首先,我真的不知道這是否是這個問題的正確位置,但由於 serverFault 定義為對於系統和網路管理員,我會嘗試一下。
我有防火牆(齊沃爾110)。如果本機 IP 來自特定範圍(在同一 LAN 中),我想拒絕對特定資源(在 LAN 中)的存取。
所以我進入配置>安全性策略>策略控制並新增了一條新規則
FROM : LAN
TO : LAN
SOURCE : IP_RANGE(192.168.1.50 - 192.168.1.100)
DESTINATION : IP ADDRESS (192.168.1.3)
SERVICE : ANY
USER : ANY
SCHEDULE : NONE
ACTION : DENY
LOG : LOG
並嘗試從該範圍內的機器進行訪問192.168.1.3
,這是可能的。我也嘗試用 替換LAN
,ANY
同樣的問題。而且日誌甚至沒有創建。
唯一有效的是阻止來自此特定範圍的整個存取。所以當我把ANY
除了源頭之外的所有地方都放上。該機器無法存取 WAN,但仍可以存取 LAN 中的所有內容...
此防火牆只能阻止 WAN 訪問,或未啟動的許可證問題。
有人可以證實這一點嗎?或者我只是錯過了什麼?
答案1
在大多數網路中,內部 LAN 流量不會透過路由器/防火牆路由,客戶端直接相互通訊。因此,如果您想拒絕存取 192.168.1.3,您應該在 192.168.1.3 上執行此操作,或確保流量通過防火牆路由(如果涉及交換器等),然後才能套用防火牆規則。
UTM 代表“統一威脅管理”,涉及網路釣魚防護、集中配置等,是您的任務不需要的額外功能。你想要做的是一個簡單的基於IP的規則,它與許可證無關。
簡而言之:您的流量不會被過濾,因為它從未穿過防火牆。