应用於防火墙原则中的VLAN.PDF

應用 於防火牆原則中的 VLAN 應用 於防火牆原則中的 VLAN 防火牆原則中的 VLAN 是 VigorPro 系列新版韌體 V3.3.5 中重要的一個功能，透過這項特點， 在您啟動 LAN 中 VLAN 功能時，防火牆規則將會檢查封包是否由指定的 VLAN 中接收進來， 因為 VigorPro 系列支援 VLAN 功能，而 Vigor 2xxx 系列則是支援 Port-based VLAN 功能，防 火牆原則中所應用的 VLAN 特徵，可以達成讓特定封包侷限由指定的交換器連接埠進出。 對於來源 IP 位址難以用來定義防火牆原則的 DHCP 環境來說，這項特徵是相當有幫助的，我 們以下圖為例，簡單說明一下： 假設辦公室區分成二個區域: 員工區(Employee Area)與客戶區(Guest Area) ，在員工區中的電 腦可以存取網際網路也能使用 VPN ，電腦都是連接到交換器Switch 1 並連上路由器的 LAN 1 連接埠。客戶可以存取網際網路但不能使用 VPN 通道，客戶電腦連接到交換器 Switch 2 並連 上路由器的 LAN 4 連接埠。這二區的人員是隔離開來的，客戶與員工彼此不能存取雙方的資 料，因此，啟用了 VLAN ，並設定如下圖： 1 所有的主機都是透過 DHCP 伺服器取得各自的 IP 位址，在沒有整合 VLAN 功能於防火牆原則 下，您必須定義來源 IP 位址作為比對條件。如果這些 IP 都是動態的，建立防火牆規則就不 太可能成功，因為沒有方法可以區別員工與客戶之間的差別。也因此您必須開啟 LAN Bind IP to MAC 頁面指定固定 IP 位址給予員工。 如果有整合 VLAN 功能於防火牆原則下，您可輕鬆定義防火牆規則： 任何不符合規則 3 或規則 4 的流量都符合規則 2 的規定，也就是全部封鎖阻擋起來。來源 IP 、 目的 IP 與 VLAN 選項皆維持預設值，執行動作“Block If No Further Match”表示封包如果不 符合其他規則的規定，就會按照此規則直接捨棄。下圖顯示過濾器規則 2 - block all 參考圖。 2 在 pass employee 的規則中，VLAN 選項選擇 VLAN 0 ，來源與目的IP 皆維持預設值 Any ，執 行動作 Pass Immediately”表示來自 LAN 1 或 LAN 2 連接埠的資料流量，如果符合這項規則， 通通採取立刻通過的措施。注意 LAN 1 與 LAN 2 連接埠群組在 VLAN 0 之下，如果封包是從 LAN 3 或 LAN 4 連接埠來到路由器，那就不符合這邊的規則，因為 LAN 3 與 LAN 4 連接埠屬 於 VLAN 1 群組。下圖顯示過濾器規則 2 - pass employee 參考圖。 在 pass guest 的規則中，VLAN 選項選擇 VLAN 1 ，來源IP 維持預設值 Any ，目的IP 則是設 定為!(172.16.2.0/255.255.255.0) ，172.16.2.0/255.255.255.0 表示遠端 VPN 網路，並且勾選了 Inverse Selection 功能，表示目的位址是 172.16.2.0 ~ 172.16.2.255 以外的任何 IP 位址，這樣的 設定指出任何自 LAN 3 或 LAN 4 連接埠所接收的網路流量，如果符合此項規則(不含 VPN) ， 即可立即通過路由器。 3 如果封包( 目的是 VPN 網路) 到達 LAN 3 或 LAN 4 連接埠，就不符這條規則，因為這是最後 一條規則了，該封包將以規則 2 的規定來處理，也就是封鎖全部，將直接捨棄。 下圖顯示過濾器規則 2 - pass guest 參考圖。