当我们已经开始使用防火墙规则管理连出入的网路传输时，随着制订规则数目越来越多，在管理上就会遇到开始较多麻烦的手动设定程序。本章会介绍如何用集中定义的管理方式，快速设定好适用於大批客体虚拟机的防火墙规则。

例如，将内网的一个可信任特定网段定义起来，在提供内部服务的客体机开放这个网段可以连入，在提供外部服务的客体机禁止连往这个网段，将它们区隔开来。

管理 IP 集合

有些经常会用来设定的网路主机 IP 或网段，可以预先在 IP 集合功能里预先建立好，并且赋予一个易於记住的名称，届时在各个客体机之间要设定时，可以省下许多时间。

在资源检视区选取 资料中心，切换至 防火墙 页签，选取 IPSet，再按下 IPSet 旁的 建立 按钮。

准备建立 IP 集合

接着在 IP 集合名称设定对话框，可以输入名称例如 lan_trust，备注填写易懂的内容如 内部信任网段，备注可以使用中文没有问题。

建立 IP 集合选项视窗

建立 IP 集合项目完成後会出现在清单之中，先选取它，接下来要在这个 IP 集合之下把 IP 或网段加进来。请点选右方的 IP/CIDR 的 增加 按钮。

准备加入 IP 或网段

进入设定选项视窗後，请在 IP/CIDR 输入预记的目标，例如可以使用 192.168.1.0/24，或者 192.168.2.100 这样的表示方式。在 备注 栏位可以输入详细的说明资讯，最後按下 建立 即可。

加入 IP 或网段选项视窗

完成後，即可在清单中检视设定的多笔项目。

在 IP 集合里的 IP 或网段设定完成

管理安全群组

对於一些常用的连线目标或来源，以及经常允许或阻挡的连接埠，可以使用 安全群组 功能一次预先设定好，方便让客体机设定时简化更多的程序。

切换至 防火墙，选取 安全群组，再按下群组旁的 建立。

准备建立安全群组

在弹出的安全群组名称选项视窗中，填入名称，例如 it_manager，备注则可以使用中文。

建立安全群组选项视窗

建立完成後，在清单中选取它，然後至右边规则旁边的 增加 按钮，将它按下。

准备加入安全群组规则

进入增加规则的视窗後，与前一章的建立客体虚拟机防火墙规则方式一模一样。

本处我将以建立允许外部电脑经由 VPN 网段进入後，可以放行至区网所有主机的 SSH 连线为例。

加入安全群组规则选项视窗

• 方向：连入 in
• 动作：允许放行 ACCEPT
• 巨集：选取 SSH
• 来源位址：输入 192.168.1.11，这是 VPN 服务器位址
• 目标位址：在下拉清箪中，可以选取在稍早建立过的 IP 集合 +lan_trust，选择为 IP 集合者前方会有一个加号
• 备注：填入要说明的详细资讯
• 记录层级：选取 err，用以日後记录分析使用

最後按下 增加 即可存入，回到清单中即可检视。

加入安全群组规则完成并启用

若确认无误，可勾选前方的核取方块，让它开始生效。

客体机使用安全群组与 IP 集合

有了前面预先建立好的 IP 集合与安全群组後，客体机想要设定防火墙规则将会变的轻松许多。

请选取要设定的客体机，切换至 防火墙 页签，再按下 新增: 安全群组。

准备加入安全群组

进入增加安全群组的选项视窗後，至 安全群组 下拉清单中选取稍早前建立过的 it_manager 安全群组，在 介面 可以填入要套用的客体机网路介面，而 备注 栏位可以输入详细说明资讯，以免日後忘记用途，最後再按下 增加。

加入安全群组选项视窗

当确认清单的内容无误後，可以勾选前面的 启用 核取方块让它生效。

加入安全群组完成并启用