Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

为新一代服务配置有状态防火墙

要配置有状态防火墙,请配置有状态防火墙规则,并将这些规则应用于服务集。您还可以配置有状态防火墙规则集,其中包含一组有状态防火墙规则。

为新一代服务配置有状态防火墙规则

状态防火墙规则指定处理哪些流量以及要应用于这些流量的操作。

要配置状态式防火墙规则,请执行以下操作:

  1. 为状态防火墙规则配置名称。
  2. 指定应用状态防火墙规则的流量流向。

    如果配置 input-output,则规则将应用于从任一方向发起的会话。

    如果将此状态防火墙规则应用于接口类型服务集,则方向由数据包是进入还是离开应用了服务集的接口来决定。如果将此状态防火墙规则应用于下一跃点服务集,则如果使用内部接口路由数据包,则方向为输入;如果使用外部接口路由包,则方向为输出。

  3. 配置策略的名称。

    您可以为状态防火墙规则配置多个策略。每个策略标识流的匹配条件,以及是否允许流。规则中的策略与数据包匹配后,将应用该策略,并且不会处理规则中的其他策略。

  4. 指定应用策略的流的目标地址。

    或者,可以在配置层次结构下services指定要在此步骤中使用的address-book层次结构。

    目标地址可以是 IPv4 或 IPv6。

  5. 指定策略不适用的流的目标地址。

    目标地址可以是 IPv4 或 IPv6。

  6. 指定应用策略的流的源地址。

    或者,可以在配置层次结构下services指定要在此步骤中使用的address-book层次结构。

    源地址可以是 IPv4 或 IPv6。

  7. 指定策略不适用的流的源地址。

    源地址可以是 IPv4 或 IPv6。

  8. 指定应用策略的一个或多个应用程序协议。

    使用在 [edit applications] 层次结构级别上配置的应用程序协议定义。

  9. 指定策略执行的操作。

    哪里:

    count

    启用策略允许传递的所有网络流量(以字节或千字节为单位)计数。

    deny

    丢弃数据包。
    permit

    接受数据包并将其发送到目的地。
    reject

    丢弃数据包。对于 TCP 流量,请将 TCP 重置 (RST) 分段发送到源主机。对于 UDP 流量,向源主机发送 ICMP destination unreachable, port unreachable 消息(类型 3,代码 3)。

为新一代服务配置有状态防火墙规则集

通过有状态防火墙规则集,可以指定一组有状态防火墙规则,这些规则按它们在规则集配置中的显示顺序进行处理。一旦规则集中的状态防火墙规则与数据包匹配,系统将应用该规则,并且不会处理规则集中的其他规则。

要配置状态式防火墙规则集,请执行以下操作:

  1. 为状态防火墙规则集配置名称。
  2. 指定属于规则集的状态防火墙规则。

为新一代服务配置有状态防火墙的服务集

必须先将状态防火墙规则分配给服务集,然后才能将其应用于流量。

要将服务集配置为应用状态式防火墙规则,请执行以下操作:

  1. 定义服务集。
  2. 配置接口服务集(需要单个服务接口),或下一跃点服务集(需要内部和外部服务接口)。

  3. 指定要与服务集一起使用的状态防火墙规则。您可以指定单个规则或规则集,但不能同时指定两者。

    要应用单个状态防火墙规则,请执行以下操作:

    要应用有状态防火墙规则集,请执行以下操作:

    服务集按照有状态防火墙规则或规则集在服务集配置中的显示顺序对其进行处理。