创建防火墙规则

创建防火墙规则的方式有两种:单个创建批量导入

单个创建

  1. 在顶部导航栏中单击[云服务/网络/防火墙]菜单项,进入防火墙管理页面。

  1. 在左侧导航树中选择“防火墙”页签,进入防火墙管理页面。

  1. 单击待配置规则的防火墙名称链接,进入防火墙详情页面。

  1. 在“防火墙规则”页签下单击<添加规则>按钮,弹出添加规则页面。

  1. 配置参数,单击<确定>按钮完成操作。

图-1 单个创建防火墙规则

 

表-1 参数说明-单个导入

参数

说明

IP版本

IP协议版本。

匹配方式

规则生效的方式,包括五元组和对象组。防火墙将根据报文五元组或对象组信息对报文进行过滤。当选择“对象组”时,源对象组、目的对象组和服务对象组三者中至少选择一个进行配置。

行为

接受表示对符合规则的流量放行,拒绝表示对符合规则的流量阻拦,探测表示对应用层信息进行检测。当选择“探测”时,IPS策略和防病毒策略二者中至少选择一个进行配置。

匹配方式为“五元组”时

协议

规则生效的协议,目前支持TCPUDPICMP。若为ANY则对所有协议都生效。

IP

流量的源IP地址将与此配置进行匹配。

源端口

流量的源软件端口将与此配置进行匹配。(仅TCP/UDP有此选项)。

目的IP

流量的目的IP地址将与此配置进行匹配。

目的端口

流量的目的软件端口将与此配置进行匹配。(仅TCP/UDP有此选项)。

匹配方式为“对象组”时

源对象组

只可选择IPv4地址类型的对象组。流量的源IP地址将与此对象组内所有IP地址进行匹配。

目的对象组

只可选择IPv4地址类型的对象组。流量的目的IP地址将与此对象组内所有IP地址进行匹配。

服务对象组

只可选择服务类型的对象组。流量使用的协议及软件端口将与此对象组内所有协议及端口进行匹配。

IPS策略

规则引用的IPS策略名称。

防病毒策略

规则引用的防病毒策略名称。

 

批量导入

批量导入功能用于以文件的形式一次性导入多条规则。通常用户需从系统中下载模板并填写规则信息,再将填好的模板上传至系统中并将规则导入。如果用户事先已有填写好的规则文件,请确保该文件的格式及内容与系统中的模板保持一致,否则无法识别。

·          批量导入不支持对象组类型的规则,因此在导入的文件中需保证“服务”列为空,即不能写有任何内容。

·          单批导入的规则不能超过100条,若待导入的规则超出100条,请分批导入。

·          仅支持csv格式文件。

·          若上传文件时选错文件,需先将文件删除后再重新选择文件。

 

  1. 在顶部导航栏中单击[云服务/网络/防火墙]菜单项,进入防火墙管理页面。

  1. 在左侧导航树中选择“防火墙”页签,进入防火墙管理页面。

  1. 单击待配置规则的防火墙名称链接,进入防火墙详情页面。

  1. 在“防火墙规则”页签下单击<批量导入>按钮,弹出批量导入窗口。

  1. 将含有规则的文件上传。

  1. 将规则导入到系统中。

表-1 参数说明-批量导入

参数

说明

名称

必填项,该条规则的名称。

协议

必填项,规则生效的协议,目前支持TCPUDPICMPIPv4协议)、ICMPv6IPv6协议)。若为ANY则对所有协议都生效。

IP版本

必填项,IP协议版本,支持IPv4IPv6

IP

选填项,规则匹配的流量发送方的IP地址。

源端口

选填项,规则匹配的流量的源软件端口(仅TCP/UDP协议需配置此参数)。

目的IP

选填项,规则匹配的流量接收方的IP地址。

目的端口

选填项,规则匹配的流量的目的软件端口(仅TCP/UDP协议需配置此参数)。

服务

必须置空,即该项参数不能填写任何内容。

IPS策略

若“行为“填写探测,则IPS策略和防病毒策略二者至少必填一个,其它行为时IPS策略必须为空。规则引用的IPS策略名称。

防病毒策略

若“行为“填写探测,则IPS策略和防病毒策略二者至少必填一个,其它行为时防病毒策略必须为空。规则引用的防病毒策略名称。

行为

必填项,可填写“接受“、”拒绝“、“探测”。接受表示对符合规则的流量放行,拒绝表示对符合规则的流量阻拦,探测表示对应用层信息进行检测。当填写“探测”时,IPS策略和防病毒策略二者中至少必填一个。

描述

选填项,规则描述信息。