有关 SonicOS 的 IPv6 实施的完整信息,请参见第 1269 页的IPv6。Firewall_ruleTable
本章节概述了 Dell SonicWALL 网络安全设备默认访问规则和自定义访问规则。访问规则是用于定义入站和出站访问策略、配置用户身份验证和启用防火墙远程管理的网络管理工具。本章节提供了自定义您的访问策略以满足业务需要的配置示例。
访问规则是用于定义入口和出口访问策略、配置用户身份验证和启用 Dell SonicWALL 安全设备远程管理的网络管理工具。
SonicOS 防火墙 > 访问规则页面提供了可排序的访问规则管理界面。后续部分高度概述了按照区域配置访问规则和使用访问规则配置带宽管理。
本章节包含以下子节:
• 配置任务列表
默认情况下,Dell SonicWALL 网络安全设备的状态数据包检测允许从 LAN 到互联网的所有通信,但阻止从互联网到 LAN 的所有流量。以下行为由在 Dell SonicWALL 网络安全设备上启用的“默认”状态检测数据包访问规则定义。
• 允许自 LAN、WLAN 到 WAN 或 DMZ 的所有情形(目标 WAN IP 地址是防火墙自身的 WAN 接口)
• 允许自 DMZ 到 WAN 的所有情形。
• 拒绝自 WAN 到 DMZ 的所有情形。
• 拒绝自 WAN 和 DMZ 到 LAN 或 WLAN 的所有情形。
可以定义其它网络访问规则,以便扩展或覆盖默认访问规则。例如,可创建允许自 LAN 区域访问 WAN 初始 IP 地址的访问规则,或阻止特定类型的流量(例如 IRC 自 LAN 到 WAN),或允许特定类型的流量(例如从互联网上的特定主机到 LAN 上的特定主机的 Lotus Notes 数据库同步),或限制使用特定协议(例如 Telnet 到 LAN 上的授权用户)。
自定义访问规则评估网络流量源 IP 地址、目标 IP 地址、IP 协议类型,并比较这些信息与在 Dell SonicWALL 安全设备上创建的访问规则。优先使用网络访问规则,并可以替代 Dell SonicWALL 安全设备的状态数据包检查。例如,阻止 IRC 流量的访问规则优先于允许这种流量类型的 Dell SonicWALL 安全设备默认设置。
小心 定义网络访问规则的功能是很强大的工具。使用自定义访问规则可禁用防火墙保护或阻止对互联网的所有访问。创建或删除网络访问规则时使用需要谨慎。
带宽管理 (BWM) 用于将保证的和最大的带宽分配到服务并排列流量的优先级。使用访问规则,BWM 可被应用于特定的网络流量。适用某个启用带宽管理的策略的数据包在被发送之前,将在对应的优先级队列中排队。
您必须在网络 > 接口页面分别配置各接口的带宽管理。单击接口的配置图标,然后选择高级选项卡。在可用接口出口带宽 (Kbps) 和可用接口入口带宽 (Kbps) 字段中分别输入可用的入口和出口带宽。这适用于防火墙服务 > BWM 页面上的带宽管理类型设置为高级或全局时。
全局带宽示例场景
如果创建出站邮件流量的访问规则(例如 SMTP)并启用以下参数的带宽管理:
• 保证的 20% 的带宽
• 最大的 40% 的带宽
• 零优先级
出站 SMTP 流量可保证 20% 的可用带宽,并获得高达 40% 的可用带宽。如果 SMTP 流量是唯一启用 BWM 的规则:
• 当 SMTP 流量使用其最大配置带宽(如上述是 40% 的最大带宽)时,所有其他流量获得剩余的 60% 带宽。
• 当 SMTP 流量使用的带宽小于其最大配置带宽时,所有其他流量获得 60% 至 100% 的链路带宽。
现在考虑为 FTP 添加以下启用 BWM 的规则:
• 60% 的保证带宽
• 70% 的最大带宽
• 优先级 1
如果结合以前的 SMTP 规则一起配置,则流量的行为如下:
• 始终为 FTP 流量保留 60% 的总带宽(因为其保证带宽)。始终为 SMTP 流量保留 20% 的总带宽(因为其保证带宽)。
• 如果 SMTP 使用 40% 的总带宽,FTP 使用 60% 的总带宽,则不能再发送其他流量,因为 100% 的带宽也被较高优先级的流量占用。如果 SMTP 和 FTP 使用小于其最大带宽的值,则其他流量可以使用可用带宽的剩余百分比。
• 如果 SMTP 流量减少,仅使用 10% 的总带宽,则 FTP 可以使用最多 70% 的总带宽,所有其他流量获得剩余的 20%。
• 如果 SMTP 流量停止,则 FTP 获得 70% 的总带宽,所有其他流量获得剩余的 30% 带宽。
• 如果 FTP 流量停止,则 SMTP 获得 40% 的总带宽,所有其他流量获得剩余的 60% 带宽。
有关 SonicOS 的 IPv6 实施的完整信息,请参见第 1269 页的IPv6。
在 防火墙 > 访问规则页面左上角的查看 IP 版本单选按钮中选择 IPv6 选项后,访问规则的 IPv6 配置方式与 IPv4 VPN 相似。
本节提供了以下配置任务的列表:
• 添加访问规则
• 编辑访问规则
• 删除访问规则
• 连接限制概述
• 访问规则配置示例
使用 SonicOS 增强版可在多个视图中显示访问规则。您可以从视图样式部分中选择视图类型。提供了以下视图样式:
• 所有规则 - 选择所有规则显示在 Dell SonicWALL 安全设备上配置的所有访问规则。
• 矩阵 - 显示为 LAN、WAN、VPN 的源/目标,或源列中的其他接口以及 LAN、WAN、VPN,或目标列中的其他接口。选择表格单元格中的编辑图标 
,以查看访问规则。
• 下拉框 - 显示两个下拉菜单:起始区域和目标区域。从起始区域菜单选择一个接口,然后再从目标区域菜单选择一个接口。单击确定,将显示对两个接口定义的访问规则。
提示 您还可以按照区域查看访问规则。使用起始区域和目标区域列中的“选项”复选框。从起始区域列中选择 LAN、WAN、VPN 和所有。然后从终止区域列中选择 LAN、WAN、VPN 和“所有”。单击确定将显示访问规则。
每个视图都会显示一张已定义的网络访问规则表。例如,选择所有规则将显示所有区域的所有网络访问规则。
要显示特定区域的访问规则,请从矩阵、下拉框或所有规则视图中选择区域。
访问规则按照具体程度从上到下进行排序。表的底部是任何规则。默认访问规则是除访问规则页面中列出的 IP 服务之外的所有 IP 服务。可创建访问规则以覆盖任何规则的行为;例如,任何规则允许 LAN 上的用户访问所有互联网服务,包括 NNTP 新闻。
单击“优先级”列中的列图标,可更改访问规则的优先级。将显示“更改优先级”窗口。输入优先级字段中的优先级编号 (1-10),然后单击确定。
提示 如果删除或编辑图标变暗(不可用),将不能从列表中更改或删除访问规则。