U专家 - 深入了解 UniFi 防火墙规则

阅读  ·  发布时间 2024-07-29  ·  UBNT

不同网络之间的流量通过网关设备进行转发,网关设备在处理流量时,需要具有一定的安全防护能力,称之为防火墙能力。防火墙会检查所有进入或离开局域网的流量,并阻止未通过安全策略的数据包流量。


UniFi 网关云网关主机设备集成防火墙功能,其中包括流量和防火墙规则部分,可以用于保护网络安全和优化网络性能。防止未经授权的访问,阻止恶意流量攻击,进行带宽限制,优化网络性能。设置隔离规则,保护网络资源。记录并监控网络流量,识别异常流量和潜在威胁,保护用户数据隐私。


UBNT


流量规则

流量规则能够进行安全过滤以阻止、允许或限速特定流量。适用于大多数常见的网络管理需求,提供直观的界面,便于快速创建和管理规则。

UBNT

可以配置为:

  • 阻止、允许或限速流量。

  • 匹配整个 LAN 网络或特定客户端设备。

  • 匹配特定的流量类别,例如应用程序域名

  • 始终保持运行或按时间表计划运行。


可以匹配类别:

  • 应用程序

  • 应用组

  • 域名

  • IP 地址 + 端口

  • IP 地址范围

  • 地区

  • 互联网

  • 本地网络


流量规则的用例:

  • 速度限制

    为特定客户端设置下载和上传速度限制。

  • 域名过滤

    阻止客户端访问特定域名。

  • 网络隔离

    防止不同 LAN 网络上的客户端相互通信。

  • 家长控制

    在特定时间阻止特定应用程序/网站。


防火墙规则

防火墙规则适用于需要更精细控制的场景,通常涉及特定的端口或协议。可以匹配规则类型、规则方向、规则状态等特定流量。

UBNT

网关设备已预先配置一些防火墙规则,以优化本地网络流量,同时阻止某些潜在危险的互联网流量。此外,设备还会为添加的每个虚拟网络配置类似的规则。

防火墙规则按规则索引 ID 的顺序执行。较小的数字表示该规则在其他规则之前处理。创建新规则时,可以选择在预定义规则之前或之后应用。注意此索引 ID 很重要,因为不正确的顺序可能导致规则不起作用

规则类型

规则根据其适用的网络类型进行分组。使用的网络类型如下:

  • Internet:适用互联网网络的 IPv4 防火墙规则。

  • LAN:适用局域网网络的 IPv4 防火墙规则。

  • Guest:适用访客网络的 IPv4 防火墙规则。

  • Internet v6:适用互联网网络的 IPv6 防火墙规则。

  • LAN v6:适用局域网网络的 IPv6 防火墙规则。

  • Guest v6:适用访客网络的 IPv6 防火墙规则。


规则方向性

除了网络类型之外,防火墙规则还适用于方向。使用的方向如下:

  • Local:适用于以网关本身为目的地的流量。

  • In:适用于进入接口、目的地为其他网络的流量。

  • Out:适用于离开接口、目的地为该网络的流量。


UBNT

例如,在 LAN In 下配置的防火墙规则将适用于从 LAN 网络发往其他网络的流量。在 LAN Local 下配置的防火墙规则将适用于从 LAN 网络发往网关本身的流量。


规则状态

除了方向或网络类型之外,防火墙规则还可以匹配状态:

  • 新建:传入数据包来自新连接。

  • 已建立:传入数据包与已存在的连接相关联。

  • 相关:传入的数据包是新的,但与一个已经存在的连接相关联。

  • 无效:传入的数据包与任何其他状态都不匹配。


IPsec 规则:

防火墙规则还可以与使用 IPsec 加密的流量相匹配。可以过滤通过 IPsec Site-to-Site VPN 传输的流量。

  • 不匹配 - 匹配所有流量而不是特定的 IPsec 或非 IPsec 流量。

  • IPsec - 匹配通过 IPsec 加密的流量,例如通过 Site-to-Site  VPN 传输的流量。

  • 非 IPsec – 专门匹配未加密的流量。


UBNT


防火墙规则的用例:

  • 特定端口或协议的流量控制

    根据特定端口或协议设置流量规则,适用于需要精细控制的网络环境。

  • 复杂的网络安全策略

    实现复杂的网络安全策略,如基于状态的防火墙规则和 IPsec 流量过滤。


如何选择使用哪个规则

流量规则主要用于管理和优化网络流量,确保关键应用和设备获得优先带宽。防火墙规则用于保护网络安全,防止未经授权的访问和潜在威胁。


对于大多数用户,建议创建简单流量规则。流量规则适用于常见的网络管理需求,通过直观的界面,简化常见用例,是简单页面的防火墙规则。而高级防火墙规则适用于需要更精细控制的场景,通常涉及特定的端口或协议。


针对同一需求,建立多条防火墙规则可以代替流量规则。但流量规则无法匹配协议、状态等特定流量,无法代替防火墙规则。可以根据具体需求选择合适的规则类型,有效管理和保护网络。


UniFi 重新构想 IT 管理,通过功能强大的软件平台,优化管理操作体验,只需在页面上点击几下,即可创建防火墙规则,保护敏感数据和系统安全,限制访客网络的带宽,确保企业网络的流畅运行。


优尼飞 UBNT

项目接洽
售前销售
UBNT商城
会员登录