防火墙ACL
功能用途
通过配置防火墙ACL规则,可以在协议和端口的粒度控制进出站点的流量。
面向场景
- 站点提供代理等服务时,用防火墙ACL规则只放行特定业务流量,减少端口暴露。
- 站点作为组网站点,为本分支子网内的主机提供访问控制。
配置说明
防火墙ACL的规则不区分入方向和出方向。
- 动作:当成功匹配流量的协议、源端口/目的端口、源地址/目的地址后,会对流量执行规则对应的动作,支持:放行、拒绝、标记流量和端口转发。
- 标记流量的规则需要配合其它功能一起使用,例如智能选路。
- 端口转发相当于DNAT,只能将流量转发给内网。选择“端口转发”需要同时填写“目的端口”、“内部IP地址”和“内部IP端口”。仅SD-WAN 路由器支持。
- 优先级:取值范围100-65535。值越小,优先级越高,则流量优先匹配该规则。
- 协议:规则匹配流量的网络协议类型,支持ICMP、TCP、UDP。当协议类型为TCP/UDP时,可以配置端口范围。
- 源MAC地址:通过源MAC地址匹配流量。仅SD-WAN 路由器支持配置。
- 源地址:通过源IP地址匹配流量。填写单个IP或者IP范围(用CIDR表示)。不填写则表示不使用源IP地址匹配流量。
- 目的地址:通过目的IP地址匹配流量。填写单个IP或者IP范围(用CIDR表示)。不填写则表示不使用目的IP地址匹配流量。
- 源端口:通过源端口匹配流量。填写端口(例如"22"或者"80 443")或者端口范围(例如"1024-2048")。不填写则表示不使用源端口匹配流量。
- 目的端口:通过目的端口匹配流量。填写端口(例如"22"或者"80 443")或者端口范围(例如"1024-2048")。不填写则表示不使用目的端口匹配流量。
- 内部IP地址:当“动作”选择“端口转发”时,需要填写转发流量的接收IP地址。IP应为LAN可达的地址。
- 内部IP端口:当“动作”选择“端口转发”时,需要填写转发流量的接收端口。
- 仅在指定时间段内生效:配置规则的生效时间。不配置表示规则一直生效。
管理防火墙ACL
新建规则
-
根据需新建规则的站点类型,在控制台选择左侧菜单[远程访问]/[SD-WAN]/[多云组网] → [POP站点]/[Edge站点]/[路由器]
-
[路由器配置]/[站点配置] → [安全配置] → [防火墙ACL]
-
在防火墙ACL页签单击“新建规则”按钮
-
根据界面提示信息,配置规则的参数
删除规则
-
根据需新建规则的站点类型,在控制台选择左侧菜单[远程访问]/[SD-WAN]/[多云组网] → [POP站点]/[Edge站点]/[路由器]
-
[路由器配置]/[站点配置] → [安全配置] → [防火墙ACL]
-
在防火墙ACL页签的规则列表中,单击所需删除规则右侧的“删除”按钮
修改规则
-
根据需新建规则的站点类型,在控制台选择左侧菜单[远程访问]/[SD-WAN]/[多云组网] → [POP站点]/[Edge站点]/[路由器]
-
[路由器配置]/[站点配置] → [安全配置] → [防火墙ACL]
-
在防火墙ACL页签的规则列表中,单击所需修改规则右侧的“修改”按钮
-
根据界面提示信息,修改规则的参数
最后更新于