1、防火墙的基本功能就是实现对于内外网之间的访问控制,和路由器及交换机产品类似,防火墙也使用一种策略的规则来实现管理,这也是一种 ACL(Access Control List)。防火墙规则是由 5 个部分组成,源地址、源端口、目的地址、目的端口、执行动作来决定。SonicWALL 系列产品都是采用基于对象的控制方式,通过定义不同的对象,然后把它们组合到一条策略中,来实现访问规则的配置。防火墙规则能够控制到单向访问,配置防火墙策略,首先需要判定访问方向,如果方向不对,就会出现配置好的策略不起作用,或根本无法达到应有的目的等情况。访问方向的是按照发起方来进行判定的,如从内网访问外网的 WEB 网站,
2、就属于从内网访问外网方向(LAN-WAN)。不同方向的访问规则不会相互干扰。常见的防火墙策略的方向分为从外网()到内网(),从内网到外网,从内网到,从到内网,从到外网,从外网到等几种。最常用的就是从内网()到外网()的策略配置,因为要控制内网的用户到外网的访问。在配置几条策略在一个访问方向的时候,需要注意到是策略的排列,防火墙产品对于策略的匹配是有规则的,上面的规则优先于下面的规则,(上面是指在规则界面中排在上方的规则),当防火墙进行策略匹配时,一旦查询到一条匹配规则,防火墙将停止向下查询。如果同时需要做几个规则,需要考虑这几条规则的逻辑关系。SonicWALL NSA 产品在出厂默认情况下,
3、规则是从安全级别高的区域,如内网(LAN)到所有安全级别低的区域-如外网(WAN)和 DMZ-是允许访问的,而从安全级别低的区域到安全级别高的区域,是禁止访问的。SonicWALL UTM 防火墙是基于对象管理的,防火墙规则是在各个安全区域之间定义的。只要把一个物理端口划分到一个安全区域,在防火墙的 Firewall-Access Rules 界面就可以定制各个区域之间的安全规则。默认情况下,SonicWALL 防火墙会自动产生各个安全区域之间的默认规则,用户可以自己删除,修改默认规则,也可以增加自定义的其它规则。 下面的一个例子是 TZ200W 防火墙的配置举例。一个 LAN 安全区域(X0
4、,X5),一个 WAN 区域(包含 X1,X2,X3 三个端口),一个 DMZ 安全区域(包含 X4,X6),一个 WLAN安全区域(W0 无线端口)。一个安全区域包含哪些端口,可以在 Network-PortShield Groups 界面配置。在 Network-PortShield Group 界面,可以配置 X2 到 X6 口的用途,也就是对 X2 到 X6 口进行分组,一组端口相当于在一个 L2 交换上连接。X2 到 X6 口的任意一个端口即可单独做为一个独立的三层端口使用,也可以配置成 PortShield 到 X0 LAN 或者任何的 DMZ 的端口。PortShield 的含义
5、是把几个端口放在一个 L2 的交换机上。下面的例子是 X5 PortShield 到 X0 口,就是 X5 和 X0 在一个 L2 交换机上,以 X0 口 IP 作为默认的网关, X1,X2,X3 是三个独立的端口(在 Network-Interfaces 界面分别配置到 WAN 的安全区域),X4是独立的端口(在 Network-Interfaces 界面配置到 DMZ 的安全区域),X6 端口 Portshield 到 X4 端口,就是 X6 和 X4 口在一个 L2 交换机上,以 X4 口 IP 作为默认网关。 从上面的图中可以看出,虽然 X5 口PortShield 到 X0 口, X
6、6 口 PortShield 到 X4 口,但是 X5,X6 口本身不出现在 Network-Interfaces 的界面,他们相当于是 X0 口和 X4 口分别连接 L2 交换机扩展出来的端口。按照如上的端口配置,防火墙的默认的 Access Rules 界面如下。各个安全区域的可信度排列如下,LAN 是最可信的区域,WLAN 次之,DMZ 排在其后,WAN 最不可信。VPN 和 SSL VPN 的安全区域与其它安全区域之间的访问规则,是在配置了 VPN 隧道后,防火墙在 VPN 隧道上的访问控制规则。只有配置 VPN 的应用才有意义。默认情况下,从可信级高的安全区域到可信级别低的安全区域,是允许访问的,如 LAN-WAN,LAN-DMZ,LAN-WLAN,默认都是允许任意端口的访问, 反之,WAN-LAN,DMZ-LAN,WLAN-LAN 都是禁止任意端口。LAN-WAN 的默认规则,全部允许WAN-LAN,默认规则,全部禁止,就是默认情况下,WAN 不能访问 LAN 的任何 IP 的任何端口,如果需要发布服务器,从 WAN 上访问位于 LAN 的服务器,必须增加 WAN-LAN 的允许的规则,同时如果服务器本身是私有 IP 地址,必须配置相应的 NAT 策略。
