SANGFOR VPN 硬件网关防火墙采用状态检测包过滤技术,可在多个数据传输方向上结合时间计划实现基于协议类型、源 IP、目的 IP 的数据包过滤。可设置包括了本机规则和十二个方向的规则设置。如下图:
注意:所有的 VPN 数据都会经由 VPN 接口传输(例如:本端设备 LAN 接口下的计算机与 VPN 对端计算机的数据通信是经由设备 LAN 接口与 VPN 接口传输),因此防火墙 的过滤规则可以对 VPN 数据进行控制。
『本机规则』用于设置对本机的防火墙策略。
点击[启用]或[禁用]来开启或禁用本条策略。
点确定保存即可完成对本机策略的设置。
『LAN<->DMZ』用于设置 VPN 设备的 LAN 接口与 DMZ 接口之间双向数据传输的
防火墙过滤规则。
『DMZ<->WAN』用于设置 VPN 设备的 DMZ 接口与 WAN 接口之间双向数据传输的防火墙过滤规则。
『WAN<->LAN』用于设置 VPN 设备的 WAN 接口与 LAN 接口之间双向数据传输的防火墙过滤规则。
『VPN<->LAN』用于设置 VPN 设备的 VPN 接口与 LAN 接口之间双向数据传输的防火墙过滤规则。
『VPN<->WAN』用于设置 VPN 设备的 VPN 接口与 WAN 接口之间双向数据传输的防火墙过滤规则(如果 VPN 连接对端在『隧道间路由设置』中设置了以本端作为『目的路由用户』并启用『通过目的路由用户上网』,则在本端可通过设置 VPN<->WAN 的过滤规则实现对分支上网数据的控制)。
『VPN<->DMZ』用于设置 VPN 设备的 VPN 接口与 DMZ 接口之间双向数据传输的防火墙过滤规则。
下面以 LAN<->DMZ、VPN<->LAN 为例介绍过滤规则设置的一般步骤:
用于设置 LAN 口与 DMZ 口之间数据传输的防火墙过滤规则,可根据实际环境设置放行某类服务数据或拒绝某类服务数据。例如要使 LAN 与 DMZ 口之间完全互通并且能够使用 PING 命令进行测试,则需要在两个方向上开放所有的 TCP、UDP 以及 ICMP 过滤规则。页面如下:
设置规则时需要注意数据的方向和动作,页面如下:
『规则名称』自定义规则名称。
『规则方向』设置此规则对哪个方向的数据生效。
『规则动作』设置数据匹配此规则后的执行动作。
『服务对象』设置规则要匹配的服务类型。
『源 IP 组』设置规则要匹配的源 IP 地址。
『目的 IP 组』设置规则要匹配的目的 IP 地址。
『时间组』设置规则生效的时间。
勾[启用规则]选项,则此规则设置完成后立即生效。
勾选[启用日志]选项,则所有匹配此规则的数据包经过设备时日志系统都将记录日志, 一般情况下请不要启用,以免系统产生大量日志。
此界面用于设置 VPN 接口与 LAN 接口之间数据传输的防火墙过滤规则,默认规则已放行了双向的所有 TCP、UDP、ICMP 数据,页面如下:
建议使用Chrome浏览器访问!
