《SonicWALL_NSA_UTM防火墙规则说明》由会员分享,可在线阅读,更多相关《SonicWALL_NSA_UTM防火墙规则说明(4页珍藏版)》请在金锄头文库上搜索。
1、防火墙的基本功能就是实现对于内外网之间的访问控制,和路由器及交换机产品类似,防火墙也使用一种策略的规则来实现管理,这也是一种ACL(Access Control List)。防火墙规则是由5个部分组成,源地址、源端口、目的地址、目的端口、执行动作来决定。SonicWALL 系列产品都是采用基于对象的控制方式,通过定义不同的对象,然后把它们组合到一条策略中,来实现访问规则的配置。防火墙规则能够控制到单向访问,配置防火墙策略,首先需要判定访问方向,如果方向不对,就会出现配置好的策略不起作用,或根本无法达到应有的目的等情况。访问方向的是按照发起方来进行判定的,如从内网访问外网的WEB网站,就属于从内
2、网访问外网方向(LAN-WAN)。不同方向的访问规则不会相互干扰。常见的防火墙策略的方向分为从外网()到内网(),从内网到外网,从内网到,从到内网,从到外网,从外网到等几种。最常用的就是从内网()到外网()的策略配置,因为要控制内网的用户到外网的访问。在配置几条策略在一个访问方向的时候,需要注意到是策略的排列,防火墙产品对于策略的匹配是有规则的,上面的规则优先于下面的规则,(上面是指在规则界面中排在上方的规则),当防火墙进行策略匹配时,一旦查询到一条匹配规则,防火墙将停止向下查询。如果同时需要做几个规则,需要考虑这几条规则的逻辑关系。SonicWALL NSA产品在出厂默认情况下,规则是从安全
3、级别高的区域,如内网(LAN)到所有安全级别低的区域-如外网(WAN)和DMZ-是允许访问的,而从安全级别低的区域到安全级别高的区域,是禁止访问的。SonicWALL UTM防火墙是基于对象管理的,防火墙规则是在各个安全区域之间定义的。只要把一个物理端口划分到一个安全区域,在防火墙的Firewall-Access Rules界面就可以定制各个区域之间的安全规则。默认情况下,SonicWALL防火墙会自动产生各个安全区域之间的默认规则,用户可以自己删除,修改默认规则,也可以增加自定义的其它规则。 下面的一个例子是TZ200W 防火墙的配置举例。一个LAN安全区域(X0,X5),一个WAN区域(包
4、含X1,X2,X3三个端口),一个DMZ安全区域(包含X4,X6),一个WLAN安全区域(W0无线端口)。一个安全区域包含哪些端口,可以在Network-PortShield Groups界面配置。在Network-PortShield Group界面,可以配置X2到X6口的用途,也就是对X2到X6口进行分组,一组端口相当于在一个L2 交换上连接。X2到X6口的任意一个端口即可单独做为一个独立的三层端口使用,也可以配置成PortShield到X0 LAN或者任何的DMZ的端口。PortShield的含义是把几个端口放在一个L2的交换机上。下面的例子是X5 PortShield到X0口,就是X5
5、和X0在一个L2交换机上,以X0口IP 作为默认的网关, X1,X2,X3是三个独立的端口(在Network-Interfaces界面分别配置到WAN 的安全区域),X4是独立的端口(在Network-Interfaces界面配置到DMZ 的安全区域),X6端口Portshield到X4端口,就是X6和X4口在一个L2 交换机上,以X4口IP 作为默认网关。 从上面的图中可以看出,虽然X5口PortShield到X0口,X6 口PortShield到X4口,但是X5,X6口本身不出现在Network-Interfaces的界面,他们相当于是X0口和X4口分别连接L2交换机扩展出来的端口。按照如
6、上的端口配置,防火墙的默认的Access Rules界面如下。各个安全区域的可信度排列如下,LAN是最可信的区域,WLAN 次之,DMZ排在其后,WAN 最不可信。VPN和SSL VPN 的安全区域与其它安全区域之间的访问规则,是在配置了VPN 隧道后,防火墙在VPN 隧道上的访问控制规则。只有配置VPN 的应用才有意义。默认情况下,从可信级高的安全区域到可信级别低的安全区域,是允许访问的,如LAN-WAN,LAN-DMZ,LAN-WLAN,默认都是允许任意端口的访问, 反之,WAN-LAN,DMZ-LAN,WLAN-LAN 都是禁止任意端口。LAN-WAN的默认规则,全部允许WAN-LAN,默认规则,全部禁止,就是默认情况下,WAN 不能访问LAN 的任何IP 的任何端口,如果需要发布服务器,从WAN 上访问位于LAN 的服务器,必须增加WAN-LAN 的允许的规则,同时如果服务器本身是私有IP 地址,必须配置相应的NAT 策略。
