Post view

ZyWALL 70 UTM防火牆的防火牆各項設定-2

當然,防火牆最重要的功能當然就是「Firewall」的封包過濾功能! ZyWALL不止支援「3向對3向網路封包」甚至還支援「6向對6向網路封包」過濾功能!總共多達「6 x 6 = 36」個封包流向的過濾功能!

zywall70firewall028.jpg

除了從「Default Rule」的總表以外,也可以從「Rule Summary」來選擇想要設定的「6向對6向網路封包」流向。

zywall70firewall029.jpg

點選「6向對6向網路封包」過濾條件的方式就像這樣:

zywall70firewall030.jpg

比方說我點選「LAN to WAN」的封包流向,也就是「內部網路」到「網際網路」的上網流向。

zywall70firewall031.jpg

按一下所有欄位最前面的「#」就可以展開所有的封包過濾條件。

zywall70firewall032.jpg

為了提高網路安全性,除了「LAN to WAN」的上網封包要加以檢查以外,就算是「LAN to DMZ」從「內部網路」到「網站伺服器主機」的網路封包也要加以管制!

以免駭客利用「釣魚郵件」入侵「LAN」的內部網路,然後再竊取insoler網站上的資料!

zywall70firewall033.jpg

反過來,為了避免駭客直接入侵「LAN內部網路」的電腦主機,所以「WAN to LAN」的封包也必須加以監視管制!

zywall70firewall034.jpg

至於「WAN to WAN」的「網際網路到網際網路」封包要不要加以過濾檢查,就看情況而定。

zywall70firewall035.jpg

因為目前已經沒有使用「雙WAN」的兩條光纖網路線,所以「WAN1 to WAN2」以及「WAN2 to WAN1」的封包過濾功能就沒有使用了。

zywall70firewall036.jpg

防火牆最重要的任務其實就是要嚴格管制「WAN to DMZ」的所有封包!也因此比起其他的封包流向,「網際網路到伺服器主機」的封包過濾條件最為嚴密!

zywall70firewall037.jpg

「WAN to DMZ」的所有封包過濾條件全部展開來的話,可以看到過濾與封鎖的IP相當的多!

zywall70firewall038.jpg

「WAN to DMZ」的過濾條件相當的多,為了避免駭客亂寄垃圾信,允許寄信到insoler的IP也同樣被管制!

zywall70firewall039.jpg

雖然只有我允許的IP主機才能寄信到insoler網站,但還是有駭客能想辦法亂寄垃圾信!

zywall70firewall040.jpg

為了避免駭客找到漏洞入侵「DMZ」區域的伺服器主機,再利用網站伺服器主機入侵「LAN」的內部主機,所以「DMZ to LAN」的封包也必須嚴密管制!

zywall70firewall041.jpg

為了避免駭客找到漏洞入侵「DMZ」區域的伺服器主機,再把網站伺服器主機上的重要資料打包壓縮,全部上傳給駭客自己!所以「DMZ to WAN」的封包也必須嚴密管制!也就是禁止DMZ區域的網站伺服器主機隨意上網!

zywall70firewall042.jpg

由於DMZ區域的網站伺服器主機,全部都是無人使用,全天候24小時、全年無休的電腦主機(其實目前也只有2台Mac mini Server而已)因此禁止隨意上網,對我們來說也不會造成任何困擾!

zywall70firewall043.jpg

由於目前只有一條WAN光纖網路,所以「DMZ to WAN2」目前並不使用。

zywall70firewall044.jpg

「DMZ to DMZ」的管制並不使用。

zywall70firewall045.jpg

因為不使用VPN虛擬私人網路功能,所以「VPN to LAN」也不使用。

zywall70firewall046.jpg

因為不使用VPN虛擬私人網路功能,所以「VPN to WAN」的遠端上網功能也不使用。

zywall70firewall047.jpg

因為不使用VPN虛擬私人網路功能,所以「WAN to VPN」也不使用。

zywall70firewall048.jpg

在「Rule Summary」點選「Any to Any」就可以看到「6向對6向網路封包」所有的過濾條件總表。

zywall70firewall049.jpg

zywall70firewall050.jpg

zywall70firewall051.jpg

zywall70firewall052.jpg

zywall70firewall053.jpg

zywall70firewall054.jpg

zywall70firewall055.jpg

zywall70firewall056.jpg

以上的「Rule Summary」的「6向對6向網路封包」過濾條件,絕對100%真實!完全沒有任何的修正、塗改。

蘇言霖 02/07/2014 0 937
Comments
Order by: 
Per page:
 
  • There are no comments yet
Rate
0 votes
Post info
蘇言霖
「超級懶貓級」社群網站站長
02/07/2014 (1749 days ago)
Actions