Можно ли запрограммировать правило брандмауэра «Группа безопасности», включая исходные порты?

Question

Мне бы хотелось, чтобы брандмауэр Security Group выполнял фильтрацию входящего трафика без сохранения состояния на основе только исходных портов. На веб-странице IBM говорится, что правила брандмауэра Security Group являются «пятью кортежами», включая «порт источника и назначения».

Веб-страница IBM - брандмауэр группы безопасности Five Tuple

Через графический интерфейс группы безопасности сообщалось только «диапазон портов» группы безопасности, но не было порта источника и назначения «порт»диапазон », поэтому я предполагаю, что« диапазон портов »- это только диапазон портов назначения. Возможно, веб-страница IBM содержит ошибку или, может быть, пять кортежей поддерживаются только через CLI.

Возможно ли через CLI создать правило брандмауэра группы безопасности с фильтрацией без состояния на «исходном порту»"?

Кстати: в связи с этим Microsoft Azure и Amazon AWS поддерживают фильтрацию портов источника без сохранения состояния, а Google GCP - нет. Я знаю, что bluemix поддерживает этот диапазон портов источника в решении межсетевого экрана Juniper, но я бы хотел этого избежать.

Answer 1

Правила группы безопасности с состоянием. После того, как вы установили правило и установили связь соответственно, ответный трафик разрешается. Поэтому нет необходимости указывать порты источника или назначения как часть правила группы безопасности.

Для виртуального частного облака IBM Cloud Network ACL дополняют группы безопасности и предоставляют правила без сохранения состояния, включая исходный IP и диапазоны портов: https://cloud.ibm.com/docs/vpc-on-classic-network?topic=vpc-on-classic-network-setting-up-network-acls

Для классической инфраструктуры IBM Cloud есть несколько параметров брандмауэра, которые включают возможность указать исходные порты. Варианты брандмауэра перечислены здесь: https://cloud.ibm.com/docs/infrastructure/fortigate-10g?topic=fortigate-10g-exploring-firewalls