配置任务列表


	提示：您还可以按照区域查看访问规则。使用源区域和“目标区域”列中的“选项”复选框。从源区域列中选择 LAN、 WAN、 VPN 和所有。然后从终止区域列中选择 LAN、WAN、VPN 和“所有”。单击确定将显示访问规则。

每个视图都会显示一张已定义的网络访问规则表。例如，选择所有规则将显示所有区域的所有网络访问规则。

配置区域的访问规则

要显示特定区域的访问规则，请从矩阵、下拉框或所有规则视图中选择区域。

访问规则按照具体程度从上到下进行排序。表的底部是任何规则。默认访问规则是除访问规则页面中列出的 IP 服务之外的所有 IP 服务。可创建访问规则以覆盖任何规则的行为；例如，任何规则允许 LAN 上的用户访问所有互联网服务，包括 NNTP 新闻。

单击“优先级”列中的列图标，可更改访问规则的优先级。将显示“更改优先级”窗口。输入优先级字段中的优先级编号 (1-10)，然后单击确定。


	提示：如果删除或编辑图标变暗（不可用），将不能从列表中更改或删除访问规则。

添加访问规则

要向 Dell SonicWALL 安全设备添加访问规则，请执行以下步骤：

单击访问规则表顶部的添加。随即显示添加规则窗口。

在常规选项卡中，从操作列表中选择允许|拒绝|丢弃以允许或阻止 IP 流量。

从源区域和目标区域菜单中选择来源和目标区域。

从服务列表中选择受该访问规则影响的一个或一组服务。默认服务包括所有 IP 服务。

如果未列出服务，必须在添加服务窗口中定义服务。选择创建新服务或创建新群组以显示添加服务窗口或添加服务组窗口。

从源列表中选择受该访问规则影响的流量来源。选择创建新网络将显示添加地址对象窗口。

如果您要定义受访问规则影响的源 IP 地址，例如限制某些用户访问互联网，则在起始地址范围字段输入起始 IP 地址，在终止地址范围字段输入结束 IP 地址。要包含所有 IP 地址，请在起始地址范围字段中输入“*”。

从来源列表中选择受该访问规则影响的流量的目标。选择创建新网络将显示添加地址对象窗口。

从允许的用户菜单中，添加受该访问规则影响的用户或用户组。

从日程菜单中选择日程。默认计划是始终打开。

在备注字段中输入注释以帮助识别该访问规则。

默认选中允许分片的数据包复选框。较大的 IP 数据包在互联网上经过路由然后在目标主机上重组之前，通常会分成多个片段。禁用此设置的一个原因是，它可能会在拒绝服务 (DoS) 攻击中使用 IP 分段。

单击高级选项卡。

如果想要访问规则在一段 TCP 不活动的时间后超时，请在 TCP 连接不活动超时（分钟）字段中设置时间量（以分钟为单位）。默认值为 5 分钟。

如果想要访问规则在一段 UDP 不活动的时间后超时，请在 UDP 连接不活动超时（秒）字段中设置时间量（以分钟为单位）。默认值为 30 秒。

在允许的连接数(最大连接数的 %)字段中指定允许作为 Dell SonicWALL 安全设备允许的最大连接数的百分比的连接数。如需连接限制的更多信息，请参阅连接限制概述。

如果想要在相反的方向创建与此规则匹配的访问规则，请选择创建一个相反的规则--从您的目标区域或地址对象到您的源区域或地址对象。

如果想要将 DSCP 或 802.1p 服务质量管理应用到由此规则管理的流量，请单击 QoS 选项卡。

在 DSCP 标签设置下选择 DSCP 标签操作。您可以选择无、保留、显式或映射。保留是默认值。

•

无：数据包中的 DSCP 值设置为 0。

•

保留：数据包中的 DSCP 值保持不变。

•

显式：将 DSCP 值设置为在显式 DSCP 值字段中选择的值。这是介于 0 和 63 之间的数字值。部分标准值如下：

•

0 - 最大努力型/默认

•

8 - 1 级

•

10 - 1 级，黄金级 (AF11)

•

12 - 1 级，白银级 (AF12)

•

14 - 1 级，青铜级 (AF13)

•

16 - 2 级

•

18 - 2 级，黄金级 (AF21)

•

20 - 2 级，白银级 (AF22)

•

22 - 2 级，青铜级 (AF23)

•

24 - 3 级

•

26 - 3 级，黄金级 (AF31)

•

27 - 3 级，白银级 (AF32)

•

30 - 3 级，青铜级 (AF33)

•

32 - 4 级

•

34 - 4 级，黄金级 (AF41)

•

36 - 4 级，白银级 (AF42)

•

38 - 4 级，青铜级 (AF43)

•

40 - 快速转发

•

46 - 加速转发 (EF)

•

48 - 控制

•

56 - 控制

•

映射：将使用防火墙 > QoS 映射页面上的 QoS 映射设置。如果选择“映射”，则可选择允许 802.1p 标签覆盖 DSCP 值。

在 802.1p 标签设置下选择 802.1p 标签操作。您可以选择无、保留、显式或映射。无是默认值。

•

无：未将任何 802.1p 标签添加到数据包。

•

保留：数据包中的 802.1p 值将保持不变。

•

显式：将 802.1p 值设置为在“显式 802.1p 值”字段中选择的值。这是介于 0 和 7 之间的数字值。标准值如下：

•

0 - 最大努力型（默认）

•

1 - 后台

•

2 - 备用

•

3 - 非常努力型

•

4 - 可控负载

•

5 - 视频（<100ms 延迟）

•

6 - 语音（<10ms 延迟）

•

7 - 网络控制

•

映射：将使用防火墙 > QoS 映射页面上的 QoS 映射设置。

单击确定添加规则。


	提示：虽然可以创建允许入口 IP 流量的自定义规则，但 Dell SonicWALL 安全设备不会禁用对 DoS（如“SYN Flood 攻击”和“Ping of Death”攻击等）攻击的防御。

编辑访问规则

要显示编辑规则窗口（包括与添加规则窗口相同的设置），请单击编辑图标。

删除访问规则

要删除单独的访问规则，请单击删除图标。要删除选定访问规则的所有复选框，请单击删除按钮。

启用和禁用访问规则

要启用或禁用访问规则，请单击启用复选框。

将访问规则恢复为默认区域设置

要删除区域的所有最终用户配置的访问规则，请单击默认按钮。这会将选定区域的访问规则恢复为在 Dell SonicWALL 网络安全设备上初步设置的默认访问规则。

显示访问规则流量统计

将您的鼠标指针移动到图图标上，以显示以下访问规则接收 (Rx) 和发送 (Tx) 流量统计：

•

•

•

•

连接限制概述

连接限制功能在与此类 SonicOS 功能（例如 SYN Cookie 和入侵防御服务 (IPS)）相结合时旨在提供附加的安全和控制层。连接限制提供了使用访问规则作为分类器并通过防火墙限制连接，同时清除可分配给该类别流量的所有可用连接缓存的最大百分比的一种方法。

与 IPS 相结合，可用于减缓特定级别的恶意软件（如 Sasser、Blaster 和 Nimda）的扩展速度。这些蠕虫通过初步连接到随机地址以不一般的高速率进行传播。例如，感染 Nimda 的每台主机每秒尝试进行 300 到 400 个连接，Blaster 每秒发送 850 个数据包，Sasser 每秒可进行 5,120 次尝试。一般不会在这些数字附近的任何位置处建立典型的非恶意网络流量，尤其是在它由可信变为不可信流量时（即 LAN-> WAN）。此类恶意活动在几秒钟之内就可以用尽所有可用的连接缓存资源，特别是对于小型家电。

除了减缓蠕虫和病毒的传播，连接限制还可用于缓解其他类型的连接缓存资源消耗问题，例如运行对等软件的别具特色的互联网主机（假设 IPS 配置为允许这些服务），或使用数据包生成器或扫描工具的内部或外部主机所带来的问题。

最后，连接限制还可用于保护公开可用的服务器（例如 Web 服务器），方法为限制该服务器允许的合法入站连接数（即避免服务器受到 Slashdot 的影响）。这不同于尝试检测并防止部分开放或欺骗的 TCP 连接的 SYN 攻击保护。这将最适用于不受信任的流量，但根据需要可将其应用到任何区域流量。

通过定义可能会分配给特定类型流量的允许的所有最大连接数的百分比，可应用连接限制。以上数字显示默认 LAN ->WAN 设置，其中可将所有资源分配给 LAN->WAN（任意源、任意目标、任意服务）流量。

可构造更具体的规则；例如，限制某种类型的流量可能消耗的连接的百分比（例如 WAN 上到达任何目标的 FTP 流量），或通过 100% 允许重要级别的流量使其优先通过（例如，到达关键服务器的 HTTPS 流量），以及将一般流量限制到较小的百分比（允许的最小值为 1％）。


	注：不能使用 IPS 签名作为连接限制分类器；仅允许访问规则（例如，地址对象和服务对象）。

访问规则配置示例

本节提供了添加网络访问规则的配置示例：

•

启用 Ping

•

阻止对特定服务的 LAN 访问

•

允许从 LAN 区域访问 WAN 主要 IP

启用 Ping

本节提供访问规则的配置示例，以允许 DMZ 上的设备发送 ping 请求并接受来自 LAN 上的设备的 ping 响应。默认情况下，Dell SonicWALL 网络安全设备不允许从 DMZ 开始并到达 LAN 的流量。将您的其中一个接口置于 DMZ 区域中后，从防火墙 > 访问规则窗口中执行以下步骤，以配置允许 DMZ 中的设备发送 ping 请求和接收来自 LAN 的设备的 ping 响应的访问规则。

单击添加以启动添加规则窗口。

选择允许单选按钮。

从服务菜单中，选择 Ping。

从源菜单中，选择 DMZ 子网。

从目标菜单中，选择 LAN 子网。

单击确定。

阻止对特定服务的 LAN 访问

本节提供工作时间阻止 LAN 访问互联网上的服务器的访问规则配置示例。

执行以下步骤，以配置阻止 LAN 访问基于日程的 NNTP 服务器的访问规则：

单击添加以启动添加窗口。

从操作设置中选择拒绝。

从服务菜单中，选择 NNTP。如果服务未列在列表中，必须在添加服务窗口中进行添加。

从源菜单中选择任何。

从目标菜单中选择 WAN。

从日程菜单中选择日程。

在注释字段中输入任意注释。

单击添加。

允许从 LAN 区域访问 WAN 主要 IP

通过创建访问规则，可允许从同一个防火墙上的某个区域访问其他区域中的管理 IP 地址。例如，您可以允许 HTTP/HTTPS 管理，或从 LAN 端对 WAN IP 地址执行 ping 操作。要实现此目的，必须创建允许区域之间相关服务的访问规则，并将一个或多个显式管理 IP 地址作为目标。此外，您还可提供包含单个或多个管理地址（例如 WAN 主要 IP、所有 WAN IP、所有 X1 管理 IP）并将其作为目标的地址群组。此类型的规则允许区域之间的 HTTP 管理、HTTPS 管理、SSH 管理、Ping 和 SNMP 服务。


	注：只能对内部区域管理设置访问规则。内部区域管理按照接口配置中的设置对每个接口进行控制。

要创建允许从 LAN 区域访问 WAN 主要 IP 的规则，请执行以下操作：

在“防火墙”>“访问规则”页面，显示 LAN > WAN 访问规则。

单击添加以启动添加窗口。

从操作设置中选择允许。

从服务菜单中选择以下其中一个服务：

•

•

•

•

•

从源菜单中选择任何。

从目标菜单中选择包含一个或多个显式 WLAN IP 地址的地址群组或地址对象。


	注：请勿选择表示子网的地址群组或对象，例如 WAN 主要子网。这将允许访问 WAN 子网上的设备（已默认允许），但不允许访问 WAN 管理 IP 地址。

从允许的用户菜单选择有访问权限的用户或群组。

从日程菜单中选择日程。

在注释字段中输入任意注释。

单击添加。

在访问规则中启用带宽管理

带宽管理可以应用于使用访问规则的入口和出口流量。可以为带宽管理配置显示漏斗图标的访问规则。


	提示：请勿在某区域的多个接口上配置带宽管理，其中为该区域配置的保证带宽大于边界接口的可用带宽。

有关配置带宽管理的信息，请参见防火墙设置 > BWM 。