所有 Edge 都會從相關聯的設定檔繼承防火牆規則和 Edge 存取組態。在 Edge 組態 (Edge Configuration) 對話方塊的防火牆 (Firewall) 索引標籤下,您可以在設定檔中的規則 (Rule From Profile) 區域中檢視所有繼承的防火牆規則。或者,在 Edge 層級上,您也可以覆寫設定檔防火牆規則和 Edge 存取組態。



身為企業管理員,您可以依照此頁面上的指示,為每個 Edge 個別設定連接埠轉送和 1:1 NAT 防火牆規則。

依預設,除非已設定連接埠轉送和 1:1 NAT 防火牆規則,否則將封鎖所有輸入流量。外部 IP 一律為來自 WAN IP 子網路的 WAN IP 或 IP 位址。

連接埠轉送和 1:1 NAT 防火牆規則

備註: 您只能在 Edge 層級個別設定連接埠轉送和 1:1 NAT 規則。

連接埠轉送和 1:1 NAT 防火牆規則可讓網際網路用戶端存取連線至 Edge LAN 介面的伺服器。存取權可透過連接埠轉送規則或 1:1 NAT (網路位址轉譯) 規則來提供。

連接埠轉送規則

連接埠轉送規則可讓您設定規則,將流量從特定 WAN 連接埠重新導向至本機子網路內的裝置 (LAN IP/LAN 連接埠)。或者,您也可以依據 IP 或子網路來限制輸入流量。可以使用位於 WAN IP 相同子網路上的外部 IP,來設定連接埠轉送規則。如果 ISP 將子網路的流量路由至 SD-WAN Edge,此對應也可轉譯與 WAN 介面位址位於不同子網路中的外部 IP 位址。

下圖顯示連接埠轉送組態。

連接埠轉送規則 (Port Forwarding Rules) 區段中,您可以輸入以下詳細資料以設定具有 IPv4 位址的連接埠轉送規則。
備註: 若要設定具有 IPv6 位址的連接埠轉送規則,您必須使用新的 Orchestrator UI。如需詳細資訊,請參閱 使用新的 Orchestrator UI 來設定設定檔防火牆
  1. 名稱 (Name) 文字方塊中,輸入規則的名稱 (選用)。
  2. 通訊協定 (Protocol) 下拉式功能表中,選取 TCP 或 UDP 作為連接埠轉送的通訊協定。
  3. 介面 (Interface) 下拉式功能表中,選取輸入流量的介面。
  4. 外部 IP (Outside IP) 文字方塊中,輸入可用以從外部網路存取主機 (應用程式) 的 IPv4 或 IPv6 位址。
  5. 在 [WAN 連接埠 (WAN Ports)] 文字方塊中,輸入 WAN 連接埠,或以破折號 (-) 分隔的連接埠範圍,例如 20-25。
  6. LAN IPLAN 連接埠 (LAN Port) 文字方塊中,輸入將轉送要求之 LAN 的 IPv4 或 IPv6 位址和連接埠號碼。
  7. 區段 (Segment) 下拉式功能表中,選取 LAN IP 所屬的區段。
  8. 遠端 IP/子網路 (Remote IP/subnet) 文字方塊中,指定要轉送至內部伺服器之輸入流量的 IP 位址。若未指定任何 IP 位址,則會允許任何流量。

1:1 NAT 設定

這些設定可用來將 SD-WAN Edge 所支援外部 IP 位址對應至連線至 Edge LAN 介面的伺服器 (例如 Web 伺服器或郵件伺服器)。如果 ISP 將子網路的流量路由至 SD-WAN Edge,此對應也可轉譯與 WAN 介面位址位於不同子網路中的外部 IP 位址。每個對應的兩端分別是特定 WAN 介面的防火牆外的一個 IP 位址,和防火牆內的一個 LAN IP 位址。在每個對應內,您可以指定將轉送至內部 IP 位址的連接埠。您可以使用右側的「+」圖示來新增其他 1:1 NAT 設定。

下圖顯示 1:1 NAT 組態。

1:1 NAT 規則 (1:1 NAT Rules) 區段中,您可以輸入以下詳細資料以設定具有 IPv4 位址的 1:1 NAT 規則。
備註: 若要設定具有 IPv6 位址的 1:1 NAT 規則,您必須使用新的 Orchestrator UI。如需詳細資訊,請參閱 使用新的 Orchestrator UI 來設定設定檔防火牆
  1. 名稱 (Name) 文字方塊中,輸入規則的名稱。
  2. 外部 IP (Outside IP) 文字方塊中,輸入可以從外部網路存取主機的 IPv4 或 IPv6 位址。
  3. 介面 (Interface) 下拉式功能表中,選取將繫結外部 IP 位址的 WAN 介面。
  4. 內部 (LAN) IP (Inside (LAN) IP) 文字方塊中,輸入主機的實際 IPv4 或 IPv6 (LAN) 位址。
  5. 區段 (Segment) 下拉式功能表中,選取 LAN IP 所屬的區段。
  6. 如果想要允許從 LAN 用戶端執行 NAT 到外部 IP 位址的網際網路流量,請選取輸出流量 (Outbound Traffic) 核取方塊。
  7. 在各自的欄位中,輸入對應的 [允許的流量來源 (Allowed Traffic Source)] (通訊協定、連接埠、遠端 IP/子網路) 詳細資料。

設定 Edge 覆寫

在 ESdge 層級上,您可以選擇覆寫繼承的設定檔防火牆規則。若要覆寫 Edge 層級上的防火牆規則,請按一下防火牆規則 (Firewall Rules) 下的新增規則 (New Rule),然後依照設定防火牆規則中的步驟操作。覆寫規則會出現在 Edge 覆寫 (Edge Overrides) 區域中。Edge 覆寫規則的優先權會高於 Edge 繼承的設定檔規則。與任何設定檔防火牆規則相同的任何防火牆覆寫相符值,都將覆寫該設定檔規則。

覆寫可設定狀態的防火牆設定

(選用) 您可以在 Edge 層級上,選取可設定狀態的防火牆設定 (Stateful Firewall Settings) 區域中的啟用 Edge 覆寫 (Enable Edge Override) 核取方塊,藉以覆寫可設定狀態的防火牆設定。如需有關可設定狀態的防火牆設定的詳細資訊,請參閱設定可設定狀態的防火牆設定

覆寫網路和洪泛保護設定

(選用) 您可以在 Edge 層級上,選取網路和洪泛保護設定 (Network and Flood Protection Settings) 區域中的啟用 Edge 覆寫 (Enable Edge Override) 核取方塊,藉以覆寫網路和洪泛保護設定。如需有關網路和洪泛保護設定的詳細資訊,請參閱設定網路和洪泛保護設定

覆寫 Edge 存取組態設定

(選用) 您也可以在 Edge 層級上,選取 Edge 存取 (Edge Access) 區域中的啟用 Edge 覆寫 (Enable Edge Override) 核取方塊,藉以覆寫 Edge 存取組態。如需有關 Edge 存取組態的詳細資訊,請參閱設定 Edge 存取

相關連結