功能说明

1. 分布式防火墙用于保护数据中心的所有云主机，通过创建和配置分布式防火墙策略，可以实现云主机之间的网络隔离，对数据中心内部流量进行安全防护，降低恶意攻击对数据中心内部的影响。

2. 提供配置防火墙生效范围，对于VDI+HCI二合一场景，通常情况租户的VPC网络内可能即存在VDI虚拟机又存在业务虚拟机，而用户期望某防火墙规则的作用范围仅对部分虚拟机生效，防火墙生效范围能够满足该场景用户需求。

注意事项

1. 禁止绕过SCP直接到HCI上执行防火墙操作，可能会造成防火墙规则生效范围错误，造成策略规则冲突。
2. 分布式防火墙同一个生效域下最多支持创建100条策略。
3. 分布式防火墙同一个策略中最多支持创建1000个规则。
4. 分布式防火墙同一个生效域下最多支持创建50个IP组。
5. 分布式防火墙同一个生效域下最多支持创建50个自定义服务。
6. 691及其之后的版本，分布式防火墙如下规格调整如下：

• 单个IP组中的IP范围个数由原来的100变为了不限制。

• 单个虚拟机组内的IP个数由原来的100变为了不限制。

• 单条规则的源端或目的端引用的虚拟机个数由原来的50变为了不限制。

• 单条规则的源端或目的端引用的虚拟机组个数由原来的10变为了200。

• 单条规则的源端或目的端聚合后的IP范围个数由原来的1000变为了2000。

• 单个网络域（VPC/经典网络）中的策略个数由原来的100变为了300。

前提条件

无

操作步骤

1. 登录SCP管理员界面，登录成功后选择[产品与服务/安全服务/分布式防火墙]，进入防火墙编辑页面，可以看到现有防火墙策略。其中，“平台直通策略”、“全局控制策略”为默认策略，不可编辑。

• 平台直通策略：包含平台直通规则，该规则保证SCP与资源池的连通性。

• 全局控制策略：包含全局控制规则，该规则保证全部流量放通。

2. 选择左侧列表中资源池名称或租户网络名称，进入相应页面，点击上方<创建策略>按钮，为资源池或租户网络创建防火墙策略。

• 策略名称：防火墙策略名称。

• 作用范围：可以是整个资源池，也可以是租户的经典网络或VPC网络。

• 策略优先级：管理员创建的策略介于平台默认策略之间，其他策略优先级可以手动调整。

• 点击<设置生效范围>按钮，设置分布式防火墙策略的生效域，即可以对自定义的云主机合集进行防火墙策略的控制。

3. 支持分组管理防火墙拦截规则，即在已创建的策略中添加该策略下的分布式防火墙规则。点击对应策略的<编辑>按钮，点击<添加规则>。注意：这里的选项均所属该策略所在的生效域内。

• 源/目的匹配条件：支持配置IP组、IP范围、云主机、云主机组。

：

当源/目的选择云主机时，如果云主机没有装性能优化工具，系统无法自动获取云主机IP，防火墙规则底层无法进行有效的IP转换，规则实际上是对云主机不生效的，因此在这种情况下需要首先给云主机配置IP后，才能将其作为防火墙规则的源/目的端。

• 服务：支持选择平台内置服务，也支持根据协议和端口号自定义服务，同一个生效域内的自定义服务可以被多个规则共用。

4. 回到[创建规则]页面，点击<添加规则>按钮，可继续添加其他规则。

5. 确认所有规则添加无误后，点击<确定>。在[规则配置]界面，选择规则记录，点击<上移>或<下移>按钮，可以对已创建规则的优先级进行调整；点击<移动到>，也可以将规则移动到其他策略组。

6. 同样也支持分布式防火墙策略的优先级调整，在列表中选中需调整优先级的策略，点击<更多>，即可进行调整。

7. 管理IP组：平台管理员可以管理分布式防火墙策略中的IP组，点击<管理IP组>按钮，点击<创建>按钮，输入名称、描述IP范围，即可完成新增IP组操作。注意：自定义IP组在同一个生效域内可以被多个规则共用。

8. 在配置防火墙策略后，可以进行实时拦截日志配置。

• 点击<实时拦截日志>按钮，进入实时拦截日志页面，点击<开启拦截日志和直通>，对拦截日志过滤条件进行配置，只有满足条件的日志才会被记录下来；

• 可勾选“同时开启数据直通”，开启后，资源池中所有防火墙策略将不生效，可用于临时排查问题；

• 当不需要记录拦截日志时，可点击界面“关闭”按钮，关闭实时日志拦截功能。