Overzicht van firewalltabellen
Een firewalltabel bevat regels voor het filteren van netwerkverkeer van en naar privécloudresources. U kunt firewalltabellen toepassen op een VLAN/subnet. De regels regelen het netwerkverkeer tussen een bronnetwerk of IP-adres en een doelnetwerk of IP-adres.
Firewall-regels
In de volgende tabel worden de parameters in een firewallregel beschreven.
| Eigenschap | Details |
|---|---|
| Naam | Een naam die de firewallregel en het doel ervan uniek identificeert. |
| Priority | Een getal tussen 100 en 4096, waarbij 100 de hoogste prioriteit is. Regels worden verwerkt in volgorde van prioriteit. Wanneer verkeer een regelovereenkomst tegenkomt, stopt de verwerking van de regel. Als gevolg hiervan worden regels met lagere prioriteiten die dezelfde kenmerken hebben als regels met hogere prioriteiten, niet verwerkt. Zorg ervoor dat u conflicterende regels vermijdt. |
| Status bijhouden | Bijhouden kan stateless (privécloud, internet of VPN) of stateful (openbaar IP-adres) zijn. |
| Protocol | Opties zijn Any, TCP of UDP. Als u ICMP nodig hebt, gebruikt u Any. |
| Richting | Hiermee wordt aangegeven of de regel van toepassing is op binnenkomend of uitgaand verkeer. |
| Actie | Toestaan of weigeren voor het type verkeer dat is gedefinieerd in de regel. |
| Bron | Een IP-adres, cidr-blok (classless inter-domain routing) (bijvoorbeeld 10.0.0.0/24) of Any. Als u een bereik, een servicetag of toepassingsbeveiligingsgroep opgeeft, kunt u minder beveiligingsregels maken. |
| Bronpoort | Poort waaruit netwerkverkeer afkomstig is. U kunt een afzonderlijke poort of een poortbereik opgeven, zoals 443 of 8000-8080. Als u bereiken opgeeft, hoeft u minder beveiligingsregels te maken. |
| Doel | Een IP-adres, cidr-blok (classless inter-domain routing) (bijvoorbeeld 10.0.0.0/24) of Any. Als u een bereik, een servicetag of toepassingsbeveiligingsgroep opgeeft, kunt u minder beveiligingsregels maken. |
| Doelpoort | Poort waarnaar het netwerkverkeer stroomt. U kunt een afzonderlijke poort of een poortbereik opgeven, zoals 443 of 8000-8080. Als u bereiken opgeeft, hoeft u minder beveiligingsregels te maken. |
Stateless
Een staatloze regel kijkt alleen naar afzonderlijke pakketten en filtert deze op basis van de regel.
Er kunnen aanvullende regels vereist zijn voor de verkeersstroom in omgekeerde richting. Gebruik staatloze regels voor verkeer tussen de volgende punten:
- Subnetten van privéclouds
- On-premises subnet en een privécloudsubnet
- Internetverkeer vanuit de privéclouds
Stateful
Een stateful regel is op de hoogte van de verbindingen die erdoor worden doorgegeven. Voor bestaande verbindingen wordt een stroomrecord gemaakt. Communicatie wordt toegestaan of geweigerd op basis van de verbindingsstatus van de stroomrecord. Gebruik dit regeltype voor openbare IP-adressen om verkeer van internet te filteren.
Standaardregels
De volgende standaardregels worden voor elke firewalltabel gemaakt.
| Prioriteit | Name | Status bijhouden | Richting | Verkeerstype | Protocol | Bron | Bronpoort | Doel | Doelpoort | Actie |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet | Stateful | Uitgaand | Openbaar IP- of internetverkeer | Alle | Alle | Alle | Alle | Alle | Toestaan |
| 65001 | deny-all-from-internet | Stateful | Inkomend | Openbaar IP- of internetverkeer | Alle | Alle | Alle | Alle | Alle | Weigeren |
| 65002 | allow-all-to-intranet | Stateless | Uitgaand | Intern of VPN-verkeer van de privécloud | Alle | Alle | Alle | Alle | Alle | Toestaan |
| 65003 | allow-all-from-intranet | Stateless | Inkomend | Intern of VPN-verkeer van privécloud | Alle | Alle | Alle | Alle | Alle | Toestaan |