Zapora sieciowa

Zapora sieciowa jest popularną funkcją z zakresu bezpieczeństwa sieciowego. Jest ona formą wirtualnej bariery, która analizuje i obsługuje ruch sieciowy pochodzący ze źródeł zewnętrznych (np. z Internetu) według zdefiniowanego zbioru reguł.

W zależności od konfiguracji reguły zapora sieciowa zezwala na dostęp lub odmawia dostępu. Poprzez kontrolowanie uprawnień do dostępu aplikacji i usług zapora sieciowa SRM może utrzymać bezpieczeństwo sieci i ochronić ją przed potencjalnymi zagrożeniami cybernetycznymi.

Spis treści

Tworzenie reguły zapory sieciowej

Zanim reguły zapory sieciowej SRM będą mogły efektywnie monitorować ruch sieciowy, musisz zdefiniować zbiór reguł zapory sieciowej. Zbiór reguł zawiera jedną lub więcej reguł zapory sieciowej, które są wykorzystywane do regulowania ruchu sieciowego. Reguły zapory sieciowej SRM są definiowane za pomocą następujących parametrów:

  • Nazwa: Nazwy są wykorzystywane do identyfikowania wszystkich reguł zapory sieciowej.
  • Protokół: Istnieje kilka standardowych protokołów używanych do wymiany informacji. Protokoły TCP i UDP są wykorzystywane do wymiany informacji pomiędzy systemami. Protokół ICMP jest wykorzystywany głównie do przekazywania komunikatów o błędach i zapytań. Jeśli nie masz pewności, który protokół należy ustawić, wybierz wszystkie protokoły.
  • IP: Adresy IP, z których pochodzi ruch sieciowy (źródłowy adres IP) lub do którego jest przeznaczony (docelowy adres IP). Mogą one znajdować się w sieci lokalnej hostowanej przez Synology Router lub internet
  • Interfejs sieciowy: Interfejsy sieciowe pełnią rolę pośrednika między urządzeniem Synology Router a sieciami lokalnymi lub Internetem; można je podzielić na interfejsy źródłowe i docelowe.
  • Port: porty to miejsca, w których ruch sieciowy wchodzi lub wychodzi z urządzenia; mogą być podzielone na porty źródłowe i docelowe.
  • Akcja: akcja określa zachowanie zapory sieciowej SRM, gdy dowolny ruch sieciowy odpowiada warunkom określonym przez numer portu, źródłowe IP i interfejs sieciowy.
  • Odsłona: wyświetla liczbę uruchomień reguły zapory sieciowej.

Jeśli masz uprawnienia administratora sieciowego, upewnij się, że znasz potrzeby sieciowe wszystkich użytkowników, aby zapewnić im odpowiedni dostęp do wymaganych aplikacji i usług. Jeśli nie masz takich uprawnień, skonsultuj się z administratorem sieci, aby uniknąć problemów związanych z użyciem zapory sieciowej.

Aby utworzyć regułę zapory sieciowej:

  1. Przejdź do Network Center > Bezpieczeństwo > Zapora sieciowa.
  2. Kliknij przycisk Utwórz.
  3. W sekcji Nazwa wprowadź nazwę dla reguły zapory sieciowej.
  4. W sekcji Protokół wybierz protokół ruchu regulowanego przez tę regułę zapory sieciowej.
  5. W sekcji Źródło wybierz jedną z następujących opcji:
    • Interfejs sieciowy:
      • Wszystkie: Zastosuj tę regułę zapory sieciowej do wszystkich interfejsów sieciowych.
      • Internet: Zastosuj tę regułę zapory sieciowej do interfejsu internetowego.
      • LAN: Zastosuj tę regułę zapory do interfejsów sieciowych określonych sieci lokalnych (LAN). Po kliknięciu przycisku Wybierz możesz wybrać docelowe sieci lokalne.
    • Adres IP:
      • Wszystkie: zastosuj tę regułę zapory sieciowej do wszystkich źródłowych adresów IP.
      • Określony adres IP: Zastosuj tę regułę zapory sieciowej do określonych źródłowych adresów IP. Po kliknięciu opcji Wybierz będzie można określić adres IP, podsieć lub zakres adresów IP.
      • Region: Zastosuj tę regułę zapory sieciowej do ruchu sieciowego pochodzącego z określonych obszarów. Po kliknięciu Wybierz możliwe będzie określenie maksymalnie 15 lokalizacji.
    • Porty: Zastosuj tę regułę zapory sieciowej do wszystkich lub określonych portów.
  6. W sekcji Miejsce docelowe wybierz jedną z następujących opcji:
    • Interfejs sieciowy:
      • Wszystkie: Zastosuj tę regułę zapory sieciowej do wszystkich interfejsów sieciowych.
      • Internet: Zastosuj tę regułę zapory sieciowej do interfejsu internetowego.
      • LAN: Zastosuj tę regułę zapory do interfejsów sieciowych określonych sieci lokalnych (LAN). Po kliknięciu przycisku Wybierz możesz wybrać docelowe sieci lokalne.
    • Adres IP:
      • Wszystkie: Zastosuj tę regułę zapory sieciowej do wszystkich adresów IP miejsca docelowego.
      • SRM: Zastosuj tę regułę zapory sieciowej wyłącznie do Synology Router. Nie będzie to miało wpływu na ruch sieciowy do hostowanej sieci lokalnej.
      • Określony adres IP: Zastosuj tę regułę zapory sieciowej do określonych adresów IP miejsca docelowego. Po kliknięciu opcji Wybierz będzie można określić adres IP, podsieć lub zakres adresów IP.
      • Region: Zastosuj tę regułę zapory sieciowej do ruchu sieciowego przeznaczonego dla określonych obszarów. Po kliknięciu Wybierz możliwe będzie określenie maksymalnie 15 krajów.
    • Porty: zastosuj tę regułę zapory sieciowej do wszystkich lub określonych portów lub do wybranych aplikacji.
  7. W sekcji Akcja wybierz jedną z następujących opcji:
    • Zezwól: Zezwól na ruch sieciowy, który spełnia wszystkie określone warunki.
    • Odmów: Zablokuj ruch sieciowy, który spełnia wszystkie określone warunki.
  8. Kliknij przycisk OK, aby zakończyć konfigurację.
  9. Kliknij Zapisz, aby zapisać tę regułę.

Aby skonfigurować powiadomienia zapory sieciowej:

Możesz również skonfigurować powiadomienia, by uzyskiwać informacje, gdy zapora sieciowa SRM odmówi dostępu.

  1. Kliknij przycisk Ustawienia.
  2. Upewnij się, że pole Włącz powiadomienia zapory sieciowej jest zaznaczone.
  3. Kliknij OK, aby zapisać zmiany.

Po włączeniu powyższego ustawienia za każdym razem, gdy aplikacja lub usługa zostaną zablokowane przez reguły zapory, zostanie wyświetlony komunikat.

Uwaga:

  • Można utworzyć do 128 reguł zapory sieciowej.
  • Reguły zapory sieciowej mają zastosowanie tylko do następujących rodzajów ruchu w sieci:
    • Ruch między Internetem a siecią lokalną
    • Ruch między sieciami lokalnymi
  • Reguły zapory nie dotyczą ruchu sieciowego w obrębie tej samej sieci lokalnej ani między połączeniami przewodowymi i bezprzewodowymi.
  • Jeśli port prywatny w regule przekierowania portów jest zbieżny z portem docelowym w regule zapory lub regule listy klientów UPnP, reguły te będą miały priorytet zastosowania w następującej kolejności: reguły zapory > reguły przekierowywania portów > reguły listy klientów UPnP.
  • Aby skonfigurować regułę zapory w kontekście pewnego ruchu kierowanego przez przekierowywanie portów, należy określić port docelowy w regule zapory taki sam, jak port prywatny w regule przekierowywania portów.

Modyfikowanie strategii zapory sieciowej SRM

Aby zmienić kolejność reguł zapory sieciowej:

Zapora sieciowa SRM stosuje reguły według ustawionej kolejności. Jeśli kilka reguł jest ze sobą sprzecznych, pierwszeństwo ma reguła umieszczona wyżej na liście.

  1. Przejdź do Network Center > Bezpieczeństwo > Zapora sieciowa.
  2. Wybierz istniejącą regułę.
  3. Jej pozycję możesz zmienić, przeciągając i upuszczając ją.
  4. Kliknij przycisk Zapisz, aby zapisać zmiany.

Aby edytować domyślne reguły zapory sieciowej:

Możesz wzmocnić zaporę sieciową urządzenia Synology Router i urządzeń klienckich posiadających domyślne reguły zapory sieciowej. Reguły domyślne są stosowane w celu dopuszczenia lub zablokowania ruchu sieciowego, który nie spełnia żadnej z utworzonych reguł.

  1. Przejdź do Network Center > Bezpieczeństwo > Zapora sieciowa.
  2. Na dole strony zmień polityki domyślne według własnych potrzeb:
    • Jeśli ruch IPv4 WAN-to-SRM nie pasuje do reguł: zezwól/odmów dostępu przychodzącego ruchu IPv4 przeznaczonego dla interfejsu zarządzania SRM.
    • Jeśli ruch IPv4 WAN-to-LAN nie pasuje do reguł: zezwól/odmów dostępu przychodzącego ruchu IPv4 przeznaczonego dla urządzeń podrzędnych Synology Router.
    • Jeśli ruch IPv6 WAN-to-SRM nie pasuje do reguł: zezwól/odmów dostępu przychodzącego ruchu IPv6 przeznaczonego dla interfejsu zarządzania SRM.
    • Jeśli ruch IPv6 WAN-to-LAN nie pasuje do reguł: zezwól/odmów dostępu przychodzącego ruchu IPv6 przeznaczonego dla urządzeń podrzędnych Synology Router.
Tworzenie reguły zapory sieciowej
Modyfikowanie strategii zapory sieciowej SRM