U专家 - 深入了解 UniFi 防火墙规则

U专家 - 深入了解 UniFi 防火墙规则

UniFi网关和云网关主机设备集成防火墙功能，其中包括流量和防火墙规则部分，可以用于保护网络安全和优化网络性能。防止未经授权的访问，阻止恶意流量攻击，进行带宽限制，优化网络性能。设置隔离规则，保护网络资源。记录并监控网络流量，识别异常流量和潜在威胁，保护用户数据隐私。

流量规则

流量规则能够进行安全过滤以阻止、允许或限速特定流量。适用于大多数常见的网络管理需求，提供直观的界面，便于快速创建和管理规则。

可以配置为：

• 阻止、允许或限速流量。
• 匹配整个 LAN 网络或特定客户端设备。
• 匹配特定的流量类别，例如应用程序或域名。
• 始终保持运行或按时间表计划运行。

可以匹配类别：

• 应用程序
• 应用组
• 域名
• IP 地址 + 端口
• IP 地址范围
• 地区
• 互联网
• 本地网络

流量规则的用例：

• 速度限制：为特定客户端设置下载和上传速度限制。
• 域名过滤：阻止客户端访问特定域名。
• 网络隔离：防止不同 LAN 网络上的客户端相互通信。
• 家长控制：在特定时间阻止特定应用程序/网站。

防火墙规则

防火墙规则适用于需要更精细控制的场景，通常涉及特定的端口或协议。可以匹配规则类型、规则方向、规则状态等特定流量。

网关设备已预先配置一些防火墙规则，以优化本地网络流量，同时阻止某些潜在危险的互联网流量。此外，设备还会为添加的每个虚拟网络配置类似的规则。

防火墙规则按规则索引 ID的顺序执行。较小的数字表示该规则在其他规则之前处理。创建新规则时，可以选择在预定义规则之前或之后应用。注意此索引 ID 很重要，因为不正确的顺序可能导致规则不起作用。

规则类型：
规则根据其适用的网络类型进行分组。使用的网络类型如下：

• Internet：适用互联网网络的 IPv4 防火墙规则。
• LAN：适用局域网网络的 IPv4 防火墙规则。
• Guest：适用访客网络的 IPv4 防火墙规则。
• Internet v6：适用互联网网络的 IPv6 防火墙规则。
• LAN v6：适用局域网网络的 IPv6 防火墙规则。
• Guest v6：适用访客网络的 IPv6 防火墙规则。

规则方向性：
除了网络类型之外，防火墙规则还适用于方向。使用的方向如下：

• Local：适用于以网关本身为目的地的流量。
• In：适用于进入接口、目的地为其他网络的流量。
• Out：适用于离开接口、目的地为该网络的流量。

例如，在LAN In下配置的防火墙规则将适用于从 LAN 网络发往其他网络的流量。在LAN Local下配置的防火墙规则将适用于从 LAN 网络发往网关本身的流量。

规则状态：
除了方向或网络类型之外，防火墙规则还可以匹配状态：

• 新建：传入数据包来自新连接。
• 已建立：传入数据包与已存在的连接相关联。
• 相关：传入的数据包是新的，但与一个已经存在的连接相关联。
• 无效：传入的数据包与任何其他状态都不匹配。

IPsec规则：
防火墙规则还可以与使用 IPsec 加密的流量相匹配。可以过滤通过 IPsec Site-to-Site VPN 传输的流量。

• 不匹配 -匹配所有流量而不是特定的 IPsec 或非 IPsec 流量。
• IPsec -匹配通过 IPsec 加密的流量，例如通过 Site-to-Site VPN 传输的流量。
• 非 IPsec –专门匹配未加密的流量。

防火墙规则的用例：

• 特定端口或协议的流量控制：根据特定端口或协议设置流量规则，适用于需要精细控制的网络环境。
• 复杂的网络安全策略：实现复杂的网络安全策略，如基于状态的防火墙规则和 IPsec 流量过滤。

如何选择使用哪个规则

流量规则主要用于管理和优化网络流量，确保关键应用和设备获得优先带宽。防火墙规则用于保护网络安全，防止未经授权的访问和潜在威胁。

对于大多数用户，建议创建简单流量规则。流量规则适用于常见的网络管理需求，通过直观的界面，简化常见用例，是简单页面的防火墙规则。而高级防火墙规则适用于需要更精细控制的场景，通常涉及特定的端口或协议。

针对同一需求，建立多条防火墙规则可以代替流量规则。但流量规则无法匹配协议、状态等特定流量，无法代替防火墙规则。可以根据具体需求选择合适的规则类型，有效管理和保护网络。

UniFi 重新构想 IT 管理，通过功能强大的软件平台，优化管理操作体验，只需在页面上点击几下，即可创建防火墙规则，保护敏感数据和系统安全，限制访客网络的带宽，确保企业网络的流畅运行。