依預設,所有 Edge 會從相關聯的設定檔中繼承防火牆規則、增強型防火牆服務 (EFS) 設定、可設定狀態的防火牆設定、網路和洪泛保護設定、防火牆記錄、Syslog 轉送,以及 Edge 存取組態。
- 在企業入口網站的 SD-WAN 服務中,移至 。
- 選取一個要覆寫繼承的防火牆設定的 Edge,然後按一下防火牆 (Firewall) 核取方塊。
- 如果您要修改所選 Edge 繼承的防火牆規則和設定,請選取各種防火牆設定對應的覆寫 (Override) 核取方塊。
備註: Edge 覆寫規則的優先權會高於 Edge 繼承的設定檔規則。與任何設定檔防火牆規則相同的任何防火牆覆寫相符值,都將覆寫該設定檔規則。
- 在 Edge 層級,您可以導覽至其他設定 (Additional Settings) > 輸入 ACL (Inbound ACLs) 以個別設定連接埠轉送和 1:1 NAT IPv4 或 IPv6 規則。如需詳細資訊,請參閱連接埠轉送規則和1:1 NAT 設定。
備註: 依預設,除非已設定連接埠轉送和 1:1 NAT 防火牆規則,否則將封鎖所有輸入流量。外部 IP 一律為來自 WAN IP 子網路的 WAN IP 或 IP 位址。備註: 設定 IPv6 連接埠轉送和 1:1 NAT 規則時,您只能輸入全域或單點傳播 IP 位址,而無法輸入連結本機位址。
連接埠轉送和 1:1 NAT 防火牆規則
連接埠轉送和 1:1 NAT 防火牆規則可讓網際網路用戶端存取連線至 Edge LAN 介面的伺服器。存取權可透過連接埠轉送規則或 1:1 NAT (網路位址轉譯) 規則來提供。
連接埠轉送規則
連接埠轉送規則可讓您設定規則,將流量從特定 WAN 連接埠重新導向至本機子網路內的裝置 (LAN IP/LAN 連接埠)。或者,您也可以依據 IP 或子網路來限制輸入流量。可以使用位於 WAN IP 相同子網路上的外部 IP,來設定連接埠轉送規則。如果 ISP 將子網路的流量路由至 SD-WAN Edge,此對應也可轉譯與 WAN 介面位址位於不同子網路中的外部 IP 位址。
下圖顯示連接埠轉送組態。
在連接埠轉送規則 (Port Forwarding Rules) 區段中,您可以按一下 +新增 (+Add) 按鈕,然後輸入下列詳細資料,以設定具有 IPv4 或 IPv6 位址的連接埠轉送規則。
- 在名稱 (Name) 文字方塊中,輸入規則的名稱 (選用)。
- 在通訊協定 (Protocol) 下拉式功能表中,選取 TCP 或 UDP 作為連接埠轉送的通訊協定。
- 在介面 (Interface) 下拉式功能表中,選取輸入流量的介面。
- 在外部 IP (Outside IP) 文字方塊中,輸入可用以從外部網路存取主機 (應用程式) 的 IPv4 或 IPv6 位址。
- 在 [WAN 連接埠 (WAN Ports)] 文字方塊中,輸入 WAN 連接埠,或以破折號 (-) 分隔的連接埠範圍,例如 20-25。
- 在 LAN IP 和 LAN 連接埠 (LAN Port) 文字方塊中,輸入將轉送要求之 LAN 的 IPv4 或 IPv6 位址和連接埠號碼。
- 在區段 (Segment) 下拉式功能表中,選取 LAN IP 所屬的區段。
- 在遠端 IP/子網路 (Remote IP/subnet) 文字方塊中,指定要轉送至內部伺服器之輸入流量的 IP 位址。若未指定任何 IP 位址,則會允許任何流量。
- 選取記錄 (Log) 核取方塊,為此規則啟用記錄。
- 按一下儲存變更 (Save Changes)。
1:1 NAT 設定
這些設定可用來將 SD-WAN Edge 所支援外部 IP 位址對應至連線至 Edge LAN 介面的伺服器 (例如 Web 伺服器或郵件伺服器)。如果 ISP 將子網路的流量路由至 SD-WAN Edge,此對應也可轉譯與 WAN 介面位址位於不同子網路中的外部 IP 位址。每個對應的兩端分別是特定 WAN 介面的防火牆外的一個 IP 位址,和防火牆內的一個 LAN IP 位址。在每個對應內,您可以指定將轉送至內部 IP 位址的連接埠。您可以使用右側的「+」圖示來新增其他 1:1 NAT 設定。
下圖顯示 1:1 NAT 組態。
在 1:1 NAT 規則 (1:1 NAT Rules) 區段中,您可以按一下 +新增 (+Add) 按鈕,然後輸入下列詳細資料,以設定具有 IPv4 位址或 IPv6 位址的 1:1 NAT 規則。
- 在名稱 (Name) 文字方塊中,輸入規則的名稱。
- 在外部 IP (Outside IP) 文字方塊中,輸入可以從外部網路存取主機的 IPv4 或 IPv6 位址。
- 在介面 (Interface) 下拉式功能表中,選取將繫結外部 IP 位址的 WAN 介面。
- 在內部 (LAN) IP (Inside (LAN) IP) 文字方塊中,輸入主機的實際 IPv4 或 IPv6 (LAN) 位址。
- 在區段 (Segment) 下拉式功能表中,選取 LAN IP 所屬的區段。
- 如果您想要允許從 LAN 用戶端執行 NAT 到外部 IP 位址的網際網路流量,請選取輸出流量 (Outbound Traffic) 核取方塊。
- 在各自的欄位中,輸入對應的 [允許的流量來源 (Allowed Traffic Source)] (通訊協定、連接埠、遠端 IP/子網路) 詳細資料。
- 選取記錄 (Log) 核取方塊,為此規則啟用記錄。
- 按一下儲存變更 (Save Changes)。