|
[防火墙规则设置]是防火墙中对数据包访问进行具体设置的地方,ac 硬件网关提供lan[=]dmz、dmz[=]wan、lan[=]wan,lan[=]lan,dmz[=]dmz 之间总共10 个方向的互访过滤规则设置。
1.规则前面的圆圈标识规则是否启用,如启用状态圆圈为绿色,未启用为红色。有些规则如果暂时不想启用,可把[启用规则]前的勾去掉。 2.防火墙遵循从上向下匹配的原则,如果一个规则匹配了,就不会再向下匹配了,所以请注意规则的先后顺序。可通过[上移]和[下移]来调节规则的先后顺序。另外,防火墙规则最后隐含一条拒绝所有。如果加入的规则都不匹配,数据包最后会被丢弃。 b.dmz﹤=﹥wan 此界面用于设置wan 口与dmz 口之间互访的规则,可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。配置方法请参照lan﹤=﹥dmz 设置。缺省界面如下:
c.wan﹤=﹥lan 此界面用于设置lan 口对外网访问时的规则,也用于设置内网对外网提供访问的规则。在缺省状态下,lan 口对外网的访问不受任何限制,而从wan 口访问内网是不允许的,如果要让外网的ip 访问局域网内的某个ip 则要开通相应的的过滤规则。 如下图所示为放行从外网访问内网80 端口的例子,相当于开放wan-]lan 方向的80 端口。
上面的[服务]、[源ip 组]、[目的ip 组]和[时间]都可以在前面的[对象定义]中定义好,点击旁边的[新建]按钮,亦可建立相应[对象定义],详细设置参见前面章节。 由于最常用的时wan[=]lan 方向的设置,ac 硬件网关默认内置了常用的规则,下图显示的就是防火墙wan﹤=﹥lan 的缺省规则设置,包括lan-]wan 方向的三条放行规则。
d.lan﹤=﹥lan 此界面用于设置lan1 口(原来的lan 口)与lan2 口(由闲置的wan2 切换成的)之间互访的规则或lan 口上绑定的几个不同网段的ip 间的互访规则,可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。配置方法请参照lan﹤=﹥dmz 设置。缺省界面如下:
e.dmz﹤=﹥dmz 此界面用于设置dmz1 口(原来的dmz 口)与dmz2 口(由闲置的wan2 切换成的)之间互访的规则或dmz 口上绑定的几个不同网段的ip 间的互访规则,可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。配置方法请参照lan﹤=﹥dmz 设置。缺省界面如下:
设置好了规则之后,我们可以点[规则测试]按钮来测试过滤规则设置的正确与否。 如下图,我们可以虚拟一个数据包,指定数据包的源ip 和目的ip,设定数据包的方向,从哪个接口到哪个接口,协议和目标端口是哪个,点[测试]之后,虚拟放出的数据包会在规则列表中逐条匹配各条规则,以验证每条规则设置的正确性。
(责任编辑:admin) |
