概述

相关定义

• 防火墙规则集：防火墙规则的集合，包含了一组规则，需要绑定到VPC路由器网卡的某个方向上才能生效。
  • 防火墙规则集可绑定VPC路由器网卡的入方向或出方向：
    • 绑定入方向：规则集中的所有规则作用于通过网络进入VPC路由器的流量。
    • 绑定出方向：规则集中的所有规则作用于从VPC路由器通过网络向外发出的流量。
• 防火墙规则：配置至防火墙用于控制VPC网络流量的访问策略，由规则优先级、匹配条件、以及行为三部分组成。
  • 防火墙规则可绑定VPC路由器网卡的入方向或出方向：
    • 绑定入方向：防火墙规则作用于通过网络进入VPC路由器的流量。
    • 绑定出方向：防火墙规则作用于从VPC路由器通过网络向外发出的流量。
  • 防火墙规则分为自定义规则和系统规则：
    • 自定义规则：用户自定义的防火墙规则，可选择规则的作用方向，并配置规则的优先级、匹配条件、和行为。
      • 规则优先级：定义一条防火墙规则相对其他防火墙规则优先匹配和生效机制，支持的优先级范围为1001-2999。
        • 通常按照优先级由高到低进行匹配，以阿拉伯数字标识，数字越小，优先级越高。
        • 一般而言，规则匹配条件越具体，所配置的优先级应该越高。
      • 匹配条件：定义匹配VPC网络流量属性的条件，包括源IP和目的IP地址、源端口和目的端口、报文状态、报文协议。
        • 源IP和目的IP支持输入固定IP地址、IP范围或CIDR，支持混合输入。
        • 若输入多个IP地址，且包含一个或多个CIDR格式，则CIDR格式仅支持/24掩码范围，若仅输入一个CIDR则不限制掩码范围。
        • 支持最多添加10条，以英文逗号分隔。
      • 行为：定义针对满足规则匹配条件的流量所应采取的具体动作，包括接受、丢弃、和拒绝。
        • 接受：允许VPC路由器上的网络请求流量通过。
        • 丢弃：不允许VPC路由器上的网络请求流量通过，且不向请求端反馈。
        • 拒绝：不允许VPC路由器上的网络请求流量通过，并向请求端反馈不通过信息。
    • 系统规则：支持系统服务的预置规则。系统规则已预绑定了作用方向，同时预置了规则的优先级、匹配条件、以及行为。
      • 系统规则优先级范围为1-1000、4000-9999。
      • ZStack Cloud已为防火墙的VPC路由器入方向流量和出方向流量配置以下系统规则：
        • 作用于入方向的系统规则：
          • 规则1：优先级为4000，行为和匹配条件为允许任意源/目的IP地址和端口、任意协议、且报文状态为established或related的流量通过网络进入VPC路由器。
          • 规则2：优先级为9999，行为和匹配条件为允许任意源/目的IP地址和端口、任意协议、且报文状态为new的流量通过网络进入VPC路由器。
          • 规则3：默认规则，优先级为10000，行为和匹配条件为默认拒绝任意源/目的IP地址和端口、任意协议、任意报文状态的流量通过网络进入VPC路由器。用户可手动修改该条规则的行为，包括接受、丢弃、和拒绝。
        • 作用于出方向的系统规则：
          • 规则1：默认规则，优先级为10000，行为和匹配条件为默认允许任意源/目的IP地址和端口、任意协议、任意报文状态的流量通过网络进入VPC路由器。用户可手动修改该条规则的行为，包括接受、丢弃、和拒绝。
      • 除默认规则仅支持修改行为外，其他系统规则均不支持修改。
      • 系统规则不支持添加或删除。
• 规则模板：将一组规则保存为模板，向防火墙或规则集添加规则时可直接选用该模板。
• IP/端口集合：将一组IP或端口进行保存，在向防火墙或规则集添加规则时可直接选用已建好的IP/端口集合。

功能原理

ZStack Cloud支持在防火墙的VPC路由器每个网卡流量方向上均绑定和配置规则集和规则。配置规则集或规则后，根据规则的优先级、匹配条件、行为、以及作用方向过滤进/出VPC路由器网卡的流量，从而保障整个VPC的通信安全以及VPC路由器安全，确保用户业务安全稳定运行。

如Figure 1所示：

防火墙VS安全组