Übersicht über Firewalltabellen
In einer Firewalltabelle sind die Regeln aufgeführt, mit denen Netzwerkdatenverkehr an und von Ressourcen einer privaten Cloud gefiltert werden. Sie können Firewalltabellen auf ein VLAN oder ein Subnetz anwenden. Die Regeln steuern den Netzwerkdatenverkehr zwischen einem Quellnetzwerk oder einer Quell-IP-Adresse und einem Zielnetzwerk oder einer Ziel-IP-Adresse.
Firewallregeln
In der folgenden Tabelle sind die Parameter beschrieben, die es in einer Firewallregel gibt.
| Eigenschaft | Details |
|---|---|
| Name | Ein Name, der die Firewallregel und deren Zweck eindeutig kennzeichnet. |
| Priority | Eine Zahl zwischen 100 und 4096, wobei 100 die höchste Priorität bedeutet. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet. Wenn beim Datenverkehr eine Regelübereinstimmung gefunden wird, wird die Regelverarbeitung beendet. Daher werden Regeln mit niedrigeren Prioritäten, die dieselben Attribute aufweisen wie Regeln mit höheren Prioritäten, nicht verarbeitet. Achten Sie darauf, sich blockierende Regeln zu vermeiden. |
| Zustandsnachverfolgung | Nachverfolgung kann zustandslos (private Cloud, Internet oder VPN) oder zustandsbehaftet (öffentliche IP-Adresse) sein. |
| Protokoll | Zu den Optionen gehören „Any“ (Beliebig), „TCP“ und „UDP“. Wenn Sie ICMP benötigen, verwenden Sie „Any“. |
| Richtung | Gibt an, ob die Regel für ein- oder ausgehenden Datenverkehr gilt. |
| Aktion | Zulassen oder ablehnen für den Typ von Datenverkehr, der in der Regel definiert ist. |
| Quelle | Eine IP-Adresse, ein CIDR-Block (Classless Inter-Domain Routing, z. B. 10.0.0.0/24) oder „Any“. Durch das Angeben eines Bereichs, eines Diensttags oder einer Anwendungssicherheitsgruppe haben Sie die Möglichkeit, weniger Sicherheitsregeln zu erstellen. |
| Quellport | Port, von dem der Netzwerkdatenverkehr stammt. Sie können einen einzelnen Port oder einen Portbereich, etwa 443 oder 8000-8080, angeben. Das Angeben von Bereichen ermöglicht Ihnen die Erstellung von weniger Sicherheitsregeln. |
| Ziel | Eine IP-Adresse, ein CIDR-Block (Classless Inter-Domain Routing, z. B. 10.0.0.0/24) oder „Any“. Durch das Angeben eines Bereichs, eines Diensttags oder einer Anwendungssicherheitsgruppe haben Sie die Möglichkeit, weniger Sicherheitsregeln zu erstellen. |
| Zielport | Der Port, an den der Netzwerkdatenverkehr gesendet wird. Sie können einen einzelnen Port oder einen Portbereich, etwa 443 oder 8000-8080, angeben. Das Angeben von Bereichen ermöglicht Ihnen die Erstellung von weniger Sicherheitsregeln. |
Zustandslos
Mit einer zustandslosen Regel werden nur einzelne Pakete analysiert, und diese werden entsprechend der Regel gefiltert.
Möglicherweise sind weitere Regeln für Datenverkehr in umgekehrter Richtung erforderlich. Verwenden Sie zustandslose Regeln für Datenverkehr zwischen den folgenden Punkten:
- Subnetze von privaten Clouds
- Ein lokales Subnetz und ein Subnetz in einer privaten Cloud
- Internetdatenverkehr aus den privaten Clouds
Zustandsbehaftet
Mit einer zustandsbehafteten Regel werden die Verbindungen überwacht, die ihr zugeordnet sind. Für vorhandene Verbindungen wird ein Flussdatensatz erstellt. Die Kommunikation wird basierend auf dem Verbindungszustand der Flussdatensätze zugelassen oder verweigert. Verwenden Sie Regeln dieses Typs für öffentliche IP-Adressen, um Datenverkehr aus dem Internet zu filtern.
Standardregeln
Die folgenden Standardregeln werden in jeder Firewalltabelle erstellt.
| Priority | Name | Zustandsnachverfolgung | Direction | Datenverkehrstyp | Protocol | `Source` | Quellport | Destination | Zielport | Action |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet | Zustandsbehaftet | Ausgehend | Öffentliche IP-Adresse oder Internetdatenverkehr | All | Any | Any | Any | Any | Allow |
| 65001 | deny-all-from-internet | Zustandsbehaftet | Eingehend | Öffentliche IP-Adresse oder Internetdatenverkehr | All | Any | Any | Any | Any | Verweigern |
| 65002 | allow-all-to-intranet | Zustandslos | Ausgehend | Datenverkehr in privater Cloud oder VPN-Datenverkehr | All | Any | Any | Any | Any | Allow |
| 65003 | allow-all-from-intranet | Zustandslos | Eingehend | Datenverkehr in privater Cloud oder VPN-Datenverkehr | All | Any | Any | Any | Any | Allow |