Nebula 政策路由設定教學 (Policy Route)
Zyxel Employee
什麼是政策路由?
政策路由 (Policy Route) 是 Nebula 安全閘道器中的一項進階功能。它允許管理者不依照預設的路由表,而是根據來源 IP、目的 IP、協定等更精細的條件,來強制指定流量的走向。
簡單來說,它能讓您以更具彈性的方式,決定「什麼樣的流量,該走哪一條路」。
版本資訊:本篇教學的截圖與操作,基於 Nebula Control Center 19.00 版本。
核心觀念
- 路由優先級在 Nebula 防火牆中,路由決策的優先順序為: 直連路由 > 政策路由 > 靜態路由。這代表您設定的政策路由,其權力大於一般的靜態路由。
- 三種路由類型
- Internet:將符合條件的流量,透過指定的 WAN 介面送出,並執行來源位址轉譯 (SNAT)。常用於指定線路或分流。
- Intranet:將符合條件的流量,導向至內部網路的另一個閘道(例如另一台路由器),此過程不執行 SNAT。
- VPN:將符合條件的流量,強制送入一條指定的 非 Nebula VPN (Non-Nebula VPN) 通道。
設定教學與範例
路徑:【設定 > 防火牆 > 路由】在「政策路由」區塊,點擊「+新增 」來建立規則。
範例一:將「訪客網路」流量導向至指定線路(Internet 類型)
情境說明:
假設您的公司有兩條對外網路:WAN1(主要線路)和 WAN2(次要/訪客線路)。為了確保訪客的網路流量,完全不會影響到主要線路的運作,管理者希望將所有來自訪客網段 LAN2 的流量,都強制透過 WAN2 連上網際網路。
設定目標:
建立一條政策路由,將來源為 LAN2 的所有對外流量,都導向 WAN2 出口。
參數設定:
欄位 | 設定值 | 說明 |
|---|---|---|
來源 (Source) |
| 指定要被管制的流量來源。 |
目的地 (Destination) |
| 指所有非內部的目的地(即網際網路)。 |
類型 (Type) |
| 表示這是一條對外連線的規則,系統會自動執行 SNAT。 |
下一個躍點 (Next-hop) |
| 強制將流量從 |
範例二:將流量導向至內部另一台路由器 (Intranet 類型)
情境說明:
假設您的 LAN1 (192.168.1.0/24) 網路中,還串接了另一台路由器(IP為 192.168.1.33),而這台路由器後面還有一個獨立的網段 192.168.10.0/24。
預設情況下,Nebula 防火牆並不知道 192.168.10.0/24 這個「網路中的網路」的存在,因此其他網段(例如 LAN2)的使用者無法存取它。
設定目標:
建立一條政策路由,明確地告訴 Nebula 防火牆:「所有要前往 192.168.10.0/24 的流量,請全部交給 192.168.1.33 這台路由器處理。」
參數設定:
欄位 | 設定值 | 說明 |
|---|---|---|
來源 (Source) |
| 指定要發起連線的來源網段 ( |
目的地 (Destination) |
| 指定要到達的目標網段。 |
類型 (Type) |
| 表示這是內部網路之間的路由,系統不會執行 SNAT,以保持來源 IP 的可識別性。 |
下一個躍點 (Next-hop) |
| 強制將封包送往這台知道如何到達目標網段的內部路由器。 |
範例三:強制特定流量進入 VPN 通道 (VPN 類型)
情境說明:
假設您已建立一條 Site-to-Site VPN 通道,但其加密網域只設定了 LAN1 之間的互通。現在,您有一個臨時需求,希望讓 LAN2 的某台電腦 (192.168.2.33),也能夠透過這條既有的 VPN 通道,去存取遠端辦公室的伺服器 (192.168.37.33),但您不想修改或增加新的 VPN 規則。
設定目標:
建立一條政策路由,「攔截」特定來源與目的地的流量,並強制將其「塞進」已經建立好的 VPN 通道中。
參數設定:
欄位 | 設定值 | 說明 |
|---|---|---|
來源 (Source) |
| 指定要被管制的來源 IP。 |
目的地 (Destination) |
| 指定要到達的遠端目標 IP。 |
類型 (Type) |
| 表示這是一條要導入 VPN 的規則。 |
下一個躍點 (Next-hop) |
| 強制將封包送入指定的 VPN 通道,而不是走預設的網際網路出口。 |
規則順序的重要性
政策路由會由上至下進行比對,一旦符合了某條規則,就不會再往下比對。因此,規則的順序非常重要。
您可以用滑鼠拖曳規則前方的 = 符號來調整順序。確認所有設定與順序無誤後,請務必點擊「儲存」。
