USG FLEX H 防火牆策略路由設定教學
Zyxel Employee
前言
在現代網路架構中,企業對於流量管理的需求越來越高。隨著網路應用多樣化以及資源的分布,如何有效地控制與分配不同類型的流量成為一個關鍵課題。防火牆的策略路由功能提供了靈活的解決方案,讓管理者可以根據來源、目的地、應用等條件精細地分配流量到不同路徑,以達到流量分流、資源最佳化或滿足特定需求的目標。
本篇文章將向您介紹如何調整 USG FLEX H 系列防火牆的路由。最常見的使用情境範例,例如 SNAT、透過特定 WAN 介面路由傳輸以及透過 VPN 通道路由傳輸,助您實現流量控制,提升網路效能與安全性。
備註 : 本篇文章截圖畫面使用 USG FLEX 500H V1.30(ABZH.0) 版本
應用情境
以下向各位介紹一些常見場景的範例 :
- 透過特定 WAN 介面傳輸內部流量
- SNAT(來源網路位址轉譯)路由
策略路由設定位置請前往【網路 > 路由 > 策略路由】頁面進行新增或編輯策略路由。
透過特定 WAN 介面傳輸內部流量
根據您的網路架構,您可能會使用多個 WAN 介面和多個內部網段(例如 LAN1 和訪客網段)。為了優化內部網路效能,您可能希望強制讓此流量透過更快、最可靠的網路傳輸,而訪客則使用較慢的網路。
這可以透過建立兩個策略路由來實現,一個將 LAN1 的流量透過較快速的WAN介面傳輸,第二個將訪客流量傳送到較慢的WAN介面。
在此範例中,ge1(WAN1) 屬於網速較快的線路,ge2(WAN2) 則屬於網速較慢的網路。
- 名稱 : 輸入可辨識規則用途之名稱即可。
- 接收 : 選擇封包從哪個介面進入符合此規則,範例 GE3 為 LAN 介面,因此選擇「ge3」。
- 來源位址 : 設定哪些來源位址符合此規則,假設您的 LAN 介面網段為 192.168.1.0/24,請選擇 「192.168.1.0/24的位址物件」。
- 下一個躍點 : 選擇封包要從哪個介面送出,範例 ge1 為 WAN1,因此選擇「ge1」 。
- 來源網路位址轉譯 : 封包從 WAN 介面離開時,來源 IP 需要轉換成 WAN IP 才能在網路傳輸,因此請保留預設值「outgoing-interface」 。
新增第二筆策略路由。在新增頁面中,建立 Guest 網段的 IP 範圍,並將該範圍設定為來源位址。最後,將訪客網段的流量指向 GE2(WAN2)介面。
建議您同時啟用進階設定中的健全狀況檢查功能。如果已設定的 WAN 介面無法正常傳輸,防火牆將自動停用該策略路由,並切換至其他 WAN 介面作為備用。
設定完成後可以在策略路由清單勾選指定規則,進行編輯、優先權移動、停用 :
SNAT(來源網路位址轉譯)路由
如果您 WAN 介面擁有多個由網路服務供應商提供的公共 IP 位址,並且希望某些流量連接網路時,轉換成特定的公共 IP,您可以建立策略路由,透過 SNAT 功能,將內部來源 IP 轉換成指定的外部 公共 IP。
如下圖範例,客戶向電信業者申請了一條線路,並提供兩筆 Public IP 1.1.1.1、1.1.1.2 可以使用,使用者希望讓 Mail Server 出外網時轉換的 Public IP 是 1.1.1.1,而 NVR Server 則是轉換成 1.1.1.2 的 Public IP。
新增策略路由,可於選單點選「鉛筆」快速建立新物件,新建內部設備 IP 物件與希望轉換的 WAN IP 物件。
- 名稱 : 輸入可辨識規則用途之名稱即可。
- 來源位址 : 設定哪些來源位址符合此規則
- 下一個躍點 : 選擇封包要從哪個介面送出,範例 ge1 為 WAN1,因此選擇 ge1。
- 來源網路位址轉譯 : 封包從 WAN 介面離開時,來源 IP 轉換成指定的 WAN IP 。
設定完成後,您可以查看策略路由清單中的兩筆規則。這樣,來自不同來源 IP 的流量在出網時,會根據設定轉換為不同的 WAN IP :
