该功能用于新建白名单或黑名单类型的虚拟防火墙。
增加白名单防火墙时,默认入口方向的规则为空,出口方向关联一条全匹配规则。当虚拟机配置此防火墙后,默认远端站点向虚拟机发起的入方向连接都会被拒绝,但不会限制虚拟机的出方向连接。对于入方向需要放行的连接,可增加对应的入口方向规则。当需要限制虚拟机的出方向连接时,需要先删除防火墙默认关联的出口方向的全匹配规则,再根据实际业务情况增加相应的出口方向规则。
增加黑名单防火墙时,默认关联的入口方向、出口方向规则都为空。当虚拟机配置此防火墙后,默认放行虚拟机的所有入方向、出方向连接。当需要限制虚拟机的入方向或出方向连接时,可根据实际情况增加相应的入口或出口方向规则,与规则匹配的连接报文会被丢弃。
单击左侧导航树[策略/安全策略/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
单击页面上方<新建>按钮,弹出新建虚拟防火墙对话框。
选择防火墙的类型。包括白名单和黑名单两种类型。与白名单防火墙关联的规则匹配的报文允许通过,反之丢弃;与黑名单防火墙关联的规则匹配的报文会被丢弃,反之允许通过。
根据实际情况为虚拟防火墙增加相应规则:单击<新建>按钮,弹出新建规则对话框。设置相关参数。
单击<确定>按钮,返回新建虚拟防火墙对话框。下方规则列表将显示虚拟防火墙配置的参数信息。
单击<确定>按钮完成操作。
方向:虚拟机与远端站点通信建立逻辑连接的方向,包括入方向和出方向,默认为入方向。入方向表示从远端站点到虚拟机,出方向表示从虚拟机到远端站点。
端口:虚拟机防火墙允许或禁止IP报文通过的端口号。若方向选择为“入口”,则表示远端站点访问虚拟机的端口;若方向选择为“出口”,则表示虚拟机访问远端站点的端口。当选择“定制TCP规则”或“定制UDP规则”时需要设置此参数。白名单防火墙为打开,黑名单防火墙为关闭。
类型:虚拟防火墙允许或禁止ICMP报文通过的type类型。当选择“定制ICMP规则”时需要设置此参数。白名单防火墙为允许,黑名单防火墙为禁止。
编码:虚拟防火墙允许或禁止ICMP报文通过的code编码。当选择“定制ICMP规则”时需要设置此参数。白名单防火墙为允许,黑名单防火墙为禁止。
IP协议:虚拟防火墙允许或禁止IP报文通过的协议类型,对应IP报文头部的protocol字段。当选择“其他规则”时,需要设置此参数。白名单防火墙为允许,黑名单防火墙为禁止。
IP类型:包括IPv4和IPv6。开启“虚拟机(桌面)IPv6地址管理”后,页面展示该选项。
远端IP地址:虚拟防火墙允许或禁止报文通过的远端站点的IP地址。设置为空,表示任意的IP地址。白名单防火墙为允许,黑名单防火墙为禁止。
子网掩码/网络前缀:IP类型为IPv4时,远端站点IP地址的子网掩码;IP类型为IPv6时,远端站点IP地址的网络前缀。
方向:规则应用的方向,即虚拟机与远端站点通信建立逻辑连接的方向。入口表示从远端站点到虚拟机,出口表示从虚拟机到远端站点。
IP协议:虚拟防火墙允许或禁止IP报文通过的协议类型。若此参数设置为“任何”,表示虚拟防火墙允许或者拒绝所有协议类型的IP报文通过。
端口/类型-编码:对于协议类型为TCP或UDP的IP报文,此参数表示虚拟机防火墙允许或禁止IP报文通过的端口号;对于协议类型为ICMP的IP报文,此参数表示虚拟机防火墙允许或禁止IP报文通过的类型-编码。
远端CIDR:虚拟防火墙允许或禁止报文通过的远端站点IP。0.0.0.0/0表示任意的IP地址。