VietNetwork.Vn

Trang cài đặt tường lửa trong Bảng điều khiển Meraki có thể truy cập thông qua Cổng thiết bị bảo mật / Teleworker> Cấu hình> Tường lửa. Trên trang này, bạn có thể định cấu hình quy tắc tường lửa bên ngoài Lớp 3 và Lớp 7, dịch vụ thiết bị có sẵn công khai, chuyển tiếp cổng, ánh xạ NAT 1: 1 và ánh xạ 1: Nhiều NAT.

Lưu ý: Trong chế độ NAT, tất cả các kết nối gửi đến đều bị từ chối ngoại trừ lưu lượng ICMP đến thiết bị theo mặc định. Nếu bạn muốn cho phép lưu lượng truy cập bổ sung, bạn sẽ cần tạo quy tắc chuyển tiếp cổng mới hoặc chính sách NAT và cho phép rõ ràng các kết nối dựa trên giao thức, cổng hoặc địa chỉ IP từ xa (xem bên dưới).

Các kết nối ra được mặc định cho phép. Khách hàng có thể cần thêm quy tắc từ chối mặc định để tuân thủ và tăng tính bảo mật.

Lưu ý: Để xác định mức độ ưu tiên của quy tắc lớp 3 so với lớp 7, vui lòng tham khảo bài viết của chúng tôi, Thứ tự xử lý tường lửa lớp 3 và 7.

1. Luật lệ Outbound.

Tại đây, bạn có thể định cấu hình cho phép hoặc từ chối các câu lệnh Danh sách điều khiển truy cập (ACL) để xác định lưu lượng nào được phép giữa các Vlan hoặc ra khỏi mạng LAN đến Internet. Các câu lệnh ACL này có thể dựa trên giao thức, địa chỉ IP nguồn và cổng, và địa chỉ IP đích và cổng. Các quy tắc này không áp dụng cho lưu lượng VPN. Để định cấu hình quy tắc tường lửa ảnh hưởng đến lưu lượng giữa các đồng nghiệp VPN, vui lòng tham khảo Cài đặt VPN giữa các trang.

Nhấp vào Thêm quy tắc để thêm quy tắc tường lửa đi mới.

• Trường Chính sách xác định xem câu lệnh ACL có cho phép hoặc chặn lưu lượng phù hợp với tiêu chí được chỉ định trong câu lệnh hay không.
• Trường Giao thức cho phép bạn chỉ định lưu lượng TCP, lưu lượng UDP, lưu lượng ICMP hoặc Bất kỳ.
• Các trường Nguồn và Đích hỗ trợ các mạng con IP hoặc CIDR. Nhiều IP hoặc mạng con có thể được nhập bằng dấu phẩy.
• Các trường Src Port và Dst Port hỗ trợ số cổng hoặc phạm vi cổng. Nhiều cổng có thể được nhập bằng dấu phẩy. Phạm vi cổng không thể được nhập bằng dấu phẩy.
• Bạn có thể nhập thêm thông tin vào trường Nhận xét.

Trong phần Hành động, bạn có thể di chuyển các quy tắc được định cấu hình của mình lên hoặc xuống trong danh sách. Bạn cũng có thể nhấp vào X bên cạnh quy tắc để xóa nó khỏi danh sách.

2. Quy tắc tường lửa mẫu.

Tùy chọn bổ sung khả dụng khi định cấu hình quy tắc tường lửa trên mẫu cấu hình. Để biết chi tiết, hãy xem quy tắc Tường lửa cho phần mẫu của trang Cấu hình Mẫu.

Quy tắc chuyển đổi:

Các quy tắc tường lửa này được gắn vào các quy tắc bên ngoài hiện có khi thiết bị không sử dụng modem di động làm đường lên. Điều này có thể hữu ích cho việc hạn chế lưu lượng truy cập di động chỉ sử dụng cho mục đích kinh doanh để ngăn chặn tình trạng quá tải di động không cần thiết.

Hỗ trợ FQDN:

Trong MX 13.4 trở lên, các tên miền đủ điều kiện có thể được cấu hình trong trường Đích.

Nếu quy tắc tường lửa L3 được định cấu hình bằng FQDN và phiên bản chương trình cơ sở MX bị hạ cấp xuống MX 13.3 trở về trước, tất cả các phần của cấu hình tường lửa có FQDN sẽ bị xóa. Các phiên bản phần sụn dưới 13.4 không hỗ trợ FQDN trong quy tắc tường lửa L3.

Các quy tắc tường lửa L3 dựa trên FQDN được triển khai dựa trên lưu lượng truy cập DNS. Khi một thiết bị khách cố gắng truy cập tài nguyên web, MX sẽ theo dõi các yêu cầu và phản hồi DNS để tìm hiểu IP của tài nguyên web được trả về cho thiết bị khách.

3. Có một số cân nhắc quan trọng để sử dụng và kiểm tra cấu hình này.

• MX phải xem yêu cầu DNS của khách hàng và phản hồi của máy chủ để tìm hiểu ánh xạ IP thích hợp. Giao tiếp giữa máy khách và máy chủ DNS không thể là nội bộ Vlan (lưu lượng DNS này không bị rình mò).
• Trong một số trường hợp, một thiết bị khách có thể đã có thông tin IP về tài nguyên web mà nó đang cố truy cập.
• Điều này có thể là do máy khách đã lưu bộ đệm phản hồi DNS trước đó hoặc mục nhập DNS được định cấu hình tĩnh trên thiết bị. MX có thể không thể chặn đúng hoặc cho phép liên lạc với tài nguyên web trong những trường hợp này nếu các thiết bị khách không tạo yêu cầu DNS để MX kiểm tra.

Một cấu hình ví dụ được bao gồm bên dưới:


Để đảm bảo hoạt động thành công, lưu lượng DNS phải được cho phép bởi tường lửa lớp 3 MXs. Chặn DNS sẽ dẫn đến việc MX không thể tìm hiểu ánh xạ tên máy chủ và địa chỉ IP và sau đó, chặn hoặc cho phép lưu lượng truy cập như mong đợi.

Ngoài ra, khả năng hiển thị tên máy chủ phải được bật trên mạng để các quy tắc tường lửa dựa trên FQDN có hiệu lực chính xác.

4. Dịch vụ Appliance.

• ICMP Ping: Sử dụng cài đặt này để cho phép MX trả lời các yêu cầu ping ICMP gửi đến từ địa chỉ được chỉ định. Các giá trị được hỗ trợ cho trường địa chỉ IP từ xa bao gồm Không, Bất kỳ hoặc một dải IP cụ thể (sử dụng ký hiệu CIDR). Bạn cũng có thể nhập nhiều dải IP được phân tách bằng dấu phẩy. Để thêm địa chỉ IP cụ thể thay vì phạm vi, hãy sử dụng định dạng X.X.X.X / 32.
• Web (trạng thái & cấu hình cục bộ): Sử dụng cài đặt này để cho phép hoặc vô hiệu hóa quyền truy cập vào trang quản lý cục bộ (Wired.meraki.com) thông qua IP WAN của MX. Các giá trị được hỗ trợ cho trường IP từ xa giống như với ICMP Ping.
• SNMP: Sử dụng cài đặt này để cho phép bỏ phiếu SNMP của thiết bị từ mạng WAN. Các giá trị được hỗ trợ cho trường IP từ xa giống như với ICMP Ping.

5. Quy tắc tường lửa lớp 7.

Sử dụng công nghệ phân tích lưu lượng lớp 7 độc đáo của Meraki, có thể tạo quy tắc tường lửa để chặn các dịch vụ, trang web hoặc loại trang web cụ thể mà không phải chỉ định địa chỉ IP hoặc phạm vi cổng. Điều này có thể đặc biệt hữu ích khi các ứng dụng hoặc trang web sử dụng nhiều hơn một địa chỉ IP hoặc khi địa chỉ IP hoặc phạm vi cổng của chúng có thể thay đổi.

Có thể chặn các ứng dụng theo danh mục (ví dụ: 'Tất cả các trang web video và âm nhạc') hoặc cho một loại ứng dụng cụ thể trong một danh mục (ví dụ: chỉ iTunes trong danh mục 'Video & nhạc'). Hình dưới đây minh họa một tập hợp các quy tắc tường lửa lớp 7 bao gồm cả chặn toàn bộ danh mục và chặn các ứng dụng cụ thể trong một danh mục:


Cũng có thể chặn lưu lượng dựa trên tên máy chủ https, cổng đích, dải IP từ xa và kết hợp IP / cổng đích.

6. Tường lửa dựa trên Geo-IP.

Tường lửa lớp 7 cũng có thể được sử dụng để chặn lưu lượng dựa trên quốc gia nguồn của lưu lượng truy cập trong nước hoặc quốc gia đích của lưu lượng truy cập đi. Để làm như vậy, hãy tạo quy tắc Tường lửa Lớp 7 mới và chọn Quốc gia ... từ trình đơn thả xuống Ứng dụng. Bạn có tùy chọn chặn tất cả lưu lượng truy cập đến hoặc từ một nhóm quốc gia được chỉ định hoặc chặn bất kỳ lưu lượng truy cập nào không đến hoặc từ một nhóm quốc gia được chỉ định.

Lưu ý: Quy tắc tường lửa Geo-IP chỉ khả dụng trong Phiên bản bảo mật nâng cao. Khi quy tắc tường lửa Geo-IP được đặt để chặn lưu lượng truy cập, không thể liệt kê danh sách trắng / phạm vi IP cụ thể tồn tại trong một quốc gia bị chặn.

7. Quy tắc chuyển tiếp.

Sử dụng khu vực này để định cấu hình quy tắc chuyển tiếp cổng và ánh xạ NAT 1: 1 như mong muốn.

8. Cổng chuyển tiếp.

Sử dụng tùy chọn này để chuyển tiếp lưu lượng truy cập cho IP IP của MX trên một cổng cụ thể đến bất kỳ địa chỉ IP nào trong mạng con hoặc Vlan cục bộ. Nhấp vào Thêm quy tắc chuyển tiếp cổng để tạo cổng chuyển tiếp mới. Bạn cần cung cấp như sau:

• Mô tả: Một mô tả của quy tắc.
• Uplink: Nghe trên IP công cộng của Internet 1, Internet 2 hoặc cả hai.
• Giao thức: TCP hoặc UDP.
• Cổng công cộng: Cổng đích của lưu lượng truy cập đến trên mạng WAN.
• LAN IP: Địa chỉ IP cục bộ mà lưu lượng sẽ được chuyển tiếp.
• Cổng cục bộ: Cổng đích của lưu lượng được chuyển tiếp sẽ được gửi từ MX đến máy chủ được chỉ định trên mạng LAN. Nếu bạn chỉ đơn giản muốn chuyển tiếp lưu lượng mà không dịch cổng, thì đây sẽ giống như cổng Công cộng.
• IP từ xa được phép: Địa chỉ IP từ xa hoặc phạm vi được phép truy cập tài nguyên nội bộ thông qua quy tắc chuyển tiếp cổng này.

Bạn cũng có thể tạo quy tắc chuyển tiếp cổng để chuyển tiếp một loạt các cổng. Tuy nhiên, phạm vi được định cấu hình trong trường Cổng công cộng phải có cùng độ dài với phạm vi được định cấu hình trong trường Cổng cục bộ. Các cổng công cộng sẽ được chuyển tiếp đến các cổng cục bộ tương ứng trong phạm vi. Chẳng hạn, nếu bạn chuyển tiếp TCP 223-225 sang TCP 628-630, cổng 223 sẽ được dịch thành 628, cổng 224 sẽ được dịch thành 629 và cổng 225 sẽ được dịch thành 630.

1: 1 NAT

Sử dụng tùy chọn này để ánh xạ một địa chỉ IP ở phía mạng WAN của MX (trừ IP IP của chính MX) sang địa chỉ IP cục bộ trên mạng của bạn. Nhấp vào Thêm ánh xạ NAT 1: 1 để tạo ánh xạ mới. Bạn cần cung cấp như sau:

• Tên: Tên mô tả cho quy tắc
• IP công cộng: Địa chỉ IP sẽ được sử dụng để truy cập tài nguyên nội bộ từ mạng WAN.
• LAN IP: Địa chỉ IP của máy chủ hoặc thiết bị lưu trữ tài nguyên nội bộ mà bạn muốn cung cấp trên mạng WAN.
• Đường lên: Giao diện WAN vật lý mà lưu lượng sẽ đến.
• Các kết nối trong nước được phép: Các cổng ánh xạ này sẽ cung cấp quyền truy cập và các IP từ xa sẽ được phép truy cập vào tài nguyên. Để bật kết nối gửi đến, bấm Cho phép thêm kết nối và nhập thông tin sau:
• Giao thức: Chọn từ TCP, UDP, ICMP ping hoặc bất kỳ.
• Cổng: Nhập cổng hoặc phạm vi cổng sẽ được chuyển tiếp đến máy chủ trên mạng LAN. Bạn có thể chỉ định nhiều cổng hoặc phạm vi được phân tách bằng dấu phẩy.
• IP từ xa: Nhập phạm vi địa chỉ IP WAN được phép thực hiện kết nối trong nước trên cổng hoặc phạm vi cổng được chỉ định. Bạn có thể chỉ định nhiều dải IP WAN được phân tách bằng dấu phẩy.

Trong phần Hành động, bạn có thể di chuyển quy tắc được định cấu hình lên hoặc xuống trong danh sách. Nhấp vào X để loại bỏ nó hoàn toàn.

Tạo quy tắc NAT 1: 1 không tự động cho phép lưu lượng truy cập vào IP công cộng được liệt kê trong ánh xạ NAT. Theo mặc định, tất cả các kết nối gửi đến đều bị từ chối. Bạn sẽ phải định cấu hình các kết nối đến được phép như mô tả ở trên để cho phép lưu lượng truy cập vào.

1: Nhiều NAT

1: Nhiều NAT, còn được gọi là Dịch địa chỉ cổng (PAT), linh hoạt hơn so với NAT 1: 1. Nó cho phép bạn chỉ định một IP công cộng có nhiều quy tắc chuyển tiếp cho các cổng và IP LAN khác nhau. Để thêm IP 1: Nhiều NAT lắng nghe, bấm Thêm 1: Nhiều IP.

• IP công cộng: Địa chỉ IP sẽ được sử dụng để truy cập tài nguyên nội bộ từ mạng WAN.
• Đường lên: Giao diện WAN vật lý mà lưu lượng sẽ đến.

A 1: Nhiều mục nhập NAT sẽ được tạo với một quy tắc chuyển tiếp được liên kết. Để thêm quy tắc bổ sung, nhấp vào Thêm quy tắc chuyển tiếp cổng theo quy tắc hoặc quy tắc hiện có cho một mục cụ thể 1: Nhiều mục.

• Mô tả: Một mô tả của quy tắc.
• Giao thức: TCP hoặc UDP.
• Cổng công cộng: Cổng đích của lưu lượng truy cập đến trên mạng WAN.
• LAN IP: Địa chỉ IP cục bộ mà lưu lượng sẽ được chuyển tiếp.
• Cổng cục bộ: Cổng đích của lưu lượng được chuyển tiếp sẽ được gửi từ MX đến máy chủ được chỉ định trên mạng LAN. Nếu bạn chỉ đơn giản muốn chuyển tiếp lưu lượng mà không dịch cổng, thì đây sẽ giống như cổng Công cộng.
• IP từ xa được phép: Địa chỉ IP từ xa hoặc phạm vi được phép truy cập tài nguyên nội bộ thông qua quy tắc chuyển tiếp cổng này.

Chuyển tiếp Bonjour

Sử dụng tính năng này để cho phép Bonjour hoạt động giữa các Vlan. Nhấp vào Thêm quy tắc chuyển tiếp Bonjour để tạo quy tắc chuyển tiếp mới.

• Mô tả: Chỉ định tên cho quy tắc.
• Vlan dịch vụ: Chọn một hoặc nhiều Vlan nơi dịch vụ mạng đang chạy. Các yêu cầu Bonjour từ Vlan khách hàng sẽ được chuyển tiếp đến các Vlan này.
• Vlan khách hàng: Chọn một hoặc nhiều Vlan mà từ đó các yêu cầu Bonjour của khách hàng có thể bắt nguồn. Các yêu cầu trên các Vlan này sẽ được chuyển tiếp đến các Vlan dịch vụ. Danh sách các dịch vụ có thể được chuyển tiếp bao gồm: Tất cả các dịch vụ, AirPlay, Máy in, AFP (chia sẻ tệp của Apple), Máy quét, Tôi trò chuyện.