更新时间:2023-12-07
功能说明
SCP租户可以设置所属网络拓扑内的分布式防火墙策略,对租户网络进行管理。
注意事项
租户分布式防火墙的作用仅在本租户区域内生效。
前提条件
无
操作步骤
- 登录SCP租户界面,登录成功后选择[产品与服务/安全服务/分布式防火墙],进入防火墙编辑页面,可以看到现有防火墙策略。
- 选择左侧列表中租户网络名称,进入相应页面,点击上方<创建策略>按钮,为租户网络创建防火墙策略。
• 策略名称:防火墙策略名称。
• 作用范围:即防火墙策略的生效域。
• 策略优先级:租户创建的策略优先级高于平台默认策略,其他策略优先级可以手动调整。
- 支持分组管理防火墙拦截规则,即在已创建的策略中添加该策略下的分布式防火墙规则。点击对应策略的<配置规则>按钮,点击<创建>。注意:这里的选项均所属该策略所在的生效域内。
• 源/目的匹配条件:支持配置IP组、IP范围、云主机、云主机组。
:
当源/目的选择云主机时,如果云主机没有装性能优化工具,系统无法自动获取云主机IP,防火墙规则底层无法进行有效的IP转换,规则实际上是对云主机不生效的,因此在这种情况下需要首先给云主机配置IP后,才能将其作为防火墙规则的源/目的端。
• 服务:支持选择平台内置服务,也支持根据协议和端口号自定义服务,同一个生效域内的自定义服务可以被多个规则共用。
- 回到[创建规则]页面,点击<添加规则>按钮,可继续添加其他规则。
- 确认所有规则添加无误后,点击<确定>。在[规则配置]界面,选择规则记录,点击<上移>或<下移>按钮,可以对已创建规则的优先级进行调整;点击<移动到>,也可以将规则移动到其他策略组。
- 同样也支持分布式防火墙策略的优先级调整,在列表中选中需调整优先级的策略,点击<更多>,即可进行调整。
- 管理IP组:租户可以管理分布式防火墙策略中的IP组,点击<管理IP组>按钮,点击<创建>按钮,输入名称、描述IP范围,即可完成新增IP组操作。注意:自定义IP组在同一个生效域内可以被多个规则共用。