在这篇文章中:

    防火墙定义

    防火墙是配置路由器上保护路由器内网络的安全策略。防火墙只控制进入路由器的流量。

    防火墙策略是防火墙的最重要的组成部分,防火墙策略由若干条防火墙规则组成。

    防火墙规则支持配置协议、源 IP、源端口、目标 IP、目标端口对网络包进行匹配,匹配成功后会执行指定动作。
    其中动作包含允许(ACCEPT),丢弃(DROP)和拒绝(REJECT)。丢弃和拒绝都不会让网络包进入网络内,但外网客户端的表现形式不同,丢弃动作客户端会超时,拒绝动作客户端会受到明确的拒绝回包。

    匹配规则

    防火墙策略内多条防火墙规则之间是有顺序的,一个网络包发送到路由器后会从前到后逐一匹配防火墙规则,若匹配到一条规则与网络包符合,则执行规则定义的动作,并不再继续匹配后面的防火墙规则。若无匹配的规则,就会执行丢弃动作。

    防火墙在专有网络VPC中的位置