什么是防火墙？

防火墙是服务器所连接的上游网络设备。 防火墙用于阻止不需要的流量到达服务器。

为什么要使用防火墙？

安装防火墙的主要好处是服务器只处理“好”流量。 这意味着您的资源只用于预期目的，而不是处理不需要的流量。

IBM 提供哪些防火墙产品？

您可以在 探索防火墙 中找到所有防火墙产品的详细比较。

Hardware Firewall 是否与 IBM 的负载均衡器产品兼容？

需要。 Hardware Firewall 与云负载平衡服务、本地负载平衡器以及 Citrix Netscaler VPX 和 MPX 兼容。

Hardware Firewall 是否可以保护可移植的 IP？

编号 便携式 IP 不能用于保护，因为它们可以在服务器之间移动。 由于存在许多注意事项，而且需要客户提供更多系统设计的详细信息，因此例外情况将视具体情况而定。

我可以将 Hardware Firewall 和网关与相同 VLAN 关联吗？

不可能将 Hardware Firewall 和网络网关设备分配到同一个 VLAN。 网络网关设备的扩展功能可为您的网络提供防火墙功能，取代标准防火墙。

公用流量是首先通过负载均衡器还是 Hardware Firewall？

从公共互联网进入，首先是负载平衡产品。 Hardware Firewall产品是下一个，NetScaler产品是最后一个（以及客户的服务器）。

服务器的上行端口速度是否需要与 Hardware Firewall 匹配？

Hardware Firewall 不需要与服务器的公共上行链路速度匹配。 不过，由于它只保护网络的公共端，因此公共上行链路速度必须与防火墙的选择相匹配。 如果需要，客户可以创建一个案例，要求只对公共接口进行降级。

IBM Cloud 是否对防火墙带宽进行收费？

Hardware Firewall 和 FortiGate 安全设备 ( FSA ) 1G 不对带宽进行计量。 FSA 10G 使用 20 TB 后，防火墙带宽收费。 此外，这些产品还能限制服务器必须响应的流量，从而减少总带宽使用量。

如何升级 Hardware Firewall 的上行链路？

Hardware Firewall 锁定为服务器的公共上行端口速度。 可以通过取消防火墙、升级服务器的端口速度以及订购新的防火墙来就地升级。 或者，也可以部署一台新服务器，并配备所需的上行链路和相关防火墙。

Hardware Firewall 是否可以实现高可用性？

编号 Hardware Firewall 平台是企业级的，非常耐用，但真正的高可用性（冗余设备）并不是 Hardware Firewall 的选项。 对于 HA，需要使用 Hardware Firewall （高可用性）或 FortiGate 安全设备（高可用性）。 网关产品还具有 HA 选项以及防火墙功能。

我正在 IBM Cloud 服务器上运行系统管理程序。 Hardware Firewall 能否保护在我的管理程序上运行的虚拟机？

编号 便携式 IP 用于管理程序环境中的虚拟机，便携式 IP 不受硬件防火墙的保护。 建议使用 FortiGate Security Appliance。

Windows 防火墙中哪些端口不可用？

IBM Cloud 提供许多不同的服务，包括 EVault、SNMP 和 监控。Nagios 这些服务需要内部系统与服务器在一定程度上进行通信。 在例外列表中看到的不可用端口是仅在内部网络端口上开放的端口。 这些端口在公用（因特网）网络连接上也被阻止。 由于内部网络是一个安全网络，因此打开这些端口被认为是安全的。

这些端口一般不能修改；但是，如果重置防火墙规则，就会从例外列表中清除这些端口。 请注意，重置防火墙规则不仅可能对这些附加服务产生不利影响，还可能导致服务器出现其他问题（取决于其当前配置）。

10 Gbps 服务器有哪些 Hardware Firewall 选项？

FSA 10G 是支持 10 Gbps 服务器公共和专用流量的唯一选择。 如果仅在专用网络上需要 10 Gbps（用于数据库、备份、存储等），那么客户可以只要求降级其公共上行链路，并订购任何 Hardware Firewall 产品。

我允许哪些 IP 范围通过防火墙？

有关允许通过防火墙的 IP 地址和 IP 范围列表，请访问 此处。

每个防火墙产品提供了哪些 VPN 选项？

不是所有的防火墙都提供 VPN，也不是所有的 VPN 选项都相同。 VPN 的常规选项为：

• 每个客户收到专用网络的不受限制的 SSL VPN 连接。 登录 IBM Cloud 控制台时，单击 VPN 链接即可建立这些连接。
• IBM Cloud 还提供了基本多租户 IPSec VPN 服务。
• FortiGate 安全设备 1G 提供 SSL 和 IPsecVPN 选项，只能访问公共网络（不能访问 IBM Cloud Private 网络）。 FSA 10G 提供 SSL 和 IPsecVPN 选项，可接入公共或专用网络。
• 网络网关在公共或专用网络上提供 SSL、IPsec 和 OpenVPN 功能
• NetScaler 产品可在公共或专用网络上提供 SSL 和 IPsecVPN。
• 客户还可在其 IBM Cloud 环境中将 VPN 解决方案部署到服务器上。

哪些防火墙产品支持公对私 NAT、私有 VLAN 分离或两者兼有？

Fortigate Security Appliance 10G 支持 NAT 和专用 VLAN 分段。 其他防火墙产品只支持公共流量。