Visão geral das tabelas de firewall
Uma tabela de firewall lista regras para filtrar o tráfego de rede de e para recursos de nuvem privada. Você pode aplicar tabelas de firewall a uma VLAN/sub-rede. As regras controlam o tráfego de rede entre uma rede de origem ou um endereço IP e uma rede de destino ou endereço IP.
Regras de firewall
A tabela a seguir descreve os parâmetros em uma regra de firewall.
| Propriedade | Detalhes |
|---|---|
| Nome | Um nome que identifica exclusivamente a regra de firewall e sua finalidade. |
| Prioridade | Um número entre 100 e 4.096, com 100 sendo a prioridade mais alta. As regras são processadas em ordem de prioridade. Quando o tráfego encontra uma correspondência de regra, o processamento da regra é interrompido. Como resultado, as regras com prioridades mais baixas que têm os mesmos atributos que as regras com prioridades mais altas não são processadas. Tome cuidado para evitar regras conflitantes. |
| Rastreamento de Estado | O rastreamento pode ser sem estado (nuvem privada, Internet ou VPN) ou com estado (IP público). |
| Protocolo | As opções incluem Any, TCP ou UDP. Se você precisar de ICMP, use Any. |
| Direção | Se a regra se aplica ao tráfego de entrada ou de saída. |
| Ação | Permitir ou negar para o tipo de tráfego definido na regra. |
| Origem | Um endereço IP, bloco CIDR (Roteamento entre Domínios sem Classificação) (por exemplo, 10.0.0.0/24) ou Any. A especificação de um intervalo, uma marca de serviço ou um grupo de segurança de aplicativos permite que você crie menos regras de segurança. |
| Porta de Origem | Porta da qual o tráfego de rede é originado. Você pode especificar uma porta individual ou um intervalo de portas, como 443 ou 8000-8080. A especificação de intervalos permite que você crie menos regras de segurança. |
| Destino | Um endereço IP, bloco CIDR (Roteamento entre Domínios sem Classificação) (por exemplo, 10.0.0.0/24) ou Any. A especificação de um intervalo, uma marca de serviço ou um grupo de segurança de aplicativos permite que você crie menos regras de segurança. |
| Porta de Destino | Porta para a qual o tráfego de rede flui. Você pode especificar uma porta individual ou um intervalo de portas, como 443 ou 8000-8080. A especificação de intervalos permite que você crie menos regras de segurança. |
Sem estado
Uma regra sem estado só olha para pacotes individuais e os filtra com base na regra.
Regras adicionais podem ser necessárias para o fluxo de tráfego na direção inversa. Use regras sem estado para o tráfego entre os seguintes pontos:
- Sub-redes de nuvens privadas
- Sub-rede local e uma sub-rede de nuvem privada
- Tráfego de Internet de nuvens privadas
Com estado
Uma regra com estado está ciente das conexões que passam por ela. Um registro de fluxo é criado para as conexões existentes. A comunicação é permitida ou negada com base no estado de conexão do registro de fluxo. Use esse tipo de regra para endereços IP públicos para filtrar o tráfego da Internet.
Regras padrão
As regras padrão a seguir são criadas em cada tabela de firewall.
| Prioridade | Nome | Rastreamento de Estado | Direção | Tipo de Tráfego | Protocolo | Fonte | Porta de origem | Destino | Porta de destino | Ação |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet | Com estado | Saída | IP público ou tráfego da Internet | Todos | Qualquer | Qualquer | Qualquer | Qualquer | Allow |
| 65001 | deny-all-from-internet | Com estado | Entrada | IP público ou tráfego da Internet | Todos | Qualquer | Qualquer | Qualquer | Qualquer | Negar |
| 65002 | allow-all-to-intranet | Sem estado | Saída | Tráfego VPN ou interno na nuvem privada | Todos | Qualquer | Qualquer | Qualquer | Qualquer | Allow |
| 65003 | allow-all-from-intranet | Sem estado | Entrada | Tráfego VPN ou interno na nuvem privada | Todos | Qualquer | Qualquer | Qualquer | Qualquer | Allow |