售前 合作 技术
销售 申请 支持
销售 申请 支持
不同网络之间的流量通过网关设备进行转发,网关设备在处理流量时,需要具有一定的安全防护能力,称之为防火墙能力。防火墙会检查所有进入或离开局域网的流量,并阻止未通过安全策略的数据包流量。
UniFi 网关和云网关主机设备集成防火墙功能,其中包括流量和防火墙规则部分,可以用于保护网络安全和优化网络性能。防止未经授权的访问,阻止恶意流量攻击,进行带宽限制,优化网络性能。设置隔离规则,保护网络资源。记录并监控网络流量,识别异常流量和潜在威胁,保护用户数据隐私。
流量规则能够进行安全过滤以阻止、允许或限速特定流量。适用于大多数常见的网络管理需求,提供直观的界面,便于快速创建和管理规则。
可以配置为:
阻止、允许或限速流量。
匹配整个 LAN 网络或特定客户端设备。
匹配特定的流量类别,例如应用程序或域名。
始终保持运行或按时间表计划运行。
可以匹配类别:
应用程序
应用组
域名
IP 地址 + 端口
IP 地址范围
地区
互联网
本地网络
流量规则的用例:
速度限制:
为特定客户端设置下载和上传速度限制。
域名过滤:
阻止客户端访问特定域名。
网络隔离:
防止不同 LAN 网络上的客户端相互通信。
家长控制:
在特定时间阻止特定应用程序/网站。
防火墙规则适用于需要更精细控制的场景,通常涉及特定的端口或协议。可以匹配规则类型、规则方向、规则状态等特定流量。
网关设备已预先配置一些防火墙规则,以优化本地网络流量,同时阻止某些潜在危险的互联网流量。此外,设备还会为添加的每个虚拟网络配置类似的规则。
防火墙规则按规则索引 ID 的顺序执行。较小的数字表示该规则在其他规则之前处理。创建新规则时,可以选择在预定义规则之前或之后应用。注意此索引 ID 很重要,因为不正确的顺序可能导致规则不起作用。
规则类型:
规则根据其适用的网络类型进行分组。使用的网络类型如下:
Internet:适用互联网网络的 IPv4 防火墙规则。
LAN:适用局域网网络的 IPv4 防火墙规则。
Guest:适用访客网络的 IPv4 防火墙规则。
Internet v6:适用互联网网络的 IPv6 防火墙规则。
LAN v6:适用局域网网络的 IPv6 防火墙规则。
Guest v6:适用访客网络的 IPv6 防火墙规则。
规则方向性:
除了网络类型之外,防火墙规则还适用于方向。使用的方向如下:
Local:适用于以网关本身为目的地的流量。
In:适用于进入接口、目的地为其他网络的流量。
Out:适用于离开接口、目的地为该网络的流量。
例如,在 LAN In 下配置的防火墙规则将适用于从 LAN 网络发往其他网络的流量。在 LAN Local 下配置的防火墙规则将适用于从 LAN 网络发往网关本身的流量。
规则状态:
除了方向或网络类型之外,防火墙规则还可以匹配状态:
新建:传入数据包来自新连接。
已建立:传入数据包与已存在的连接相关联。
相关:传入的数据包是新的,但与一个已经存在的连接相关联。
无效:传入的数据包与任何其他状态都不匹配。
IPsec 规则:
防火墙规则还可以与使用 IPsec 加密的流量相匹配。可以过滤通过 IPsec Site-to-Site VPN 传输的流量。
不匹配 - 匹配所有流量而不是特定的 IPsec 或非 IPsec 流量。
IPsec - 匹配通过 IPsec 加密的流量,例如通过 Site-to-Site VPN 传输的流量。
非 IPsec – 专门匹配未加密的流量。
防火墙规则的用例:
特定端口或协议的流量控制:
根据特定端口或协议设置流量规则,适用于需要精细控制的网络环境。
复杂的网络安全策略:
实现复杂的网络安全策略,如基于状态的防火墙规则和 IPsec 流量过滤。
流量规则主要用于管理和优化网络流量,确保关键应用和设备获得优先带宽。防火墙规则用于保护网络安全,防止未经授权的访问和潜在威胁。
对于大多数用户,建议创建简单流量规则。流量规则适用于常见的网络管理需求,通过直观的界面,简化常见用例,是简单页面的防火墙规则。而高级防火墙规则适用于需要更精细控制的场景,通常涉及特定的端口或协议。
针对同一需求,建立多条防火墙规则可以代替流量规则。但流量规则无法匹配协议、状态等特定流量,无法代替防火墙规则。可以根据具体需求选择合适的规则类型,有效管理和保护网络。
UniFi 重新构想 IT 管理,通过功能强大的软件平台,优化管理操作体验,只需在页面上点击几下,即可创建防火墙规则,保护敏感数据和系统安全,限制访客网络的带宽,确保企业网络的流畅运行。
优尼飞 UBNT
