防火墙的基本功能就是实现对于内外网之间的访问控制,和路由器及交换机产品类似,防火墙也使用一种策略的规则来实现管理,这也是一种ACL(Access Control List)。防火墙规则是由5个部分组成,源地址、源端口、目的地址、目的端口、执行动作来决定。SonicWALL
NSA系列产品都是采用基于对象的控制方式,通过定义不同的对象,然后把它们组合到一条策略中,来实现访问规则的配置。
防火墙规则能够控制到单向访问,配置防火墙策略,首先需要判定访问方向,如果方向不对,就会出现配置好的策略不起作用,或根本无法达到应有的目的等情况。访问方向的是按照发起方来进行判定的,如从内网访问外网的WEB网站,就属于从内网访问外网方向(LAN->WAN)。不同方向的访问规则不会相互干扰。常见的防火墙策略的方向分为从外网(WAN)到内网(LAN),从内网到外网,从内网到DMZ,从DMZ到内网,从DMZ到外网,从外网到DMZ等几种。最常用的就是从内网(LAN)到外网(WAN)的策略配置,因为要控制内网的用户到外网的访问。
在配置几条策略在一个访问方向的时候,需要注意到是策略的排列,防火墙产品对于策略的匹配是有规则的,上面的规则优先于下面的规则,(上面是指在规则界面中排在上方的规则),当防火墙进行策略匹配时,一旦查询到一条匹配规则,防火墙将停止向下查询。如果同时需要做几个规则,需要考虑这几条规则的逻辑关系。
SonicWALL NSA产品在出厂默认情况下,规则是从安全级别高的区域,如内网(LAN)到所有安全级别低的区域-------如外网(WAN)和DMZ--------是允许访问的,而从安全级别低的区域到安全级别高的区域,是禁止访问的。
SonicWALL UTM防火墙是基于对象管理的,防火墙规则是在各个安全区域之间定义的。只要把一个物理端口划分到一个安全区域,在防火墙的Firewall->Access Rules界面就可以定制各个区域之间的安全规则。默认情况下,SonicWALL防火墙会自动产生各个安全区域之间的默认规则,用户可以自己删除,修改默认规则,也可以增加自定义的其它规则。下面的一个例子是TZ200W 防火墙的配置举例。一个LAN安全区域(X0,X5),一个WAN区域(包含X1,X2,X3三个端口),一个DMZ安全区域(包含X4,X6),一个WLAN安全区域(W0无线端口)。一个安全区域包含哪些端口,可以在Network->PortShield Groups界面配置。
在Network->PortShield Group界面,可以配置X2到X6口的用途,也就是对X2到X6口进行分组,一组端口相当于在一个L2 交换上连接。X2到X6口的任意一个端口即可单独做为一个独立的三层端口使用,也可以配置成PortShield到X0 LAN或者任何的DMZ的端口。PortShield的含义是把几个端口放在一个L2的交换机上。下面的例子是X5 PortShield到X0口,就是X5和X0在一个L2交换机上,以X0口IP 作为默认的网关,X1,X2,X3是三个独立的端口(在Network->Interfaces界面分别配置到WAN 的安全区域),X4是独立的端口(在Network->Interfaces界面配置到DMZ 的安全区域),X6端口Portshield到X4端口,就是X6
和X4口在一个L2 交换机上,以X4口IP 作为默认网关。从上面的图中可以看出,虽然X5口PortShield 到X0口,X6 口PortShield到X4口,但是X5,X6口本身不出现在Network->Interfaces的界面,他们相当于是X0口和X4口分别连接L2交换机扩展出来的端口。
按照如上的端口配置,防火墙的默认的Access Rules界面如下。
各个安全区域的可信度排列如下,LAN是最可信的区域,WLAN 次之,DMZ排在其后,WAN 最不可信。VPN和SSL VPN 的安全区域与其它安全区域之间的访问规则,是在配置了VPN 隧道后,防火墙在VPN 隧道上的访问控制规则。只有配置VPN 的应用才有意义。
默认情况下,从可信级高的安全区域到可信级别低的安全区域,是允许访问的,如
LAN->WAN,LAN->DMZ,LAN->WLAN,默认都是允许任意端口的访问,反之,WAN->LAN,DMZ->LAN,WLAN->LAN 都是禁止任意端口。
LAN->WAN的默认规则,全部允许
WAN->LAN,默认规则,全部禁止,就是默认情况下,WAN 不能访问LAN 的任何IP 的任何端口,如果需要发布服务器,从WAN 上访问位于LAN 的服务器,必须增加WAN->LAN 的允许的规则,同时如果服务器本身是私有IP 地址,必须配置相应的NAT 策略。
