6.1. 防火墙服务指南¶
本篇指南旨在帮助新用户在SDN(Software Defined Networking,软件定义网络) 的环境下创建防火墙设备,为用户的云主机提供访问控制服务。
6.1.1. 概览¶
用户通过构建防火墙服务,可以过滤云主机访问外部网络(目标),以及外部网络(目标)访问云主机的规则。用户允许建立多个防火墙,每个防火墙包含了一系列的过滤规则。用户只需将云主机绑定到对应的防火墙即可。用户只需将云主机绑定到对应的防火墙即可。
默认防火墙名称为default,默认只开放了22,80,443,3389端口和ICMP规则。
- 默认规则说明
通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。 点击防火墙名称”default”,可查看内部规则。
- 入口规则
入口规则代表从外部(目标)访问云主机的规则;
输入类型有2种:IPv4和IPv6;IP协议有TCP、UDP、ICMP等;目标”CIDR: 0.0.0.0/0”或”CIDR: ::/0”代表任意地址。
- 出口规则
出口规则代表从云主机访问外部(目标)的规则;字段解释同上。
6.1.2. 新建/修改/删除防火墙¶
1.新建防火墙
新建防火墙,默认规则有2条,用户可手动添加其他规则。
- 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
- 点击”新建”按钮
- 输入防火墙名称
- 输入描述
- 点击”确定”按钮
2.修改防火墙
修改防火墙名称或者描述信息
- 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
- 选中需要修改的”防火墙名称”
- 点击”修改”按钮
- 输入新的”防火墙名称”和”描述”
- 点击”确定”
3.删除防火墙
删除防火墙,防火墙规则也将删除。
- 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
- 选中需要删除的”防火墙名称”
- 点击”删除”按钮
- 点击”确定”
4.注意事项
默认防火墙default,不能修改和删除。
6.1.3. 新建/删除防火墙规则¶
1.新建防火墙规则
用户可以在防火墙中定义自己的访问规则,实现更细致的访问控制。
- 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
- 选中”防火墙名称”,如default,进入default的详情界面。
- 点击”新建”按钮
示例说明
- 定制TCP、UDP规则
说明:过滤基于TCP、UDP规则的端口号
方向:入口和出口
端口:可指定端口和端口范围。如果指定端口,则需要在下面填入端口号(范围1~65535);如果指定端口范围,则填入起始端口和结束端口。
方式:CIDR,指定网络网段;防火墙,指定某一防火墙。
如:允许从网段10.5.0.0/24, 端口范围34-56的tcp访问。
- ICMP规则
说明:过滤ICMP规则
方向:入口和出口
类型:ICMP报文中的类型字段,和编码一起使用。如类型字段8,编码字段0,代表ping请求回显;类型字段0,编码字段0,代表ping请求应答。
编码:同上,创建时需指定类型和编码,不指定则填-1。
方式:CIDR,指定网络网段;防火墙,指定某一防火墙。
如:允许0.0.0.0/0(所有)的ICMP访问
- 其他协议
说明:指定其他协议类型
ALL TCP/UDP/ICMP
说明:过滤所有的TCP、UDP、ICMP规则
方向:入口和出口
方式:CIDR,指定网络网段;防火墙,指定某一防火墙。
- 2.删除防火墙规则
删除指定防火墙的规则,可批量删除。
- 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
- 选中”防火墙名称”,如default,进入default的详情界面。
- 勾选要删除的防火墙规则,点击”删除”按钮
- 点击”确定”
6.1.4. 云主机添加防火墙¶
用户将云主机绑定到对应的防火墙,可实现对云主机的访问控制。
- 1.添加防火墙
- 点击页面左边导航栏的“计算”模块中的“云主机”,然后选中云主机,再点上方菜单中的“更多操作”—“加载防火墙”进行启用新防火墙。
- 点击”关闭”按钮将状态置为”启用”,进行启用新防火墙。
- 2.检测防火墙规则是否生效,添加新的防火墙规则
打开云主机控制台,检测防火墙规则是否生效。
如通过ping外部网络:firewall_test中,有一条默认规则是允许云主机访问外部网络。
从另外一台云主机中,启动控制台,访问刚才新建的云主机,发现无法访问,是由于防火墙中没有这条规则,外部目标无法访问。
- 添加外部网络可以访问的规则,如下所示:
- 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
- 点击防火墙名称”firewall_test”。
- 添加规则。
- 添加规则之后,可以看到firewall_test中多了一条规则,允许从目标default的ICMP访问:
再来从另外一台主机来访问,发现可以ping通这台主机了。
说明:云主机的防火墙也可以在云主机的界面进行操作,可见下一章节
6.1.5. 云主机删除防火墙¶
删除云主机加入的防火墙。
- 通过Web控制台,点击页面左边导航栏的“计算”模块中的“云主机”。
- 点击”云主机名称”,点击”更多操作”中的”加载防火墙”
- 选择需要关闭的防火墙名称,如firewall_test。点击”启用”按钮将状态置为”关闭”。
- 点击确定