UIS-Sec提供的防火墙是一种4层的包过滤防火墙,位于租户内网和外部网络之间,为租户内网和外部网络提供安全隔离屏障。防火墙按照预先定义好的规则来控制数据包的进出,保护内部网络免受非法用户的入侵。
防火墙的核心是防火墙策略和防火墙规则。策略是有序的规则集合,规则指定构成匹配标准的属性(例如端口范围,协议和IP地址)的集合,以及对匹配的流量采取(允许或拒绝)的操作。防火墙能够依据指定的不同的规则,允许或限制数据流通过。对南北向流量进行过滤,全面保护网络安全,协助业务建立完整的访问控制和安全隔离能力。
五元组是通信术语,通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议。防火墙可以根据报文的五元组信息对流量进行过滤。
除五元组外,防火墙还可以根据对象组信息对流量进行过滤。对象组是待被过滤的一组流量对象的组合。用户可以在对象组中添加对象,一个对象组可以有多个对象,因此防火墙规则引用对象组后,可同时对多个离散的源/目的地址或端口进行限制。
对象组分为IPv4地址类型对象组和服务类型对象组。IPv4地址类型对象组内可以配置IPv4地址对象,用于匹配报文中的IPv4地址;服务对象组内可以配置服务对象,用于匹配报文中承载的上层协议。