當然,防火牆最重要的功能當然就是「Firewall」的封包過濾功能! ZyWALL不止支援「3向對3向網路封包」甚至還支援「6向對6向網路封包」過濾功能!總共多達「6 x 6 = 36」個封包流向的過濾功能!
除了從「Default Rule」的總表以外,也可以從「Rule Summary」來選擇想要設定的「6向對6向網路封包」流向。
點選「6向對6向網路封包」過濾條件的方式就像這樣:
比方說我點選「LAN to WAN」的封包流向,也就是「內部網路」到「網際網路」的上網流向。
按一下所有欄位最前面的「#」就可以展開所有的封包過濾條件。
為了提高網路安全性,除了「LAN to WAN」的上網封包要加以檢查以外,就算是「LAN to DMZ」從「內部網路」到「網站伺服器主機」的網路封包也要加以管制!
以免駭客利用「釣魚郵件」入侵「LAN」的內部網路,然後再竊取insoler網站上的資料!
反過來,為了避免駭客直接入侵「LAN內部網路」的電腦主機,所以「WAN to LAN」的封包也必須加以監視管制!
至於「WAN to WAN」的「網際網路到網際網路」封包要不要加以過濾檢查,就看情況而定。
因為目前已經沒有使用「雙WAN」的兩條光纖網路線,所以「WAN1 to WAN2」以及「WAN2 to WAN1」的封包過濾功能就沒有使用了。
防火牆最重要的任務其實就是要嚴格管制「WAN to DMZ」的所有封包!也因此比起其他的封包流向,「網際網路到伺服器主機」的封包過濾條件最為嚴密!
「WAN to DMZ」的所有封包過濾條件全部展開來的話,可以看到過濾與封鎖的IP相當的多!
「WAN to DMZ」的過濾條件相當的多,為了避免駭客亂寄垃圾信,允許寄信到insoler的IP也同樣被管制!
雖然只有我允許的IP主機才能寄信到insoler網站,但還是有駭客能想辦法亂寄垃圾信!
為了避免駭客找到漏洞入侵「DMZ」區域的伺服器主機,再利用網站伺服器主機入侵「LAN」的內部主機,所以「DMZ to LAN」的封包也必須嚴密管制!
為了避免駭客找到漏洞入侵「DMZ」區域的伺服器主機,再把網站伺服器主機上的重要資料打包壓縮,全部上傳給駭客自己!所以「DMZ to WAN」的封包也必須嚴密管制!也就是禁止DMZ區域的網站伺服器主機隨意上網!
由於DMZ區域的網站伺服器主機,全部都是無人使用,全天候24小時、全年無休的電腦主機(其實目前也只有2台Mac mini Server而已)因此禁止隨意上網,對我們來說也不會造成任何困擾!
由於目前只有一條WAN光纖網路,所以「DMZ to WAN2」目前並不使用。
「DMZ to DMZ」的管制並不使用。
因為不使用VPN虛擬私人網路功能,所以「VPN to LAN」也不使用。
因為不使用VPN虛擬私人網路功能,所以「VPN to WAN」的遠端上網功能也不使用。
因為不使用VPN虛擬私人網路功能,所以「WAN to VPN」也不使用。
在「Rule Summary」點選「Any to Any」就可以看到「6向對6向網路封包」所有的過濾條件總表。
以上的「Rule Summary」的「6向對6向網路封包」過濾條件,絕對100%真實!完全沒有任何的修正、塗改。