EdgeRouter - 如何创建 WAN 防火墙规则


概述


本文介绍了如何创建防火墙规则来保护路由器和局域网(LAN)。本文创建的规则也可以通过运行“ Basic Setup向导来自动创建。
注意事项和要求:
  • 适用于所有 EdgeRouter 型号上的最新 EdgeOS 固件。可以访问本文以获取更多信息。
     
    本文使用的设备:

添加防火墙规则


回到顶部

topology.png

防火墙策略用于放行流量和阻止流量。


EdgeRouter 使用 stateful  防火墙,这意味着路由器防火墙规则可以在不同的连接状态上匹配。流量状态为:

  • new传入未知的数据包
  • established传入的数据包已建立连接。
  • related传入的数据包是未知的,但与源已建立连接。
  • invalid 传入的数据包与其他状态都不匹配。

使用这些防火墙状态,路由器可以根据连接状态沿不同方向接收/丢弃流量。例如,路由器可以阻止从WAN 到 LAN 的所有流量,除非它是与现有连接有关的返回流量。EdgeOS 中的 Basic Setup 向导将以下防火墙规则添加到路由器:

  • WAN_IN匹配通过路由器(WAN 到 LAN)传递的已建立/相关的无效流量。
  • WAN_LOCAL匹配目的为路由器本身的已建立和无效流量(WAN 到 LOCAL)。

请按照以下步骤从“ Basic Setup:  向导手动创建防火墙策略:

GUI:访问 EdgeRouter Web UI

1.打开 Firewall/NAT 选项卡。

2.添加 WAN_IN 防火墙策略,并将默认操作设置为 drop。

Firewall/NAT > Firewall Policies > + Add Ruleset

Name: WAN_IN                             //填写规则名字
Description: WAN to internal //对规则的备注
Default action:
Drop //将默认操作设置为 drop

2. 将两个规则添加到新创建的防火墙策略中。

Firewall/NAT > Firewall Policies > WAN_IN > Actions > Edit Ruleset > + Add New Rule

Description: Allow established/related   //对规则的备注,允许建立
Action: Accept //设置操作为允许
Protocol: All protocols //设置对象为所有协议
Advanced > State: Established / Related //设置状态为已建立

Firewall/NAT > Firewall Policies > WAN_IN > Actions > Edit Ruleset > + Add New Rule

Description: Drop invalid state           //对规则的备注,阻止
Action: Drop //设置操作为阻止
Protocol: All protocols //设置对象为所有协议
Advanced > State: Invalid //设置状态为无效

3. 在 in 将防火墙策略附加到 WAN 接口。

Firewall/NAT > Firewall Policies > WAN_IN > Actions > Interfaces

Interface: eth0                            //设置接口为 eth0
Direction: in //对规则解释,为 in

4. 添加 WAN_LOCAL 防火墙策略,并将默认操作设置为 drop。

Firewall/NAT > Firewall Policies > + Add Ruleset

Name: WAN_LOCAL                             //填写规则名字
Description: WAN to router //对规则的备注
Default action:
Drop //将默认操作设置为阻止

5.将两个规则添加到新创建的防火墙策略中。

Firewall/NAT > Firewall Policies > WAN_LOCAL > Actions > Edit Ruleset > + Add New Rule

Description: Allow established/related     //对规则的备注,允许建立
Action: Accept //设置操作为允许
Protocol: All protocols //设置对象为所有协议
Advanced > State: Established / Related //设置状态为已建立

Firewall/NAT > Firewall Policies > WAN_LOCAL > Actions > Edit Ruleset > + Add New Rule

Description: Drop invalid state             //对规则的备注,阻止
Action: Drop //设置操作为阻止
Protocol: All protocols //设置对象为所有协议
Advanced > State: Invalid //设置状态为无效

6. 在 LOCAL 方向上将防火墙策略附加到WAN接口。

Firewall/NAT > Firewall Policies > WAN_LOCAL > Actions > Interfaces

Interface: eth0                              //设置接口为 eth0
Direction: local //对规则解释,为 local
注意:EdgeRouter 防火墙策略仅在连接到 interface + direction 后才变为活动状态。

也可以使用 CLI 设置以上配置:

CLI:访问命令行界面。您可以使用 GUI 中的 CLI 按钮或使用诸如 PuTTY 之类的程序来执行此操作。
注意:// 后面内容为注释,无需输入

1.进入配置模式。

configure

2.配置 WAN_IN 防火墙策略。

set firewall name WAN_IN default-action drop
set firewall name WAN_IN description 'WAN to internal'
//建立 wan in 规则,并对其添加备注
set firewall name WAN_IN rule 10 action accept
set firewall name WAN_IN rule 10 description 'Allow established/related'
set firewall name WAN_IN rule 10 state established enable
set firewall name WAN_IN rule 10 state related enable
//建立规则 10 放行所以协议流量
set firewall name WAN_IN rule 20 action drop
set firewall name WAN_IN rule 20 description 'Drop invalid state'
set firewall name WAN_IN rule 20 state invalid enable
//建立规则 20 阻止流量

3.配置 WAN_LOCAL 防火墙策略。

set firewall name WAN_LOCAL default-action drop
set firewall name WAN_LOCAL description 'WAN to router'
//建立 wan local 规则,并对其添加备注
set firewall name WAN_LOCAL rule 10 action accept
set firewall name WAN_LOCAL rule 10 description 'Allow established/related'
set firewall name WAN_LOCAL rule 10 state established enable
set firewall name WAN_LOCAL rule 10 state related enable
//建立规则 10 放行所以协议流量
set firewall name WAN_LOCAL rule 20 action drop
set firewall name WAN_LOCAL rule 20 description 'Drop invalid state'
set firewall name WAN_LOCAL rule 20 state invalid enable
//建立规则 20 阻止流量

4.在 inbound 和 local 上将防火墙策略添加到 WAN 接口。

set interfaces ethernet eth0 firewall in name WAN_IN
set interfaces ethernet eth0 firewall local name WAN_LOCAL
注意: EdgeRouter 防火墙策略仅在连接到 interface + direction 后才变为活动状态。

5.提交更改并保存配置。

commit ; save

相关文章


回到顶部

网络入门 - 如何使用 SSH 建立连接