创建防火墙规则

创建防火墙规则的方式有两种:单个创建批量导入

单个创建

  1. 单击[全部服务]图标,选择[网络/防火墙服务]菜单项,进入防火墙管理页面。

  2. 单击待配置规则的防火墙名称链接,进入防火墙详情页面。

  3. 在“防火墙规则”页签下单击<添加规则>按钮,弹出添加规则页面。

  4. 配置参数,单击<确定>按钮完成操作。

表-1 参数说明-单个导入

参数

说明

启用

可以选择开启或关闭该规则。关闭规则,创建的规则不生效,需开启才会生效。

IP版本

IP协议版本。

匹配方式

规则生效的方式,包括五元组和对象组。防火墙将根据报文五元组或对象组信息对报文进行过滤。当选择“对象组”时,源对象组、目的对象组和服务对象组三者中至少选择一个进行配置。

行为

接受表示对符合规则的流量放行,拒绝表示对符合规则的流量阻拦,探测表示对应用层信息进行检测。当选择“探测”时,IPS策略和防病毒策略二者中至少选择一个进行配置。当防火墙规格为“普通”时,行为不可以为“探测”。

匹配方式为“五元组”时

协议

规则生效的协议,目前支持TCP、UDP、ICMP。若为ANY则对所有协议都生效。

源IP

流量的源IP地址将与此配置进行匹配。

源端口

流量的源软件端口将与此配置进行匹配。(仅TCP/UDP有此选项)。

目的IP

流量的目的IP地址将与此配置进行匹配。

目的端口

流量的目的软件端口将与此配置进行匹配。(仅TCP/UDP有此选项)。

匹配方式为“对象组”时

源对象组

可选择IPv4/IPv6地址类型的对象组。流量的源IP地址将与此对象组内所有IP地址进行匹配。

目的对象组

可选择IPv4/IPv6地址类型的对象组。流量的目的IP地址将与此对象组内所有IP地址进行匹配。

服务对象组

只可选择服务类型的对象组。流量使用的协议及软件端口将与此对象组内所有协议及端口进行匹配。

IPS策略

规则引用的IPS策略名称。

防病毒策略

规则引用的防病毒策略名称。

批量导入

批量导入功能用于以文件的形式一次性导入多条规则。通常用户需从系统中下载模板并填写规则信息,再将填好的模板上传至系统中并将规则导入。如果用户事先已有填写好的规则文件,请确保该文件的格式及内容与系统中的模板保持一致,否则无法识别。

  • 单批导入的规则不能超过100条,若待导入的规则超出100条,请分批导入。

  • 仅支持csv格式文件。

  • 若上传文件时选错文件,需先将文件删除后再重新选择文件。

  1. 单击[全部服务]图标,选择[网络/防火墙服务]菜单项,进入防火墙管理页面。

  2. 单击待配置规则的防火墙名称链接,进入防火墙详情页面。

  3. 在“防火墙规则”页签下单击<批量导入>按钮,弹出批量导入窗口。

  4. 将含有规则的文件上传。

    • 若尚未配置规则文件:单击<模板下载>按钮,将模板下载至本地。在本地向模板中添加规则信息并保存,参数解释请见表-2。在批量导入窗口单击<选择文件>按钮,选择本地已经配置好规则的模板,系统将自动读取模板中的规则。

    • 若本地已有含有规则的文件:单击<选择文件>按钮,选择本地已经配置好规则的模板,系统将自动读取模板中的规则。

  5. 将规则导入到系统中。

    • 批量导入:若需将文件中的多条规则导入至系统中,则依次勾选这些规则,或单击左上角的勾选框选中当前页面的全部规则,单击<确定>按钮完成导入。请注意导入操作仅对当前页面显示的规则生效,可通过调整每页显示规则数量使当前页面能够展示更多规则。

    • 单条导入:若需将某一条规则导入至系统中,单击该条规则操作列的<导入>按钮完成导入。

    • 删除规则:若文件中的某一条或某几条规则不需导入,可单击某条规则操作列的“删除”图标删除该条规则,或勾选某几条规则后单击上方的<删除>按钮删除多条规则。

表-2 参数说明-批量导入

参数

说明

名称

必填项,该条规则的名称。

协议

必填项,规则生效的协议,目前支持TCP、UDP、ICMP(IPv4协议)、ICMPv6(IPv6协议)。若为ANY则对所有协议都生效。

IP版本

必填项,IP协议版本,支持IPv4和IPv6。

源IP

选填项,规则匹配的流量发送方的IP地址。

源端口

选填项,规则匹配的流量的源软件端口(仅TCP/UDP协议需配置此参数)。

目的IP

选填项,规则匹配的流量接收方的IP地址。

目的端口

选填项,规则匹配的流量的目的软件端口(仅TCP/UDP协议需配置此参数)。

服务

选填项,选择服务类型的对象组。

IPS策略

若“行为”填写探测,则IPS策略和防病毒策略二者至少必填一个,其它行为时IPS策略必须为空。规则引用的IPS策略名称。

防病毒策略

若“行为”填写探测,则IPS策略和防病毒策略二者至少必填一个,其它行为时防病毒策略必须为空。规则引用的防病毒策略名称。

行为

必填项,可填写“接受”、“拒绝”、“探测”。接受表示对符合规则的流量放行,拒绝表示对符合规则的流量阻拦,探测表示对应用层信息进行检测。当填写“探测”时,IPS策略和防病毒策略二者中至少必填一个。

启用

必填项,可填写“是”或“否”,表示是否开启规则。开启的规则,在成功导入后会生效,关闭的规则不生效。

描述

选填项,规则描述信息。