添加防火墙规则
在ZStack Cloud主菜单,点击,进入防火墙界面。可从防火墙详情页或规则集详情页两个入口添加防火墙规则。
若从防火墙详情页进入,点击添加规则,弹出添加规则界面。
可参考以下示例输入相应内容:
- 优先级:设置规则优先级Note:
- 优先级支持输入范围:1001-2999,数字越小表示优先级越高
- 优先级范围1-1000、4000-9999是支持系统服务的预置规则,除默认规则仅支持修改行为外,其他系统规则不支持添加、修改或删除
- 同一规则集内,规则优先级不能相同
- 行为:选择接收到网络请求的处理办法,包括:接受、丢弃、拒绝
- 接受:允许VPC路由器上的网络请求通过
- 丢弃:不允许VPC路由器上的网络请求通过,且不向请求端反馈
- 拒绝:不允许VPC路由器上的网络请求通过,并向请求端反馈不通过信息
- 报文状态:可选项,选择VPC防火墙需要匹配规则的报文,例如:若勾选new选项,则所有new状态的报文将按照当前规则设置的行为来处理
- new:新连接请求
- established:已建立的连接
- invalid:无法识别的连接
- related:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接
- 协议:必选项,选择VPC防火墙需要匹配规则的协议,例如:若选择TCP,则所有TCP协议的请求将按照当前规则设置的行为来处理
- IP地址:可选项,设置当前规则需要匹配的源IP地址和目的IP地址
- 支持输入固定IP地址、IP地址范围或CIDR,若使用IP地址范围格式需要以-分隔,如:192.168.0.1-192.168.0.100
- 源IP地址/目的IP地址最多添加10条,支持固定IP地址、IP地址范围或IP/掩码格式的混合输入,以英文逗号隔开。
- 若输入多个IP地址,且包含一个或多个CIDR格式,则CIDR格式仅支持/24掩码范围,若仅输入一个CIDR则不限制掩码范围。
- 支持使用IP/端口集合方式快速填写IP地址。
- 简介:可选项,可留空不填
- 立刻启用:设置当前规则是否在添加后立即生效。若不开启,则当前规则在添加后将为停用状态,需手动启用后才能生效
- 保存为规则模板:将当前规则设置保存为一个规则模板
如Figure 1所示:Figure 1. 添加规则
若从规则集详情页进入,点击添加规则,弹出添加规则界面。支持以下两种方式添加规则:
- 手动添加规则
- 模板导入规则
手动添加规则
可指定单个IP地址逐条添加规则,也可指定IP范围批量添加规则。最大允许一次性批量添加 1998 条规则。
可参考以下示例输入相应内容:
- 优先级:设置规则优先级Note:
- 优先级支持输入范围:1001-2999,数字越小表示优先级越高
- 优先级范围1-1000、4000-9999是支持系统服务的预置规则,除默认规则仅支持修改行为外,其他系统规则不支持添加、修改或删除
- 同一规则集内,规则优先级不能相同
- 行为:选择接收到网络请求的处理办法,包括:接受、丢弃、拒绝
- 接受:允许VPC路由器上的网络请求通过
- 丢弃:不允许VPC路由器上的网络请求通过,且不向请求端反馈
- 拒绝:不允许VPC路由器上的网络请求通过,并向请求端反馈不通过信息
- 报文状态:可选项,选择VPC防火墙需要匹配规则的报文,例如:若勾选new选项,则所有new状态的报文将按照当前规则设置的行为来处理
- new:新连接请求
- established:已建立的连接
- invalid:无法识别的连接
- related:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接
- 协议:必选项,选择VPC防火墙需要匹配规则的协议,例如:若选择TCP,则所有TCP协议的请求将按照当前规则设置的行为来处理
- IP地址:可选项,设置当前规则需要匹配的源IP地址和目的IP地址
- 支持输入固定IP地址、IP地址范围或CIDR,若使用IP地址范围格式需要以-分隔,如:192.168.0.1-192.168.0.100
- 源IP地址/目的IP地址最多添加10条,支持固定IP地址、IP地址范围或IP/掩码格式的混合输入,以英文逗号隔开。
- 若输入多个IP地址,且包含一个或多个CIDR格式,则CIDR格式仅支持/24掩码范围,若仅输入一个CIDR则不限制掩码范围。
- 支持使用IP/端口集合方式快速填写IP地址。
- 简介:可选项,可留空不填
- 立刻启用:设置当前规则是否在添加后立即生效。若不开启,则当前规则在添加后将为停用状态,需手动启用后才能生效
- 保存为规则模板:将当前规则设置保存为一个规则模板
如Figure 2所示:Figure 2. 手动添加规则
模板导入规则
用户可通过模板导入方式将其他防火墙出/入方向上部分或全部规则快速添加至当前防火墙。若需在模板文件中大量修改或添加规则,推荐使用手动添加规则方式,更为便捷易用。
可参考以下步骤使用模板导入规则:
- 从当前/其他防火墙详情页或规则集详情页导出已添加规则的CSV模板文件。如Figure 3所示:
Figure 3. 模板文件 
- 按规定格式填写规则信息。可参考以下示例输入相应内容:
- 优先级:必填项,设置规则优先级Note:
- 优先级支持输入范围:1001-2999,数字越小表示优先级越高
- 优先级范围1-1000、4000-9999是支持系统服务的预置规则,系统规则不支持添加、修改或删除
- 同一规则集内,规则优先级不能相同
- 协议:可填项,填写VPC防火墙需要匹配规则的协议,例如:若填写TCP,则所有TCP协议的请求将按照当前规则设置的行为来处理。支持ALL,TCP,UDP,ICMP,GRE,ESP,AH,IPIP,VRRP,IPENCAP,PIM,OSPF,IGMP。填写多个协议时请用英文分号(;)分隔,不填则默认为 ALL
- 创建时间:可填项,仅防火墙详情页导出的模板存在此项,可留空不填
- 所属规则集:可填项,仅规则集详情页导出的模板存在此项,可留空不填
- 操作:必填项,选择接收到网络请求的处理办法,包括:接受、丢弃、拒绝
- 接受:允许VPC路由器上的网络请求通过
- 丢弃:不允许VPC路由器上的网络请求通过,且不向请求端反馈
- 拒绝:不允许VPC路由器上的网络请求通过,并向请求端反馈不通过信息
- 启用状态:可填项,设置当前规则是否在添加后立即生效
- 若不填或填 disable,则当前规则在添加后将为停用状态,需手动启用后才能生效。
- 若填 enable,当前规则在添加后立即生效。
- 报文状态:可填项,填写VPC防火墙需要匹配规则的报文,填写多个选项时请用英文分号(;)分隔。支持以下报文状态:
- new:新连接请求
- established:已建立的连接
- invalid:无法识别的连接
- related:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接
- TCP flag:可填项,当协议类型选择 TCP 时填写,支持 SYN、ACK、FIN、RST、URG、PSH。填写多个时请用英文分号(;)分隔,不填则默认为空
- ICMP类型:可填项,当协议类型选择 ICMP 时填写, 支持 echo-reply、echo-request、destination-unreachable、source-quench、redirect、router-advertisement、router-solicitation、time-exceeded、parameter-problem、timestamp-reply、timestamp-request、address-mask-request、address-mask-reply
- 源端口:可填项,设置当前规则需要匹配的源IP端口,当协议类型选择 TCP 或
UDP 时填写
- 支持输入端口号或端口范围,输入端口范围需以短横线(-)分隔,如:1-100。
- 支持最多添加10条,以英文分号(;)分隔。
- 目的端口:可填项,设置当前规则需要匹配的目的IP端口,当协议类型选择 TCP 或
UDP 时填写
- 支持输入端口号或端口范围,输入端口范围需以短横线(-)分隔,如:1-100。
- 支持最多添加10条,以英文分号(;)分隔。
- 源IP地址:可填项,设置当前规则需要匹配的源IP地址
- 支持输入固定IP地址、IP地址范围或CIDR,若使用IP地址范围格式需要以-分隔,如:192.168.0.1-192.168.0.100
- 若输入多条 CIDR,或 CIDR 与其他格式混合输入,则 CIDR 格式仅支持 /24 掩码范围。若仅输入一个 CIDR 则不限制掩码范围。支持最多添加 10 条,以英文分号(;)分隔。
- 目的IP地址:可填项,设置当前规则需要匹配的目的IP地址
- 支持输入固定IP地址、IP地址范围或CIDR,若使用IP地址范围格式需要以-分隔,如:192.168.0.1-192.168.0.100
- 若输入多条 CIDR,或 CIDR 与其他格式混合输入,则 CIDR 格式仅支持 /24 掩码范围。若仅输入一个 CIDR 则不限制掩码范围。支持最多添加 10 条,以英文分号(;)分隔。
- 简介:可填项,可留空不填
- 优先级:必填项,设置规则优先级
- 上传模板文件。
模板文件填写完成后,且确保语法无误后,点击上传文件或将文件拖拽到浏览器,将模板文件上传到云平台。
如Figure 4所示:Figure 4. 模板导入规则 
Note:- 模板导入规则后,需同步所属规则集的配置后生效。