创建虚拟防火墙

  1. 登录UIS超融合管理平台,选择顶部“管理”页签。单击左侧导航树[安全管理/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。

图-1 虚拟防火墙列表页面

 

  1. 单击<增加>按钮,弹出增加虚拟防火墙对话框。输入虚拟防火墙名称,选择防火墙类型。

图-2 增加虚拟防火墙

 

参数

说明

防火墙类型

包括白名单和黑名单两种类型。与白名单防火墙关联的规则匹配的报文允许通过,反之丢弃;与黑名单防火墙关联的规则匹配的报文会被丢弃,反之允许通过。

  • 增加白名单防火墙时,默认入口方向的规则为空,出口方向已关联一条全匹配规则。当虚拟机配置此防火墙后,默认远端站点向虚拟机发起的入方向连接都会被拒绝,但不会限制虚拟机的出方向连接。对于入方向需要放行的连接,可增加对应的入口方向规则。当需要限制虚拟机的出方向连接时,需要先删除防火墙默认关联的出口方向的全匹配规则,再根据实际业务情况增加相应的出口方向规则。

  • 增加黑名单防火墙时,默认关联的入口方向、出口方向规则都为空。当虚拟机配置此防火墙后,默认放行虚拟机的所有入方向、出方向连接。当需要限制虚拟机的入方向或出方向连接时,可根据实际情况增加相应的入口或出口方向规则,与规则匹配的连接报文会被丢弃。

 

  1. 在增加虚拟防火墙对话框中,单击<增加规则>按钮,弹出增加规则对话框,根据实际需要选择规则类型、方向,输入端口、远端IP地址和子网掩码,单击<确定>按钮完成操作。

图-3 为虚拟防火墙增加规则

 

参数

说明

方向

虚拟机与远端站点通信建立逻辑连接的方向,包括入口和出口,默认为入口。入口表示从远端站点到虚拟机,出口表示从虚拟机到远端站点。

端口

白名单防火墙打开的端口号,黑名单防火墙关闭的端口号。若方向选择为“入口”,则表示远端站点访问虚拟机的端口;若方向选择为“出口”,则表示虚拟机访问远端站点的端口。当选择“定制TCP规则”或“定制UDP规则”时需要设置此参数。

类型

白名单防火墙允许ICMP报文通过的type类型,黑名单防火墙拒绝ICMP报文通过的type类型。当选择“定制ICMP规则”时需要设置此参数。

编码

白名单防火墙允许ICMP报文通过的code编码,黑名单防火墙拒绝ICMP报文通过的code编码。当选择“定制ICMP规则”时需要设置此参数。

IP协议

白名单防火墙允许IP报文通过的协议类型,黑名单防火墙拒绝IP报文通过的协议类型。对应IP报文头部的protocol字段。当选择“其他规则”时,需要设置此参数。

IP类型

选择IP报文类型,包括IPv4IPv6。当系统参数中的配置项“虚拟机IPv6地址管理”开启时,才需选择此参数。

远端IP地址

当选择“IPv4”类型时,输入远端站点的IPv4地址;当选择“IPv6”类型时,输入远端站点的IPv6地址。设置为空,表示任意的IP地址。

子网掩码/网络前缀

例如远端IP地址为172.20.190.202,子网掩码为255.255.255.0,则表示与规则匹配的远端站点包括IP属于172.20.190.0网段的所有远端站点。