默认情况下,所有 Edge 都将从关联的配置文件中继承防火墙规则、安全功能设置、有状态防火墙设置、网络和泛洪保护设置、防火墙日志记录、Syslog 转发和 Edge 访问配置。

Edge 配置 (Edge Configuration) 对话框的 防火墙 (Firewall) 选项卡下面,您可以在 配置文件中的规则 (Rule From Profile) 区域中查看所有继承的防火墙规则。(可选)在 Edge 级别,您还可以覆盖继承的防火墙规则和各种防火墙设置。
  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > Edge (Edges)
  2. 选择一个要覆盖继承的防火墙设置的 Edge,然后单击防火墙 (Firewall) 选项卡。
  3. 如果要修改选定 Edge 继承的防火墙规则和设置,请选中各种防火墙设置对应的覆盖 (Override) 复选框。
    注: Edge 覆盖规则优先于 Edge 继承的配置文件规则。与任何配置文件防火墙规则相同的任何防火墙覆盖匹配值将覆盖该配置文件规则。
  4. 在 Edge 级别,您可以导航到其他设置 (Additional Settings) > 入站 ACL (Inbound ACLs) 以分别配置端口转发和 1:1 NAT IPv4 或 IPv6 规则。有关详细信息,请参阅端口转发规则1:1 NAT 设置
    注: 默认情况下,除非配置了端口转发和 1:1 NAT 防火墙规则,否则,将阻止所有入站流量。外部 IP 将始终为 WAN IP 或 WAN IP 子网中的 IP 地址。
    注: 在配置 IPv6 端口转发和 1:1 NAT 规则时,您只能输入全局或单播 IP 地址,而不能输入链路本地地址。

端口转发和 1:1 NAT 防火墙规则

注: 您只能在 Edge 级别单独配置端口转发和 1:1 NAT 规则。

通过使用端口转发和 1:1 NAT 防火墙规则,Internet 客户端可以访问连接到 Edge LAN 接口的服务器。可以通过端口转发规则或 1:1 NAT(网络地址转换)规则进行访问。

端口转发规则

通过使用端口转发规则,您可以配置一些规则,以将流量从特定 WAN 端口重定向到本地子网中的设备(LAN IP/LAN 端口)。(可选)您也可以按 IP 或子网限制入站流量。可以使用位于 WAN IP 的相同子网上的外部 IP 配置端口转发规则。如果 ISP 将子网的流量路由到 SD-WAN Edge,该映射还可以转换与 WAN 接口地址不同的子网中的外部 IP 地址。

下图说明了端口转发配置。

端口转发规则 (Port Forwarding Rules) 部分中,您可以单击 +添加 (+Add) 按钮,然后输入以下详细信息,以配置具有 IPv4 或 IPv6 地址的端口转发规则。

  1. 名称 (Name) 文本框中,输入规则的名称(可选)。
  2. 协议 (Protocol) 下拉菜单中,选择 TCP 或 UDP 以作为端口转发协议。
  3. 接口 (Interface) 下拉菜单中,选择入站流量的接口。
  4. 外部 IP (Outside IP) 文本框中,输入可用于从外部网络中访问主机(应用程序)的 IPv4 或 IPv6 地址。
  5. 在“WAN 端口”(WAN Ports) 文本框中,输入一个 WAN 端口或以短划线 (-) 分隔的端口范围,例如 20-25。
  6. LAN IPLAN 端口 (LAN Port) 文本框中,输入要将请求转发到的 LAN 的 IPv4 或 IPv6 地址和端口号。
  7. 分段 (Segment) 下拉菜单中,选择 LAN IP 所属的分段。
  8. 远程 IP/子网 (Remote IP/subnet) 文本框中,指定要转发到内部服务器的入站流量的 IP 地址。如果未指定任何 IP 地址,则允许任何流量。
  9. 选中日志 (Log) 复选框以为此规则激活日志记录。
  10. 单击保存更改 (Save Changes)

1:1 NAT 设置

这些设置用于将 SD-WAN Edge 支持的外部 IP 地址映射到 Edge LAN 接口连接的服务器(例如,Web 服务器或邮件服务器)。如果 ISP 将子网的流量路由到 SD-WAN Edge,该映射还可以转换与 WAN 接口地址不同的子网中的外部 IP 地址。每个映射是特定 WAN 接口的防火墙外部的一个 IP 地址和防火墙内部的一个 LAN IP 地址之间的映射。在每个映射中,您可以指定要将哪些端口转发到内部 IP 地址。可以使用右侧的“+”图标添加额外的 1:1 NAT 设置。

下图说明了 1:1 NAT 配置。

1:1 NAT 规则 (1:1 NAT Rules) 部分中,您可以单击 +添加 (+Add) 按钮,然后输入以下详细信息,以配置具有 IPv4 地址或 IPv6 地址的 1:1 NAT 规则。

  1. 名称 (Name) 文本框中,输入规则的名称。
  2. 外部 IP (Outside IP) 文本框中,输入可用于从外部网络中访问主机的 IPv4 或 IPv6 地址。
  3. 接口 (Interface) 下拉菜单中,选择将外部 IP 地址绑定到的 WAN 接口。
  4. 内部 (LAN) IP (Inside (LAN) IP) 文本框中,输入主机的实际 IPv4 或 IPv6 (LAN) 地址。
  5. 分段 (Segment) 下拉菜单中,选择 LAN IP 所属的分段。
  6. 如果要允许将从 LAN 客户端到 Internet 的流量转换 (NAT) 到外部 IP 地址,请选中出站流量 (Outbound Traffic) 复选框。
  7. 在相应的字段中,为映射输入允许的流量源(协议、端口、远程 IP/子网)详细信息。
  8. 选中日志 (Log) 复选框以为此规则激活日志记录。
  9. 单击保存更改 (Save Changes)