USG FLEX H 系列防火牆規則設定教學

Zyxel小編 Corey

前言

防火牆的主要功能是阻擋非法入侵，它是如何做到的呢？這是通過防火牆規則對流量進行過濾來實現的，這也是防火牆的核心功能。

以下教學將幫助您基本了解防火牆設備的工作原理，並準備好開始創建自己的防火牆規則。

在深入設定之前，我們先簡要介紹防火牆的構建方式。防火牆規則是由各種物件組成的，下面將介紹這些物件的意義。

備註 : 本篇文章截圖畫面使用 USG FLEX 500H V1.21(ABZH.0) 版本

介面

防火牆由多個網路介面組成，包括從 WAN 到 LAN 介面，還有您在設備上新增的所有其他虛擬介面。

物件

就像區域中有多個“物件”一樣，您可以創建多個地址物件、服務物件及其他類型的物件來應用到防火牆規則中。

這些物件，如其名稱所示，只是資料記錄，包括區域、地址物件、服務物件、使用者物件等。物件本身不具備功能，只有當它們被應用到防火牆規則或相關設定中時，才會發揮作用。

區域

我們了解了介面的核心概念，接下來讓我們探討區域。區域對於防火牆規則和安全策略尤其重要。

防火牆通常由多個 LAN、多個 VLAN 和/或多個 WAN 組成。

當您設定防火牆規則時，可能希望將相同的規則應用於一個介面，或者希望所有 LAN 介面在整個網絡中擁有相同的權限，或使用相同規則處理多個 WAN 介面。

在這種情況下，區域功能可以輕鬆實現這些需求。區域實際上是介面的群組。

以下圖範例顯示了區域的介面分配：

使用者可以自行編輯區域成員 :

透過"參考"可以查詢該物件目前套用到那些規則 :

位址物件

防火牆規則透過 IP 位址物件決定那些流量符合規則。

管理員可以自行編輯或新增位址物件 :

位址物件分為以下幾種類別 :

• 主機 : 單一 IP 位址
• IP 範圍 : 一個連續範圍的 IP 位址
• 子網路 : 包含子網路遮罩的 IP 網段
• 介面 IP : 與選擇介面 IP 位址連動的物件
• 介面網段 : 與選擇介面網段連動的物件
• 介面閘道 : 與選擇介面的閘道連線的物件
• 地理位置 : 國家位置(台灣、美國、日本等)

請注意!物件名稱開頭必須為英文字母!

將物件加入群組，可以讓一條規則一次套用多個 IP 位址 :

服務物件

管理員可以自行編輯或新增服務物件 Port、通訊協定 :

請注意!物件名稱開頭必須為英文字母!

將物件加入群組，可以讓一條規則一次套用多個服務物件 :

透過"參考"可以確認物件套用到哪些規則 :

排程物件

防火牆規則套用排程物件，可以決定規則啟用時間。

排程物件分為執行一次、重複執行

新增物件請注意!物件名稱開頭必須為英文字母!

執行一次物件 :

重複執行物件 :

若希望達成時間不連續的排程，可以透過群組的方式組合 :

——————————————————————————————————————————————————————————

策略控制/防火牆規則

在了解了介面、區域和物件的基礎概念後，我們可以開始新增防火牆規則。ZYXEL 防火牆預設了一些防火牆規則，例如完全阻擋從外部 (WAN) 到內部 (LAN) 的網路連線，以防止來自網際網路的攻擊。

同時，防火牆的預設值允許內網 (LAN) 到外網 (WAN) 的所有流量。這是因為每個網路環境對於阻止 LAN 客戶端的特定服務需求不同，因此預設情況下允許所有內網到外網的流量，後續由管理員根據環境需求進行調整。

防火牆規則欄位說明

我們從下圖的策略規則中看到許多不同的欄位，以下說明各個欄位的意義：

• 等級 : 防火牆規則的順序，數字越小優先權越高。
  • 防火牆規則按照順序從上到下運行，一旦符合規則、套用執行，就不會繼續往下比對。
  • 因此順序很重要，萬一前面已經被封鎖，即使後面有允許的規則，流量也不能傳輸。
  • 優先權調整步驟如下圖 : 

• 狀態 : 顯示規則是否處於運作狀態 - 綠色表示啟用，紅色表示停用

• 名稱：防火牆規則的名稱。
• 從(來源區域)：指流量的來源區域，可視為流量從哪些介面進入。
• 至(目的區域)：指流量的目的區域，可視為流量從哪些介面離開。
• 來源：比對流量的來源 IP 位址，可以設定群組來一次比對多個 IP。
• 目的地：比對流量的目的地 IP 位址，也可設定群組來一次比對多個 IP。
• 服務：指流量的目的地使用的服務，可設定群組來一次比對多個服務。
• 使用者：在使用網頁認證或 L2TP VPN 等需要帳號密碼登入的情況下，防火牆規則可比對使用者。
• 排程：使用排程物件可讓防火牆規則在特定時間啟用，適用於家長控制或學校應用等環境。
• 動作：決定符合條件的流量是否允許或拒絕通過。
  • Deny 將封包丟棄，Reject 則回應 client 流量已被拒絕。
  • 選擇 Reject 會消耗更多 CPU 且容易造成攔截，因此除非必要，建議選擇 Deny。
• 記錄：決定是否保留符合規則的流量紀錄。
  • Log Alert 的日誌以紅色顯示，Log 則為普通紀錄。
• 設定組合：可在此添加 UTM 服務及其配置文件，如內容過濾、應用程式阻擋等。

防火牆規則編輯

依照您的需求，編輯防火牆規則 :

防火牆規則設定範例

現在我們已經瞭解了如何在策略控制中設置不同的物件，接下來新增一個防火牆規則範例：

• 設定目標：只阻止 LAN2 到 LAN1 的流量，允許 LAN1 到 LAN2 及其他方向的流量。
• 規則設置：在防火牆規則中新增一條「封鎖」規則，禁止從 LAN2 到 LAN1 的流量，並確保此規則置於允許規則之上，以便優先生效。

這樣可以達成所需的流量控制目的。

防火牆規則日誌

若規則啟用了日誌功能，當流量符合該規則時，系統會產生日誌紀錄。您可以透過這些紀錄來確認傳輸的流量是否依照您設置的規則進行。

若紀錄

——————————————————————————————————————————————————————————

防火牆規則使用技巧

以下額外為各位帶來一些防火牆規則的實用技巧或建議，讓您可以輕鬆保護您或是客戶的網路環境:

1. 從上至下 !

防火牆規則依照優先順序從上至下比對執行。一旦您查看規則表，就能以邏輯且直觀的方式理解整體安全策略。

在防火牆規則的最底部，您會看到預設規則，該規則會封鎖所有流量。這表示，除非您在預設規則之上定義了允許通行的規則，否則所有傳輸都將被封鎖，ZYXEL 採用白名單型式的防火牆規則。

因此，防火牆在出廠時已預先配置了必要的規則，以確保內部網絡的流量順暢。對於外部網絡的連接，僅允許 VPN 類型的服務，提供了基本的安全保護。

 

2. 過濾功能

如果您對大量策略規則感到不知所措，並且需要找到某個特定的規則，不必擔心。您可以使用過濾器輕鬆查找規則或檢查規則是否丟失。

1. 點擊策略控制頂部的“過濾”按鈕，顯示過濾器選單。
2. 在選單中新增過濾條件，例如：選擇過濾出所有符合從 WAN 區域進入的規則。

3. 表格排序

每個欄位都可以直接點選進行排序，以將相同類別的項目排列在一起。

請注意：此功能僅用於辨識目的，實際的規則優先順序仍然取決於“等級”。