默认情况下，tz 190会锁定你的网络。除非你创建了允许访问规则，所有从到局域网的通信都会被这个状态数据包检测所阻挡。你可以通过公开向导(public server wizard)轻松的在防火墙上开放端口，该向导通过简单的三步就可以让你开放网络中的不同服务。通过这个向导，我能够轻松的在防火墙上设定开放对网络中服务器的ssh、vnc和终端服务。

　　一旦增加了一条访问规则后，该设备会产生一条nat(网络地址转换)策略。通过一条nat策略将源ip地址和端口与目的ip地址对应起来。sonicwall os允许创建512条不同的nat策略。理解nat策略是非常重要，因为当你删除一个防火墙访问规则的时候，它要求你首先删除nat策略。

　　域(zones)和地址对象(address objects)这两个概念对理解sonicwall安全性也是非常关键的。我们可以通过域来控制接口之间的通信。接口可以被分组到域中。举个例子来说，默认域配置阻挡局域网客户端访问有线网络内的客户端机器或设备，要想改变它，可以通过把默认防火墙访问规则中的wlan域到lan域的通信从拒绝(deny)修改为允许(allow)。如下图所示。

图11、域访问呢规则

　　地址对象(address objects)对于网管们来说也是一个非常有用的配置工具，可以让你命名网络上的一些关键的设备，然后在soniwall os的下拉配置列表中去选择它们。在下图的示例中，我创建了一个名为voip server的地址对象，可以更直观的修改规则的配置。

图12、地址对象的建立

voip

　　我们还可以用sonicwall这款强大的数据包检测防火墙来探测voip通信，简化了在防火墙中配置通过数据的设置过程。它可以支持的voip协议包括h.323和sip。你也可以在你的网络上使用mgcp和sccp的voip设备，不过你需要专门为它们创建特定的规则。

　　tz 190可以监视所有voip呼叫的状态，在voip呼叫状态菜单中，你可以看到它们的日志和正在进行的呼叫。

图13、voip呼叫状态

   vpn

　　tz 190提供两种级别的vpn功能：点到点vpn、客户端到网关的vpn，它们都使用ipsec协议。要连接两个不同办公室的，你需要创建一个点到点vpn隧道。当然，sonicwall具有一个向导可以让你非常轻松的在两个sonicwall路由器之间建立一个vpn隧道，或者你也可以在一个sonicwall路由器和其它品牌路由器之间搭建起一个ipsec通道，只要两边的选项匹配就可以。

　　客户端到网关vpn功能可以让远端计算机连接到tz 190上。这需要每一个客户端计算机加载sonicwall的vpn客户端。不过如果你的系统是vista的话，要它的gvc 4.0版本才可以。它的vpn客户端的安装过程也非常简单，同样有一个向导来让你进行连接配置。

　　设置好客户端到网关vpn功能后，我可以安全的从远程访问我的服务器和nas设备。

　　为了测试sonicwall客户端vpn的吞吐能力，我使用了一款名为qcheck的免费工具，使用它来测试我的笔记本和局域网中的一台server服务器之间的带宽，tcp吞吐测试的结果算不上很理想，从客户端到服务器的平均速度为1.572mbps，从服务器到客户端为1.149mbps，需要指出的是在测试过程中我使用了3des加密，测试结果如下图。

图14、vpn客户端吞吐能力

　　它可以支持点对点vpn隧道数最大为15个通道，另外还最大支持25个并发远程访问vpn隧道。

无线功能

　　sonicwall在它的tz 190w中增加了对802.11b/g无线网络的支持，这使它可以作为一个无线ap或无线网桥使用。通过它的向导功能，你可以很轻松的启用它的无线功能。

　　通过无线状态菜单我们可以看出，tz 190w可以支持32个并发无线连接。

　　tz 190w支持几乎全部的无线安全功能，其中包括wep、wpa、wpa2加密，同时还支持mac地址过滤。正如上文所提到的，默认的域安全设置禁止wlan客户端访问有线局域网。此外，tz 190w将无线客户端划分到不同的子网络中。默认配置下，有线局域网客户端是在192.168.168.0 /24网络中，而无线局域网客户端则是在172.16.31.0/24网络中。通过这种设计，防火墙可以更好的控制两个网络之间的通信，防止不安全的无线客户端访问有线网络中的重要设备。

vlan和qos

　　在sonicwall tz 190中，通过在lan的8个端口上实现portshield，它可以最多支持八个vlan。默认情况下，这八个端口都在一个vlan中。通过将端口划分到不同vlan中，可以有效减少广播。

图15、vlan portshield功能

　　tz 190还支持为不同的通信类型分配带宽，即支持qos。它可以确保敏感的通信数据类型得到足够的带宽，例如voip等。首先是定为wan接口的带宽，如下图。

图16、带宽管理设定

　　接下来，建立访问规则来允许特定通信类型所能够使用的带宽百分比，如下图所示，我为voip通信设置了使用带宽的范围，最小10%，最大15%。

图17、为规则分配带宽