Como configurar a ACL do Gateway no Fusion Gateway
Sumário
Objetivo
Este artigo apresenta como gerenciar a rede configurando a ACL do Gateway no Fusion Gateway.
Requisitos
- Fusão Gateway
Introdução
A ACL (Lista de Controle de Acesso) permite que um administrador de rede crie regras para restringir o acesso a recursos de rede. As regras da ACL filtram o tráfego com base em critérios específicos, como Sub-rede IP, Rede, Dispositivo, Aplicativo específico e Porta específica, e determinam se os pacotes correspondentes devem ser encaminhados. Essas regras podem ser aplicadas a clientes ou grupos específicos cujo tráfego passa pelo gateway.
O sistema filtra o tráfego de acordo com as regras da lista sequencialmente. A primeira correspondência determina se o pacote é aceito ou descartado, e as demais regras não são verificadas após a primeira correspondência. Portanto, a ordem das regras é crucial.
- Por padrão, as regras são priorizadas de acordo com a data de criação. A regra criada primeiro é verificada para encontrar uma correspondência com a prioridade mais alta.
- A prioridade da regra ACL suporta ajustes por arrastar e soltar e atribuição de índices personalizados.
- Se nenhuma regra corresponder, o dispositivo encaminha o pacote devido a uma cláusula implícita de "Permitir tudo".
Configuração
As ACLs (Listas de Controle de Acesso) de gateway nos gateways Omada permitem controlar o tráfego que passa entre diferentes redes ou com base em aplicações específicas. Este guia aborda dois cenários comuns:
- Negar tráfego entre redes – Bloquear toda a comunicação entre duas sub-redes (por exemplo, entre VLAN1 e VLAN10).
- ACL baseada em aplicativos – Negar tráfego para aplicativos específicos (por exemplo, bloquear mídias sociais ou aplicativos de compartilhamento de arquivos ) .
Configuração de uma ACL para negar tráfego entre redes
A seguir, mostraremos como usar os recursos de ACL. Nosso foco será em como configurar as definições no Omada Fusion Gateway. Consulte a topologia de rede simples mostrada abaixo. Há dois departamentos conectados ao Fusion Gateway com switches Omada. Os computadores precisam de acesso à Internet, mas não aos computadores em outros departamentos.

Etapa 1. Configure a topologia acima e conclua a configuração da VLAN 10 (192.168.1.1/24) para o departamento de Marketing e da VLAN 1 (192.168.0.1/24) para o departamento de P&D.

Etapa 2. Vá para Configuração de Rede &>Gerenciamento de Tráfego &>ACL e insira a página ACL do Gateway.

Etapa 3. Clique em Criar Nova Regra. Defina os critérios de filtragem de pacotes da regra, incluindo protocolos, origem e destino, e determine se os pacotes correspondentes devem ser encaminhados.

A primeira regra é impedir que o departamento de marketing acesse o departamento de P&D. Você pode definir a Rede Padrão (P&D VLAN1) para negar o acesso à Rede VLAN10 para todos os pacotes de protocolo.

Notas:
Nome:Digite um nome para identificar a ACL.
Status: Ative para habilitar a ACL.
Protocolos:Selecione um ou mais tipos de protocolo aos quais a regra se aplica na lista suspensa.
- O padrão é "Todos", indicando que pacotes de todos os protocolos serão correspondidos.
- Você pode clicar em +Personalizar para personalizar os protocolos.

- Ao selecionar TCP/UDP, Todos, você pode definir o número da porta de um pacote como critério de filtragem de pacotes na regra.

- Ao selecionar ICMP/ICMPv6, você pode definir o Tipo ICMP e o Código ICMP de um pacote como critérios de filtragem de pacotes na regra.

Tipo ICMP:Associe o tráfego ao Tipo ICMP específico. 255 significa que todos os tipos estão incluídos. Pacotes ICMP com os campos de tipo e código correspondentes são considerados pacotes de destino.
Código ICMP:Associe o tráfego ao código ICMP específico. 255 significa que todos os códigos estão incluídos. Pacotes ICMP com os campos de tipo e código correspondentes são considerados pacotes de destino.
- Política:Selecione a ação a ser tomada quando um pacote corresponder à regra.
- Negar:Descartar o pacote correspondente.
- Permitir:Encaminhar o pacote correspondente.
- Instruções:Especifique a interface de origem/destino para a regra. Você pode selecionar LAN, WAN e VPN.
- LAN: Corresponder ao tráfego de/para a LAN.
- WAN:Corresponder ao tráfego de/para a WAN específica.
- VPN:Corresponder ao tráfego de/para a VPN específica.
- Tipo de origem/destino:Selecione o tipo de origem/destino da regra criada.
- Qualquer:Corresponder a todo o tráfego.
- Dispositivo:Corresponder ao tráfego do dispositivo específico.
- Rede:Associe o tráfego de/para a rede específica. Se nenhuma rede tiver sido criada, você pode selecionar a rede padrão (LAN) ou acessar Configuração de Rede > Configurações de Rede > LAN para criar uma.
- IPv4/v6:Associe o tráfego de/para o IP/Grupo de IP específico. Se nenhum Grupo de IP tiver sido criado, clique em + Adicionar Grupo de IP nesta página ou acesse Configuração de Rede > Perfil > Grupos para criar um.
- MAC:Corresponde ao tráfego do MAC/OUI/Grupo MAC específico. Se nenhum Grupo MAC tiver sido criado, clique em + Adicionar Grupo MAC nesta página ou acesse Configuração de Rede > Perfil > Grupos para criar um.
- Domínio:Corresponda ao tráfego do domínio/grupo de domínios específico. Se nenhum grupo de domínios tiver sido criado, clique em + Adicionar grupo de domínios nesta página ou acesse Configuração de rede > Perfil > Grupos para criar um.
- IP de gerenciamento do gateway: Associe o tráfego aos IPs das interfaces WAN e LAN do gateway.
- Porta de origem/destino:
A configuração de porta é compatível apenas com tráfego TCP e UDP.
Você pode especificar uma porta TCP/UDP ou selecionar Qualquer.
- Se você selecionar "Qualquer":
A regra corresponderá a todo o tráfego TCP/UDP, independentemente da porta, excluindo, no entanto, o tráfego que não seja TCP /UDP. - Se você selecionar uma porta específica:
A regra só corresponderá ao tráfego TCP/UDP que usa essa porta específica. O tráfego que usa outros protocolos (por exemplo, ICMP) não será correspondido.
Ao selecionar uma porta específica, você verá a função Correspondência de Porta Oposta
- Se a opção "Combinar porta oposta" estiver ativada:
A regra se aplica a: Corresponder a todas as portas, exceto à porta selecionada.
Etapa 4. Expanda as Configurações Avançadas e você poderá habilitar o recurso Bidirecional para criar outra regra de ACL com a direção oposta simultaneamente.
Observação: Apenas a direção é oposta; todas as outras configurações permanecem as mesmas.

- Versão do IP: Especifique o tipo de IP ao qual a regra será aplicada, IPv4 ou IPv6.
- Log:Quando ativado, o sistema pode coletar o log efetivo de uma entrada da ACL. Para usar esta função, configure primeiro a função de registro remoto.
- Intervalo de tempo:Crie o intervalo de tempo ou selecione um intervalo de tempo existente para que a regra da ACL entre em vigor.
- Bidirecional: Na direção LAN-LAN, clique na caixa de seleção para permitir que o gateway crie outra ACL simétrica com o nome “xxx_reverse”, onde “xxx” é o nome da ACL atual. As duas ACLs têm como alvo pacotes com direções opostas.
- Tipo de estado:Determine o tipo de regra ACL com estado. Recomenda-se usar o tipo Automático padrão.

- Automático:Corresponder aos estados de conexão novos, estabelecidos e relacionados.
- Manual:Se selecionado, você pode especificar manualmente os estados de conexão a serem correspondidos.
- Correspondência de Estado Novo:Corresponde às conexões do estado inicial. Por exemplo, um pacote SYN chega em uma conexão TCP ou o roteador recebe tráfego apenas em uma direção.
- Estado de Correspondência Estabelecido:Corresponde às conexões que foram estabelecidas. Em outras palavras, o firewall detectou a comunicação bidirecional desta conexão.
- Correspondência de Estado Relacionada:Corresponde às subconexões associadas a uma conexão principal, como uma conexão a um canal de dados FTP.
- Estado de Correspondência Inválido:Corresponde às conexões que não se comportam como esperado.
Etapa 5. Clique emAplicar para concluir a entrada da regra ACL do Gateway acima.

Nota :
- Você pode arrastar as entradas para ajustar a ordem em que as regras entram em vigor.
- Enquanto isso, você pode editar o índice para ajustar a ordem.
O sistema filtra o tráfego de acordo com as regras da lista sequencialmente. A primeira correspondência determina se o pacote é aceito ou descartado, e as demais regras não são verificadas após a primeira correspondência.
Portanto, a ordem das regras é crucial.
- Por padrão, as regras são priorizadas pela data de criação. A regra criada primeiro é verificada para encontrar uma correspondência com a prioridade mais alta.
- A prioridade da regra ACL suporta ajustes por arrastar e soltar e atribuição de índices personalizados.
- Se nenhuma regra corresponder, o dispositivo encaminha o pacote devido a uma cláusula implícita de "Permitir tudo".
Etapa 6. Verificação
O computador 1 do departamento de P&D está conectado à VLAN 1 com o endereço IP 192.168.0.100, enquanto o computador 2 do departamento de Marketing está conectado à VLAN 10 com o endereço IP 192.168.10.101. O computador 1 não consegue pingar o computador 2, e vice-versa.

Configuração de uma ACL baseada em aplicativo
O Omada Fusion Gateway oferece um recurso de Listas de Controle de Acesso (ACL) baseadas em aplicativos, permitindo que os usuários controlem o tráfego de rede com base em aplicativos. Esse recurso permite o controle do tráfego por aplicativos específicos ou categorias de aplicativos. Por padrão, o dispositivo permite o acesso a todos os aplicativos. Você pode configurar regras de ACL para bloquear o acesso a aplicativos específicos em redes designadas. As regras de ACL baseadas em aplicativos não são compatíveis com a política "permitir".
Passo 1. Navegue até Configuração de Rede > Gerenciamento de Tráfego > ACL e acesse ACL de Gateway. Clique em + Criar Nova Regra para criar uma nova regra de ACL de Gateway.

Etapa 2. Na página Criar Nova Regra, configure os parâmetros da regra para definir como a ACL controla o tráfego de rede.
Para configurar uma ACL baseada em aplicativo, você precisa definir a Política como Negar, a Origem como LAN, o Destino como WAN e a Versão IP como IPv4.
Nota: A ACL baseada em aplicativo atualmente suporta Política de negação, direção LAN para WAN, somente versão IP 4 e somente o tipo de estado Automático.
Em seguida, defina o Tipo de Destino como Aplicativo e selecione o aplicativo correspondente:
- Aplicação: Adequado para aplicações específicas, ideal para controle preciso.
- Categoria: Corresponde aos tipos de aplicação, adequada para controle baseado em categoria.
Neste artigo, configuramos uma regra para impedir que a Rede do Cliente acesse aplicativos da categoria Streaming.
Após concluir a configuração, clique em Aplicar para salvar a regra.

Etapa 3. Verificação
Use um computador na rede do cliente para tentar acessar o YouTube.

Conclusão
Seguindo os passos acima, configuramos com sucesso a ACL do Gateway no Omada Fusion Gateway. Você pode configurar esse recurso de acordo com suas necessidades.
QA
P1: O que é ACL de Gateway?
A: A ACL (Lista de Controle de Acesso) do gateway permite que os administradores criem regras que filtram o tráfego que passa pelo gateway com base em critérios como sub-rede IP, rede, dispositivo, aplicativo ou porta. Ela decide se permite ou nega os pacotes correspondentes, ajudando a gerenciar o acesso e a segurança da rede.
P2: Como funciona a prioridade de regras na ACL do Gateway?
R: O sistema verifica as regras sequencialmente de cima para baixo. A primeira regra que corresponde ao tráfego determina a ação (permitir ou negar), e nenhuma outra regra é avaliada. Por padrão, as regras são priorizadas por data de criação (regras mais antigas têm prioridade maior). Você também pode arrastar e soltar regras ou atribuir índices personalizados para reordená-las.
P3: Como posso bloquear a comunicação entre duas VLANs usando a ACL do gateway?
A: Crie uma regra com a rede de origem como uma VLAN (por exemplo, VLAN 10 de Marketing) e a rede de destino como a outra VLAN (por exemplo, VLAN 1 de P&D), defina a política como "Negar" e aplique-a na direção da LAN. Isso impedirá o tráfego entre as duas VLANs. Para bloqueio bidirecional, habilite o recurso Bidirecional.
P4: Por que minha regra ACL não está funcionando como esperado?
A: Possíveis razões incluem:
- A ordem das regras está incorreta (uma regra de prioridade mais alta pode estar sendo correspondida primeiro).
- As configurações de tipo ou porta de origem/destino não estão configuradas corretamente.
- A regra está desativada (Alternância de status desativada).
- O intervalo de tempo não está ativo.
- Existe um "Permitir tudo" implícito no final — se nenhuma regra corresponder, o tráfego será permitido. Verifique os critérios e a ordem das suas regras.
- Cenário especial:A regra ACL atual com Tipo de dispositivo é baseada na correspondência de endereços MAC. Em cenários que envolvem encaminhamento de Camada 3, os endereços MAC de origem e destino não correspondem como esperado. Especificamente, para clientes conectados a switches em sub-redes diferentes, o controle de acesso baseado em dispositivo não entra em vigor, resultando em comportamento anormal das funções relevantes.
Q5: O que é a função "Match Opposite Port" em ACL?
A: Quando você seleciona uma porta TCP/UDP específica e ativa a opção "Corresponder à Porta Oposta", a regra se aplica a todo o tráfego, exceto a porta selecionada. Isso inclui tráfego TCP/UDP em outras portas e todo o tráfego que não seja TCP /UDP (por exemplo, ICMP). A própria porta selecionada é excluída da correspondência.
Q6: O que faz o recurso bidirecional ?
R: Quando ativado, o gateway cria automaticamente uma segunda regra ACL na direção oposta (por exemplo, do destino para a origem), usando os mesmos parâmetros de configuração. A regra reversa é nomeada "xxx_reverse". Isso é útil para bloquear ou permitir a comunicação bidirecional com uma única regra configurada. Observação: A opção bidirecional está disponível apenas na direção LAN para LAN .
P7: O que devo fazer se os clientes ainda conseguirem acessar um site específico após configurar uma regra de ACL baseada em aplicativo para negar o acesso?
R: O domínio pode não estar incluído no banco de dados do aplicativo atual. Nesse caso, recomenda-se usar o Filtragem de Conteúdo juntamente com a ACL baseada em aplicativo. A Lista de Bloqueio da Filtragem por Categoria pode ser usada para bloquear sites específicos que não estão incluídos no banco de dados da categoria. Para obter mais informações sobre Filtragem de Conteúdo, consulte os Artigos Relacionados.
P8: Depois de configurar uma ACL de negação, por que partes da página da web ou ícones ainda carregam?
R:Isso pode ser causado pelo cache do navegador. Você pode tentar limpar o cache do navegador ou testar no modo anônimo/privado.
P9: Como posso saber quais aplicativos estão incluídos em uma Categoria de Aplicativos?
R:Você pode verificar isso em Configuração de Rede > Segurança > Controle de Aplicativos.

P10: Preciso habilitar a Inspeção Profunda de Pacotes para usar ACLs baseadas em Aplicativos?
R:Não, não é necessário habilitar a Inspeção Profunda de Pacotes em Configuração de Rede > Segurança > Controle de Aplicativos.
P11: É possível aplicar ACLs de gateway a clientes VPN (por exemplo, L2TP/PPTP)?
R: Sim. O Gateway ACL suporta a seleção de Cliente L2TP ou Cliente PPTP como tipo de origem. No entanto, essa opção só estará disponível após a criação bem-sucedida da conexão de cliente L2TP ou PPTP correspondente no Fusion Gateway. Uma vez estabelecida a conexão do cliente VPN, você poderá criar regras ACL para permitir ou bloquear o tráfego de/para essa interface VPN.
Para obter mais detalhes sobre cada função e configuração, acesse Central de Downloads para baixar o manual do seu produto.