当我们已经开始使用防火墙规则管理连出入的网路传输时,随着制订规则数目越来越多,在管理上就会遇到开始较多麻烦的手动设定程序。本章会介绍如何用集中定义的管理方式,快速设定好适用於大批客体虚拟机的防火墙规则。
例如,将内网的一个可信任特定网段定义起来,在提供内部服务的客体机开放这个网段可以连入,在提供外部服务的客体机禁止连往这个网段,将它们区隔开来。
有些经常会用来设定的网路主机 IP 或网段,可以预先在 IP 集合功能里预先建立好,并且赋予一个易於记住的名称,届时在各个客体机之间要设定时,可以省下许多时间。
在资源检视区选取 资料中心
,切换至 防火墙
页签,选取 IPSet
,再按下 IPSet 旁的 建立
按钮。
准备建立 IP 集合
接着在 IP 集合名称设定对话框,可以输入名称例如 lan_trust
,备注填写易懂的内容如 内部信任网段
,备注可以使用中文没有问题。
建立 IP 集合选项视窗
建立 IP 集合项目完成後会出现在清单之中,先选取它,接下来要在这个 IP 集合之下把 IP 或网段加进来。请点选右方的 IP/CIDR
的 增加
按钮。
准备加入 IP 或网段
进入设定选项视窗後,请在 IP/CIDR
输入预记的目标,例如可以使用 192.168.1.0/24
,或者 192.168.2.100
这样的表示方式。在 备注
栏位可以输入详细的说明资讯,最後按下 建立
即可。
加入 IP 或网段选项视窗
完成後,即可在清单中检视设定的多笔项目。
在 IP 集合里的 IP 或网段设定完成
对於一些常用的连线目标或来源,以及经常允许或阻挡的连接埠,可以使用 安全群组
功能一次预先设定好,方便让客体机设定时简化更多的程序。
切换至 防火墙
,选取 安全群组
,再按下群组旁的 建立
。
准备建立安全群组
在弹出的安全群组名称选项视窗中,填入名称,例如 it_manager
,备注则可以使用中文。
建立安全群组选项视窗
建立完成後,在清单中选取它,然後至右边规则旁边的 增加
按钮,将它按下。
准备加入安全群组规则
进入增加规则的视窗後,与前一章的建立客体虚拟机防火墙规则方式一模一样。
本处我将以建立允许外部电脑经由 VPN 网段进入後,可以放行至区网所有主机的 SSH 连线为例。
加入安全群组规则选项视窗
in
ACCEPT
SSH
192.168.1.11
,这是 VPN 服务器位址+lan_trust
,选择为 IP 集合者前方会有一个加号err
,用以日後记录分析使用最後按下 增加
即可存入,回到清单中即可检视。
加入安全群组规则完成并启用
若确认无误,可勾选前方的核取方块,让它开始生效。
有了前面预先建立好的 IP 集合与安全群组後,客体机想要设定防火墙规则将会变的轻松许多。
请选取要设定的客体机,切换至 防火墙
页签,再按下 新增: 安全群组
。
准备加入安全群组
进入增加安全群组的选项视窗後,至 安全群组
下拉清单中选取稍早前建立过的 it_manager
安全群组,在 介面
可以填入要套用的客体机网路介面,而 备注
栏位可以输入详细说明资讯,以免日後忘记用途,最後再按下 增加
。
加入安全群组选项视窗
当确认清单的内容无误後,可以勾选前面的 启用
核取方块让它生效。
加入安全群组完成并启用
<<: [Day29] 不敢把聊天纪录上传到分析网站? 自己用Python分析LINE聊天纪录!
Decorator(装饰器) 是 Python 中很好用的一个东西,只要 @ 一下就可以处理掉很多东...
Arrays:一个阵列可以储存大量同类型的数据 T可以是任何型态,EX:String,Int,Dou...
这篇文章接下来我们要谈谈《 企业应用架构模式- Martin Fowler 》这本书中所提 doma...
Abstract 前述章节以叙述过Spring Component注解的原理与运用,Spring核心...
前言:上一篇结束了搜寻的部分,终於进入到铁人赛的最後一哩路了,之後的篇幅大概会介绍排序法的各个种类,...