虚拟防火墙是一组过滤规则的集合,可以对虚拟机进行安全防护,防止虚拟机遭受外部的攻击,提升数据中心虚拟机的安全性和可靠性。
虚拟防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。对于新建立的应用连接,防火墙会预先检查其关联的规则,放行允许通过的连接,并记录该连接的状态信息,生成状态表;对于该连接的后续数据报文,只要符合状态表,就可以通过。
系统支持两种类型的虚拟防火墙:白名单和黑名单。与白名单防火墙关联的规则匹配的报文允许通过,反之丢弃;与黑名单防火墙关联的规则匹配的报文会被丢弃,反之允许通过。
系统支持配置的规则包括TCP、UDP、ICMP以及一些常用的应用协议如DNS、HTTP、HTTPS、IMAP、IMAPS、MS SQL、MYSQL、POP3、POP3S、RDP、SMTP、SMTPS、SSH等。
配置了虚拟防火墙的虚拟机与远端站点通信时,防火墙规则有两种应用方向,包括入口和出口:
入口:远端站点向虚拟机发起连接的方向。
出口:虚拟机向远端站点发起连接的方向。
对于系统支持的DNS、HTTP、HTTPS等常用的应用协议类型的规则,其应用方向默认为入口方向。
虚拟防火墙正在被虚拟机使用时,不允许删除。
选择顶部“云安全”页签,单击左侧导航树中[网络安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
单击<增加>按钮,弹出增加虚拟防火墙对话框。
输入虚拟防火墙的名称和描述信息。
选择防火墙的类型。
根据实际情况为虚拟防火墙增加相应规则:单击<增加规则>按钮,弹出增加规则对话框。设置相关参数,如需增加多条规则可单击<追加>按钮,增加完成后,单击<确定>按钮,返回增加虚拟防火墙对话框。
单击<确定>按钮完成操作。
选择顶部“云安全”页签,单击左侧导航树中[网络安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
在虚拟防火墙列表中选中待修改的虚拟防火墙,单击<修改>按钮,弹出修改虚拟防火墙对话框。
输入虚拟防火墙的描述信息。
修改虚拟防火墙的规则信息:
增加虚拟防火墙的规则:单击<增加规则>按钮,为虚拟防火墙增加规则。
修改虚拟防火墙的规则:单击规则对应操作行的<修改>按钮,修改对应的规则。
删除虚拟防火墙的规则:单击规则对应操作列的<删除>按钮,删除对应的规则。
单击<确定>按钮完成操作。
选择顶部“云安全”页签,单击左侧导航树中[网络安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
在虚拟防火墙列表中选中待删除的虚拟防火墙,单击<删除>按钮,弹出删除虚拟防火墙的确认对话框。
单击<确定>按钮完成操作。
防火墙类型:包括白名单和黑名单两种类型。与白名单防火墙关联的规则匹配的报文允许通过,反之丢弃;与黑名单防火墙关联的规则匹配的报文会被丢弃,反之允许通过。
增加白名单防火墙时,默认入口方向的规则为空,出口方向已关联两条全匹配规则。当虚拟机配置此防火墙后,默认远端站点向虚拟机发起的入方向连接都会被拒绝,但不会限制虚拟机的出方向连接。对于入方向需要放行的连接,可增加对应的入口方向规则。当需要限制虚拟机的出方向连接时,需要先删除防火墙默认关联的出口方向的全匹配规则,再根据实际业务情况增加相应的出口方向规则。
增加黑名单防火墙时,默认关联的入口方向、出口方向规则都为空。当虚拟机配置此防火墙后,默认放行虚拟机的所有入方向、出方向连接。当需要限制虚拟机的入方向或出方向连接时,可根据实际情况增加相应的入口或出口方向规则,与规则匹配的连接报文会被丢弃。
规则:规则的类型,系统支持定制TCP、UPD、CMP等多种类型的规则。
方向:虚拟机与远端站点通信建立逻辑连接的方向,包括入口和出口,默认为入口。入口表示从远端站点到虚拟机,出口表示从虚拟机到远端站点。
端口:虚拟机防火墙允许或禁止IP报文通过的端口号或端口组号。可以批量配置多个端口号或端口组号,端口号和端口组号、单个端口号、单个端口组号之间使用英文分号(;)分开,端口组号用减号(-)分开(例如:1;2-3;4),端口号或端口组号不允许重复,并且只能按大小顺序输入。每个端口号或端口组号会生成对应的一条规则。若方向选择为“入口”,则表示远端站点访问虚拟机的端口;若方向选择为“出口”,则表示虚拟机访问远端站点的端口。当选择“定制TCP规则”或“定制UDP规则”时需要设置此参数。白名单防火墙为打开,黑名单防火墙为关闭。