UniFi 网关包含强大的防火墙功能,可最大限度地提高网络架构的安全性。

对于大多数用户,我们建议创建 简单流量规则。通过直观的界面,可简化常见用例(例如隔离 VLAN 、应用程序和域名过滤,甚至带宽限制)的规则创建。要了解更多信息,请参阅我们关于流量规则的文章。

要了解如何实施网络/VLAN 和客户端隔离,请点击此处

预配置规则

UniFi 预先配置了某些规则,以优化本地网络流量,同时阻止某些潜在危险的互联网流量。此外,UniFi 还会为您添加的每个虚拟网络配置类似的规则。

规则索引

防火墙规则按规则索引的顺序执行。较低的数字(列表顶部)表示该规则在其他规则之前处理。创建新规则时,可以选择在预定义规则之前或之后应用。注意此索引很重要,因为不正确的顺序可能导致规则“不起作用”。

规则类型

规则根据其适用的网络类型进行分组。使用的网络类型如下:

  • Internet:包含适用于 Internet 互联网网络的 IPv4 防火墙规则。
  • LAN:包含适用于 LAN 局域网网络的 IPv4 防火墙规则。
  • Guest:包含适用于 Guest 访客网络的 IPv4 防火墙规则。
  • Internet v6:包含适用于 Internet 互联网网络的 IPv6 防火墙规则。
  • LAN v6:包含适用于 LAN 局域网网络的 IPv6 防火墙规则。
  • Guest v6:包含适用于访客网络的 IPv6 防火墙规则。

规则方向性

除了网络类型之外,防火墙规则还适用于方向。使用的方向如下:

  • Local:适用于以 UDM/USG 网关本身为目的地的流量。
  • In:适用于进入接口(入口)、目的地为其他网络的流量。
  • Out:适用于离开接口(出口)、目的地为该网络的流量。

例如,在 LAN In 下配置的防火墙规则将适用于从 LAN(企业)网络发往其他网络的流量。在 LAN Local 下配置的防火墙规则将适用于从 LAN(企业)网络发往 UDM/USG 本身的流量。

规则状态

除了方向或网络类型之外,防火墙规则还可以匹配状态:

  • New 新建:传入数据包来自 连接。
  • Established 已建立:传入数据包与已 存在的 连接相关联。
  • Related 相关:传入的数据包是 新的,但与一个已经 存在的 连接相关联。
  • Invalid 无效:传入的数据包与任何其他状态都不匹配。

例如,预定义的 Internet LocalInternet In 防火墙规则可确保来自 Internet 的外部连接无法访问 UDM/USG 及其后面的 LAN 网络。但是,UDM/USG 和 LAN 网络设备可以主动访问 Internet 的目的网络,并且允许返回流量。预定义的 Internet Local 和Internet In 防火墙规则包括:

Rule Index: 3001
Enabled: Yes
Description: allow established/related sessions (see states above)
Action: Accept
Protocol: All
Type: Internet In and Internet Local

Rule Index: 3002
Enabled: Yes
Description: drop invalid state (see states above)
Action: Drop
Protocol: All
Type: Internet In and Internet Local

IPsec 规则

防火墙规则还可以与使用 IPsec 加密的流量相匹配。这在过滤通过 IPsec Site-to-Site VPN 传输的流量时非常有用。

  • 不匹配 - 匹配所有流量而不是特定的 IPsec 或非 IPsec 流量(默认)。
  • IPsec - 匹配通过 IPsec 加密的流量,例如通过 Site-to-Site VPN 传输的流量。
  • 非 IPsec - 专门匹配未加密的流量。

使用 IPsec 匹配防火墙规则的一个案例是配置基于策略的 IPsec Site-to-Site VPN。UniFi 网关将匹配从远程网络发往本地网络的加密流量。