblákat alkalmazhat egy VLAN-ra/alhálózatra. A szabályok szabályozzák a forráshálózat vagy IP-cím és a célhálózat vagy IP-cím közötti hálózati forgalmat.
Tűzfalszabályok
Az alábbi táblázat egy tűzfalszabály paramétereit ismerteti.
Tulajdonság | Részletek |
---|---|
Név | Egy név, amely egyedileg azonosítja a tűzfalszabályt és annak célját. |
Prioritás | Egy 100 és 4096 közötti szám, és a 100 a legmagasabb prioritás. A szabályok feldolgozása prioritási sorrendben történik. Amikor a forgalom szabályegyeztetésbe ütközik, a szabályfeldolgozás leáll. Ennek eredményeképpen a magasabb prioritású szabályokkal azonos attribútumokkal rendelkező alacsonyabb prioritású szabályok feldolgozása nem történik meg. Ügyeljen az ütköző szabályok elkerülésére. |
Állapotkövetés | A nyomkövetés állapot nélküli (magánfelhő, internet vagy VPN) vagy állapotalapú (nyilvános IP-cím) lehet. |
Protokoll | A beállítások közé tartozik az Any, a TCP vagy az UDP. Ha ICMP-t igényel, használja az Any parancsot. |
Irány | Megadja, hogy a szabály a bejövő vagy a kimenő adatforgalomra vonatkozik. |
Művelet | A szabályban meghatározott forgalomtípus engedélyezése vagy megtagadása. |
Forrás | Ip-cím, osztály nélküli tartományközi útválasztási (CIDR) blokk (például 10.0.0.0/24) vagy Bármely. Tartomány, szolgáltatáscímke vagy alkalmazásbiztonsági csoport megadásával kevesebb biztonsági szabály hozható létre. |
Forrásport | Port, amelyről a hálózati forgalom származik. Megadhat egy adott portot vagy porttartományt, például a 443-as vagy a 8000-8080-as portokat. Tartományok megadásával kevesebb biztonsági szabályt kell majd létrehoznia. |
Cél | Ip-cím, osztály nélküli tartományközi útválasztási (CIDR) blokk (például 10.0.0.0/24) vagy Bármely. Tartomány, szolgáltatáscímke vagy alkalmazásbiztonsági csoport megadásával kevesebb biztonsági szabály hozható létre. |
Célport | Port, amelyre a hálózati forgalom áramlik. Megadhat egy adott portot vagy porttartományt, például a 443-as vagy a 8000-8080-as portokat. Tartományok megadásával kevesebb biztonsági szabályt kell majd létrehoznia. |
Állapot nélküli
Az állapot nélküli szabályok csak az egyes csomagokat tekintik meg, és a szabály alapján szűrik őket.
Előfordulhat, hogy további szabályokra van szükség a fordított irányban történő forgalomhoz. Állapot nélküli szabályokat használjon a következő pontok közötti forgalomhoz:
- Magánfelhők alhálózatai
- Helyszíni alhálózat és magánfelhő-alhálózat
- Internetes forgalom a magánfelhőkből
Állapotalapú
Az állapotalapú szabályok tisztában vannak az azon áthaladó kapcsolatokkal. Egy folyamatrekord jön létre a meglévő kapcsolatokhoz. A kommunikáció a folyamatrekordok kapcsolati állapota alapján lesz engedélyezve vagy tiltva. Használja ezt a szabálytípust a nyilvános IP-címekhez az internetről érkező forgalom szűréséhez.
Alapértelmezett szabályok
A következő alapértelmezett szabályok minden tűzfaltáblán létrejönnek.
Prioritás | Name | Állapotkövetés | Irány | Forgalom típusa | Protokoll | Forrás | Forrásport | Cél | Célport | Művelet |
---|---|---|---|---|---|---|---|---|---|---|
65000 | all-to-internet engedélyezése | Állapotalapú | Kimenő | Nyilvános IP-cím vagy internetes forgalom | Összes | Bármelyik | Bármelyik | Bármelyik | Bármelyik | Engedélyezés |
65001 | deny-all-from-internet | Állapotalapú | Bejövő | Nyilvános IP-cím vagy internetes forgalom | Összes | Bármelyik | Bármelyik | Bármelyik | Bármelyik | Megtagadás |
65002 | allow-all-to-intranet | Állapot nélküli | Kimenő | Magánfelhő belső vagy VPN-forgalma | Összes | Bármelyik | Bármelyik | Bármelyik | Bármelyik | Engedélyezés |
65003 | allow-all-from-intranet | Állapot nélküli | Bejövő | Magánfelhő belső vagy VPN-forgalma | Összes | Bármelyik | Bármelyik | Bármelyik | Bármelyik | Engedélyezés |