需求:
在多个数据传输方向上结合时间计划实现基于协议类型、源IP、目的IP的数据包过滤。
场景 『过滤规则设置』包括了『本机规则』、『LAN<->DMZ』、『DMZ<->WAN』、『WAN<->LAN』、『VPN<->LAN』、『VPN<->WAN』、『VPN<->DMZ』。可在上述多个数据传输方向上结合实际 计划实现基于协议类型、源IP、目的IP的数据包过滤。
配置思路 1.防火墙设置-服务定义; 2.防火墙设置-ip组定义; 3.防火墙设置-过滤规则设置;
例:本文档以LAN<->DMZ、VPN<->LAN为例介绍过滤规则设置的一般步骤;
配置方式及截图
LAN<->DMZ 要使LAN与DMZ口之间完全互通并且能够使用PING命令进行测试,则需要在两个方向上开放所有 的TCP、UDP 以及ICMP过滤规则。页面如下: 点击新增,弹出对话框,设置规则时需要注意数据的方向和动作,页面如下:
[规则名称]用于自定义规则名称。[规则名称]用于定义该规则的描述信息。 [规则方向]设置此规则对哪个方向的数据生效。 [规则动作]设置数据匹配此规则后的执行动作。 [服务对象]设置规则要匹配的服务类型。服务对象可以在『防火墙设置』->『服务定义』里预先定 义好,此处引用。如图所示:
[源IP组]设置规则要匹配的源IP地址组。IP组需要预先在『防火墙设置』->『IP组定义』里预先定义 好,此处引用。如图所示:
[目的IP组]设置规则要匹配的目的IP地址。IP组需要预先在『防火墙设置』->『IP组定义』里预先定 义好,此处引用。 [时间组]设置规则生效的时间。时间组需要预先在『VPN信息设置』->『通用设置』->『时间计划设 置』里预先定义好,此处引用。 勾选[启用规则]选项,则此规则设置完成后立即生效。 勾选[启用日志]选项,则所有匹配此规则的数据包经过设备时日志系统都将记录日志,一般情况下 请不要启用,以免系统产生大量日志。
VPN<->LAN
此界面用于设置VPN接口与LAN接口之间数据传输的防火墙过滤规则,默认规则已放行了双向的所 有TCP、UDP、ICMP数据,设置方法与LAN->DMZ类似,页面如下:
注意事项 1.通过防火墙过滤规则可以实现数据单向访问权限的设置。 2.默认情况下设备放通了VPN<->LAN的所有数据,放通了LAN->WAN、VPN->WAN的所有数据; LAN<->DMZ、VPN<->DMZ、DMZ<->WAN的数据全部拒绝。 |