Panoramica delle tabelle del firewall
Una tabella del firewall elenca le regole per filtrare il traffico di rete da e verso le risorse del cloud privato. È possibile applicare tabelle firewall a una VLAN/subnet. Le regole controllano il traffico di rete tra una rete di origine o un indirizzo IP e una rete o un indirizzo IP di destinazione.
Regole del firewall
Nella tabella seguente vengono descritti i parametri di una regola del firewall.
| Proprietà | Dettagli |
|---|---|
| Nome | Nome che identifica in modo univoco la regola del firewall e il relativo scopo. |
| Priorità | Numero compreso tra 100 e 4096, con 100 la priorità più alta. Le regole vengono elaborate in ordine di priorità. Quando il traffico rileva una corrispondenza con una regola, l'elaborazione delle regole viene arrestata. Di conseguenza, le regole con priorità inferiori con gli stessi attributi delle regole con priorità più elevate non vengono elaborate. Prestare attenzione a evitare regole in conflitto. |
| Rilevamento dello stato | Il rilevamento può essere senza stato (cloud privato, Internet o VPN) o con stato (IP pubblico). |
| Protocollo | Le opzioni includono Any, TCP o UDP. Se è necessario ICMP, usare Any. |
| Direzione | Definisce se la regola si applica al traffico in ingresso o in uscita. |
| Azione | Consentire o negare il tipo di traffico definito nella regola. |
| Origine | Un indirizzo IP, blocco CIDR (Classless Inter-Domain Routing) (ad esempio 10.0.0.0/24) o Any. La specifica di un intervallo, di un tag di servizio o di un gruppo di sicurezza delle applicazioni consente di creare meno regole di sicurezza. |
| Porta di origine | Porta da cui proviene il traffico di rete. È possibile specificare una singola porta o un intervallo di porte, ad esempio 443 o 8000-8080. Specificando intervalli è possibile creare un minor numero di regole di sicurezza. |
| Destinazione | Un indirizzo IP, blocco CIDR (Classless Inter-Domain Routing) (ad esempio 10.0.0.0/24) o Any. La specifica di un intervallo, di un tag di servizio o di un gruppo di sicurezza delle applicazioni consente di creare meno regole di sicurezza. |
| Porta di destinazione | Porta a cui viene trasmesso il traffico di rete. È possibile specificare una singola porta o un intervallo di porte, ad esempio 443 o 8000-8080. Specificando intervalli è possibile creare un minor numero di regole di sicurezza. |
Senza stato
Una regola senza stato esamina solo i singoli pacchetti e li filtra in base alla regola.
È possibile che siano necessarie regole aggiuntive per il flusso del traffico nella direzione inversa. Usare regole senza stato per il traffico tra i punti seguenti:
- Subnet di cloud privati
- Subnet locale e subnet del cloud privato
- Traffico Internet dai cloud privati
Con stato
Una regola con stato riconosce le connessioni che lo passano. Viene creato un record di flusso per le connessioni esistenti. La comunicazione è consentita o negata in base allo stato di connessione del record di flusso. Usare questo tipo di regola per gli indirizzi IP pubblici per filtrare il traffico da Internet.
Regole predefinite
In ogni tabella del firewall vengono create le regole predefinite seguenti.
| Priorità | Nome | Rilevamento dello stato | Direzione | Tipo di traffico | Protocollo | Source (Sorgente) | Porta di origine | Destination | Porta di destinazione | Azione |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet | Con stato | In uscita | Traffico IP pubblico o Internet | Tutti | Qualsiasi | Qualsiasi | Qualsiasi | Qualsiasi | Allow |
| 65001 | deny-all-from-internet | Con stato | In ingresso | Traffico IP pubblico o Internet | Tutti | Qualsiasi | Qualsiasi | Qualsiasi | Qualsiasi | Nega |
| 65002 | allow-all-to-intranet | Senza stato | In uscita | Traffico interno o VPN del cloud privato | Tutti | Qualsiasi | Qualsiasi | Qualsiasi | Qualsiasi | Allow |
| 65003 | allow-all-from-intranet | Senza stato | In ingresso | Traffico interno o VPN del cloud privato | Tutti | Qualsiasi | Qualsiasi | Qualsiasi | Qualsiasi | Allow |