所有 Edge 都从关联的配置文件中继承防火墙规则和 Edge 访问配置。在 Edge 配置 (Edge Configuration) 对话框的防火墙 (Firewall) 选项卡下面,您可以在配置文件中的规则 (Rule From Profile) 区域中查看所有继承的防火墙规则。(可选)在 Edge 级别,您还可以覆盖配置文件防火墙规则和 Edge 访问配置。
作为企业管理员,您可以按照此页面上的说明,为每个 Edge 单独配置端口转发和 1:1 NAT 防火墙规则。
默认情况下,除非配置了端口转发和 1:1 NAT 防火墙规则,否则,将阻止所有入站流量。外部 IP 将始终为 WAN IP 或 WAN IP 子网中的 IP 地址。
端口转发和 1:1 NAT 防火墙规则
通过使用端口转发和 1:1 NAT 防火墙规则,Internet 客户端可以访问连接到 Edge LAN 接口的服务器。可以通过端口转发规则或 1:1 NAT(网络地址转换)规则进行访问。
端口转发规则
通过使用端口转发规则,您可以配置一些规则,以将流量从特定 WAN 端口重定向到本地子网中的设备(LAN IP/LAN 端口)。(可选)您也可以按 IP 或子网限制入站流量。可以使用位于 WAN IP 的相同子网上的外部 IP 配置端口转发规则。如果 ISP 将子网的流量路由到 SD-WAN Edge,该映射还可以转换与 WAN 接口地址不同的子网中的外部 IP 地址。
下图说明了端口转发配置。
- 在名称 (Name) 文本框中,输入规则的名称(可选)。
- 从协议 (Protocol) 下拉菜单中,选择 TCP 或 UDP 以作为端口转发协议。
- 从接口 (Interface) 下拉菜单中,选择入站流量的接口。
- 在外部 IP (Outside IP) 文本框中,输入可用于从外部网络中访问主机(应用程序)的 IPv4 或 IPv6 地址。
- 在“WAN 端口”(WAN Ports) 文本框中,输入一个 WAN 端口或以短划线 (-) 分隔的端口范围,例如 20-25。
- 在 LAN IP 和 LAN 端口 (LAN Port) 文本框中,输入要将请求转发到的 LAN 的 IPv4 或 IPv6 地址和端口号。
- 从分段 (Segment) 下拉菜单中,选择 LAN IP 所属的分段。
- 在远程 IP/子网 (Remote IP/subnet) 文本框中,指定要转发到内部服务器的入站流量的 IP 地址。如果未指定任何 IP 地址,则允许任何流量。
1:1 NAT 设置
这些设置用于将 SD-WAN Edge 支持的外部 IP 地址映射到 Edge LAN 接口连接的服务器(例如,Web 服务器或邮件服务器)。如果 ISP 将子网的流量路由到 SD-WAN Edge,该映射还可以转换与 WAN 接口地址不同的子网中的外部 IP 地址。每个映射是特定 WAN 接口的防火墙外部的一个 IP 地址和防火墙内部的一个 LAN IP 地址之间的映射。在每个映射中,您可以指定要将哪些端口转发到内部 IP 地址。可以使用右侧的“+”图标添加额外的 1:1 NAT 设置。
下图说明了 1:1 NAT 配置。
- 在名称 (Name) 文本框中,输入规则的名称。
- 在外部 IP (Outside IP) 文本框中,输入可用于从外部网络中访问主机的 IPv4 或 IPv6 地址。
- 从接口 (Interface) 下拉菜单中,选择将外部 IP 地址绑定到的 WAN 接口。
- 在内部 (LAN) IP (Inside (LAN) IP) 文本框中,输入主机的实际 IPv4 或 IPv6 (LAN) 地址。
- 从分段 (Segment) 下拉菜单中,选择 LAN IP 所属的分段。
- 如果要允许将从 LAN 客户端到 Internet 的流量转换 (NAT) 到外部 IP 地址,请选中出站流量 (Outbound Traffic) 复选框。
- 在相应的字段中,为映射输入允许的流量源(协议、端口、远程 IP/子网)详细信息。
配置 Edge 覆盖
(可选)在 Edge 级别,您可以覆盖继承的配置文件防火墙规则。要在 Edge 级别覆盖防火墙规则,请单击防火墙规则 (Firewall Rules) 下面的新建规则 (New Rule),然后按照配置防火墙规则中的步骤进行操作。将在 Edge 覆盖 (Edge Overrides) 区域中显示覆盖规则。Edge 覆盖规则优先于 Edge 继承的配置文件规则。与任何配置文件防火墙规则相同的任何防火墙覆盖匹配值将覆盖该配置文件规则。
覆盖有状态防火墙设置
(可选)在 Edge 级别,您可以选中有状态防火墙设置 (Stateful Firewall Settings) 区域中的启用 Edge 覆盖 (Enable Edge Override) 复选框,以覆盖有状态防火墙设置。有关有状态防火墙设置的更多信息,请参阅配置有状态防火墙设置。
覆盖网络和泛洪保护设置
(可选)在 Edge 级别,您可以选中网络和泛洪保护设置 (Network and Flood Protection Settings) 区域中的启用 Edge 覆盖 (Enable Edge Override) 复选框,以覆盖网络和泛洪保护设置。有关网络和泛洪保护设置的更多信息,请参阅配置网络和泛洪保护设置。
覆盖 Edge 访问配置设置
(可选)在 Edge 级别,您还可以选中 Edge 访问 (Edge Access) 区域中的启用 Edge 覆盖 (Enable Edge Override) 复选框,以覆盖 Edge 访问配置。有关 Edge 访问配置的更多信息,请参阅配置 Edge 访问。
相关链接