sonicwall_nsa_utm防火墻規(guī)則說明

1、防火墻的基本功能就是實(shí)現(xiàn)對于內(nèi)外網(wǎng)之間的訪問控制，和路由器及交換機(jī)產(chǎn)品類似，防火墻也使用一種策略的規(guī)則來實(shí)現(xiàn)管理，這也是一種ACL（AccessControlList）。防火墻規(guī)則是由5個部分組成，源地址、源端口、目的地址、目的端口、執(zhí)行動作來決定。SonicWALLＮＳＡ系列產(chǎn)品都是采用基于對象的控制方式，通過定義不同的對象，然后把它們組合到一條策略中，來實(shí)現(xiàn)訪問規(guī)則的配置。防火墻規(guī)則能夠控制到單向訪問，配置防火墻策略，首先需要判定訪

2、問方向，如果方向不對，就會出現(xiàn)配置好的策略不起作用，或根本無法達(dá)到應(yīng)有的目的等情況。訪問方向的是按照發(fā)起方來進(jìn)行判定的，如從內(nèi)網(wǎng)訪問外網(wǎng)的WEB網(wǎng)站，就屬于從內(nèi)網(wǎng)訪問外網(wǎng)方向（LANWAN）。不同方向的訪問規(guī)則不會相互干擾。常見的防火墻策略的方向分為從外網(wǎng)（ＷＡＮ）到內(nèi)網(wǎng)（ＬＡＮ），從內(nèi)網(wǎng)到外網(wǎng)，從內(nèi)網(wǎng)到ＤＭＺ，從ＤＭＺ到內(nèi)網(wǎng)，從ＤＭＺ到外網(wǎng)，從外網(wǎng)到ＤＭＺ等幾種。最常用的就是從內(nèi)網(wǎng)（ＬＡＮ）到外網(wǎng)（ＷＡＮ）的策略配置，因為要控制內(nèi)網(wǎng)的

3、用戶到外網(wǎng)的訪問。在配置幾條策略在一個訪問方向的時候，需要注意到是策略的排列，防火墻產(chǎn)品對于策略的匹配是有規(guī)則的，上面的規(guī)則優(yōu)先于下面的規(guī)則，（上面是指在規(guī)則界面中排在上方的規(guī)則），當(dāng)防火墻進(jìn)行策略匹配時，一旦查詢到一條匹配規(guī)則，防火墻將停止向下查詢。如果同時需要做幾個規(guī)則，需要考慮這幾條規(guī)則的邏輯關(guān)系。SonicWALLNSA產(chǎn)品在出廠默認(rèn)情況下，規(guī)則是從安全級別高的區(qū)域，如內(nèi)網(wǎng)（LAN）到所有安全級別低的區(qū)域如外網(wǎng)（WAN）和DMZ

4、是允許訪問的，而從安全級別低的區(qū)域到安全級別高的區(qū)域，是禁止訪問禁止訪問的。SonicWALLUTM防火墻是基于對象管理的，防火墻規(guī)則是在各個安全區(qū)域之間定義的。只要把一個物理端口劃分到一個安全區(qū)域，在防火墻的FirewallAccessRules界面就可以定制各個區(qū)域之間的安全規(guī)則。默認(rèn)情況下，SonicWALL防火墻會自動產(chǎn)生各個安全區(qū)域之間的默認(rèn)規(guī)則，用戶可以自己刪除，修改默認(rèn)規(guī)則，也可以增加自定義的其它規(guī)則。下面的一個例子是TZ

5、200W防火墻的配置舉例。一個LAN安全區(qū)域（X0，X5），一個WAN區(qū)域（包含X1X2X3三個端口）一個DMZ安全區(qū)域（包含X4，X6）一個WLAN安全區(qū)域（W0無線端口）。一個安全區(qū)域包含哪些端口，可以在wkPtShieldGroups界面配置。在wkPtShieldGroup界面，可以配置X2到X6口的用途，也就是對X2到X6口進(jìn)行分組，一組端口相當(dāng)于在一個L2交換上連接。X2到X6口的任意一個端口即可單獨(dú)做為一個獨(dú)立的三層端口使

6、用，也可以配置成PtShield到X0LAN或者任何的DMZ的端口。PtShield的含義是把幾個端口放在一個L2的交換機(jī)上。下面的例子是X5PtShield到X0口，就是X5和X0在一個L2交換機(jī)上，以X0口IP作為默認(rèn)的網(wǎng)關(guān)，X1X2X3是三個獨(dú)立的端口（在wkInterfaces界面分別配置到WAN的安全區(qū)域），X4是獨(dú)立的端口（在wkInterfaces界面配置到DMZ的安全區(qū)域），X6端口Ptshield到X4端口，就是X6和