您可以在兩個網路對象之間建立訪問流量的防禦規則,實現源網路對象訪問目的網路對象的流量管控。本文介紹如何建立防禦規則。
前提條件
已分別添加源網路對象和目的網路對象。具體操作,請參見新增網路對象。
背景資訊
容器防火牆的防禦規則可以實現網路的隔離,它由一個源網路對象、一個目的網路對象、一組連接埠範圍、一個過濾動作和規則優先順序這五部分組成。
操作步驟
在左側導覽列,選擇。
在容器防火牆頁面,單擊防護管理頁簽。
在防護管理頁簽下的叢集列表中,定位到要建立防禦規則的叢集,單擊其操作列的規則管理。
在防禦規則面板上,單擊建立規則。
在建立規則面板上為該叢集建立防禦規則。
配置源網路對象。
您需要進行以下配置:
規則名稱:為該防禦規則設定名稱。
網路對象:選擇源網路對象,即訪問流量的來源。
單擊下一步。
配置目的網路對象。
您需要進行以下配置:
配置項
說明
網路對象
選擇訪問流量的目的對象。
連接埠
輸入訪問的連接埠範圍。
說明最多支援設定8組端號範圍,端號範圍不可重複。多個連接埠範圍使用半形逗號(,)隔開,例如:20/30,80/90。
動作
選擇規則的執行動作。取值:
攔截:對訪問流量進行攔截。
警示:對訪問流量允許存取並進行警示。
允許存取:對訪問流量允許存取(不會警示)。
規則狀態
防禦規則的狀態。取值:
開啟:該防禦規則建立成功後為生效狀態。
關閉:該防禦規則建立成功後為不生效狀態。
優先順序
設定該防禦規則的優先順序。優先順序為1~1000,數字越小優先順序越高。
單擊確定。
新建立的防禦規則會展示在防禦規則列表中,並按照優先順序由高到低的順序排列。建立的防禦規則預設為關閉狀態,您需要開啟防禦規則,規則才會生效。開啟防護規則的具體操作,請參見防禦狀態與規則管理。
防禦規則啟用後,該叢集的防禦規則會按照您建立防禦規則時設定的優先順序順序依次執行。
重要如果防禦規則列表中的第一條規則未命中,則繼續嘗試匹配規則列表中的第二條規則,直到命中規則後,按規則中的動作來執行。如果沒有命中任何規則,容器防火牆會執行允許存取的動作。