《防火墙应用指南基本配置指导思想》由会员分享,可在线阅读,更多相关《防火墙应用指南基本配置指导思想(17页珍藏版)》请在金锄头文库上搜索。
1、防火墙应用指南(一)基本配置指导思想注:阅读本文前,请先详细阅读本文最后的红色部分的提示内容。 一 概要介绍 新上市的TL-FR5300防火墙产品,主要有两大功能特点:“攻击防护”和“策略”。它还有其他很多功能,在这篇文档里,我们将侧重表述“策略”这一块,其他功能我们另有专门的表述文档。当您在看这篇文档之前,我们希望您能够先了解一下TL-FR5300的用户手册,对TL-FR5300使用过程中涉及的诸多概念有一定的了解。 一般情况下用户购买了TL-FR5300,将其置于本单位网络的出口处,作为内部网络所有主机登录互联网的网关设备,内网主机所有去往互联网的数据都需要流经TL-FR5300,我们对T
2、L-FR5300进行适当配置,就可以对内网主机的上网操作进行灵活的管理。 TL-FR5300处于整个内部网络的出口,默认内部网络(LAN)和外部互联网(WAN)是互通的,但建议将这一条默认策略删除。当内部网络中某一部分主机需要某上网权限时,网络管理员只需要在TL-FR5300上面给这一部分主机打开相应的上网权限,当内部网络另一部分主机需要另外的上网权限时,管理员只需要在TL-FR5300上打开另一部分上网权限即可。这就是我们配置TL-FR5300这款防火墙产品时候的基本指导思想“有需求才开放”。 在使用TL-FR5300的过程中,为了顺利实施上面“有需求才开放”的思想,我们极力建议您的网络是经
3、过规划的特别是“IP地址”这一部分,因为“IP地址”是互联网中每台主机标示自己的唯一标志,TL-FR5300也是通过“IP地址”实现对主机权限的控制。具体地说,网络里具备相同网络权限的主机应该从属于一个组,适应不同网络权限的主机从属于不同的组,而我们在规划“IP地址”的时候,既要考虑现有各个组的规模,也要考虑到以后网络的增长,不同网络权限的主机组使用不同的IP地址段,比如下面不同的组使用不同IP地址段: 管理团队:192.168.1.1192.168.1.30(192.168.1.0/27)市场部门:192.168.1.65192.168.1.94(192.168.1.64/27)销售部门:1
4、92.168.1.129192.168.1.158(192.168.1.128/27) 当配置TL-FR5300时给不同的IP地址段不同的网络权限,那么网络中某台主机使用了什么IP地址就具备了什么网络权限,这就是网络经过规划的好处: 上班时间限制内部网络某台主机只能登录互联网某个网站服务器。 要实现上面的目的,网络管理员通过设置TL-FR5300的“策略”,将上面这个想要实现的目的体现出来就可以。在这条“策略/规则”设置的过程当中,“内网某主机、互联网某网站服务器、可以登录”这些都属于“策略/规则”的基本组成部分,“上班时间”属于“策略/规则”的可选组成部分。 “策略”可分为基本组成部分和可选
5、组成部分。基本组成部分有:信息流的方向、信息流的源地址、信息流的目的地址、禁止/允许通过。可选组成部分有:时间、安全认证、流量控制、深层检测、日志等。 在TL-FR5300里面将“策略”的组成部分称之为“对象”,当需要设置一条“策略”的时候,要考虑一下即将设置的“策略”都包含哪些“对象”?TL-FR5300有专门用于定义“对象”的配置界面,比如策略里面涉及“上班时间”,那么配置策略之前,要先在“对象”-“时间表”里面将“上班时间”体现出来,然后在“策略”配置过程中引用先设定好的“上班时间”这个“对象”,那么这样设置的“策略”才能在“上班时间”生效。简单的说这就是“策略”和“对象”的关系。可以说
6、多个不同的“对象”通过组合最后生成了一条“策略”。 TL-FR5300的“策略”可由如下可选“对象”组成:IP地址、IP地址组、服务、服务组、动作、时间表、应用、深层检测、网络地址转换、用户认证、QoS控制、URL过滤、日志。二 举例以及说明 下面我们通过一些简单的“策略”设置过程,来详细地描述“策略”和“对象”是一个怎样的关系?它们是怎样使用的? 1,销售部员工张三只能登录阿里巴巴网站。分析:通过设置TL-FR5300的“策略”实现上面的目的,这条“策略”包含的“对象”有:张三(使用的IP地址)、阿里巴巴(网站服务器IP地址)、可以登录(网站)。设置:设置过程分两部分,分别是设置“对象”和“
7、策略”,设置“对象”是为了“策略”引用它,设置“策略”是为了最终实现我们的限制目的。 如上图选择了“对象”-“IP地址”,设置界面如下图: 如上图要在“区域”选择LAN ,因为张三处于公司内网也就是TL-FR5300定义的LAN区域,选择后点击“新增”按钮,界面如下图: 如上图: “IP地址名字”建议具备可读性,张三是销售部员工,这里取为“Sales 张三”。 “说明”是对本IP地址的简单解释说明。给张三配置的IP地址为 192.168.1.129 。 “子网掩码”填为32表示这里是单个IP地址。 设置完后点击确定按钮返回上一级界面如下图: 在“对象”里设置完了张三的IP地址后,还需要设置阿里
8、巴巴网站的IP地址,通过PING阿里巴巴中文网站的域名我们可以得到网站服务器对应的IP地址是61.129.44.1 ,因为阿里巴巴网站在外部互联网上,也就是TL-FR5300定义的WAN区域,所以这次新增IP地址的时候一定要先选择WAN区域,然后新增,界面如下图: 或者不设置服务器的IP地址而直接填入阿里巴巴中文网站域名也可以,如下图: 点击“确定”按钮后返回上一级页面,选择“区域”为所有,并点击“显示”按钮,可以看到刚才分别在LAN和WAN区域新增的两个IP地址对象,如下图: 准备好了“对象”以后,我们就可以在“策略”里面进行配置了!因为本策略描述的对象,是张三的电脑主动向阿里巴巴网站发起连
9、接,所以在设置策略的时候一定要注意“区域”的选择是从LANWAN这个方向,配置界面如下: 上图是一个复合的图片: “策略名”建议具备一定的可读性,便于日常维护! “源地址”引用IP地址对象里张三的IP地址。 “目的地址”引用IP地址对象里阿里巴巴网站服务器IP地址。“服务”粉红色勾勒的服务这一行后面的“复选”按钮,点击后弹出下半部分界面,选择了两种服务分别是DNS和HTTP,因为访问阿里巴巴网站前电脑先要联系互联网DNS服务器解析阿里巴巴网站域名对应的IP地址,然后才向这个服务器IP地址发起HTTP请求,也就是登录网站的过程,选择好服务以后点击“确定”按钮,有关“服务”的详细描述,请参考我们的
10、防火墙应用指南系列文档之防火墙应用指南(二)虚拟服务器的搭建。返回策略设置界面如下图: 如上图,策略设置界面的所有“对象”中,只涉及到了基本组成部分也就是红线勾勒的部分,其他可选组成部分的对象都没有涉及,改动后点击确定,返回上一级配置界面,如下图: 就是这样,想要实现“销售部员工张三只能登录阿里巴巴网站”这样目的,通过上面这个设置过程就完成了。看起来篇幅很长,其实熟练设置的时候所需时间是很短的! 2,销售部员工张三上班时间只能登录阿里巴巴网站。 这第2个例子我们在第一个例子的基础上,增加了“上班时间”这个对象,那么是怎样实现这个目的呢?分析:按照在第1个例子中的分析,只要再加上“对象”-“时间
11、表”里面再加入上班时间段就可以了。设置策略的时候,除了第1个例子里面改动的“对象”以外,再多改动一个“时间表”的参数就可以了。设置:增加时间表“对象”,在TL-FR5300设置界面“对象”-“时间表”里面,新增时间表如下图:“时间表名”和“说明”:具备可读性,便于日常维护管理。 “多次”和“单次”:多次表示时间是循环生效的,本周适用下周仍然适用。单次是在开始日期和结束日期这一段时间内一次性生效,超出这个时间段的则不能生效。这里“多次”和“单次”采用了复选框的方式,表示可以同时两项都选择,或者每次选择其中一种方式。注意:如果“多次”和“单次”都选中,则它们的关系是“或”的关系。也就是说,时间表生
12、效时间在“多次”定义的时间段内或者“单次”定义的时间段内。它们是“并集”的关系,而不是“交集”的关系,不可理解为“在单次定义的时间段内的每周一至周六”! 要确保“时间表”这个对象能够生效,有个地方需要注意,就是TL-FR5300配置选项里面的“系统工具”“时间设置”,配置界面如下: 上图中的红色文字已经进行了强调,想要时间表生效,必须从互联网上获取标准的GMT时间或者直接指定一个当前时间。设置好时间后TL-FR5300会一直保存时间,不会因为设备断电而时间失效。好了,上面添加了“时间表”这个对象,然后我们直接在“策略”里面找到刚才设置的从LANWAN的策略,并重新编辑它,如下图: 如上图,在原
13、有策略基础上“时间表”这个对象里面选择了“上班时间”,然后确定就可以了!这样就实现了“销售部员工张三上班时间只能登录阿里巴巴网站”,过程很简单。 3,销售部员工张三和李四上班时间只能登录阿里巴巴网站。分析:上面的例子中,两次配置“策略”引用“源地址”这个对象的时候,都只是引用了张三的IP地址,这次还要再多引用一个销售部员工李四,那只要在TL-FR5300的“对象”-“IP地址”里面将李四的IP地址也设置好,就可以引用了。 配置:如下图在“对象”-“IP地址”里面新增销售部员工李四的IP地址: 一定要注意新增的李四的IP地址要选在LAN这个区域!然后点击“新增”按钮,如下图: 设定完之后点击“确
14、定”按钮就可以了。在TL-FR5300的“对象”里面有个“IP地址组”,就是将已设定的具备相同属性的“IP地址”归并为一组,比如这里将“Sales 张三”和“Sales 李四”归并为一组命名为“Sales”,这样在配置“策略”时候引用“源地址”可以不必张三李四分别引用两次,只需要引用一次“Sales”组就可以了。“IP地址组”设置如下图: 如上图注意新增的区域是“LAN”,具体配置界面如下: “组名”为Sales 。 “说明”为sales group表示销售部。 从“备选”里面选择特定对象添加到“已选”框内,“确定”完成配置,返回上一级页面。如上图看到IP地址组里面多了一个Sales组,包含成
15、员“李四”、“张三”。有了上面这些准备,开始修改前面的“策略”,如下图: “策略名”进行了更改,将以前的Sales zhangsan alibaba 改为现在的Sales alibaba 。 “源地址”由张三的IP改为销售IP地址组Sales 。 其他对象保持之前的状态不变即可,最后点击“确定”按钮即完成了配置,如下图: 可以看到从LAN到WAN的策略里,ID为3的策略正是我们刚刚完成的。 以后如果销售部增加新员工王五,分配了IP为192.168.1.131 ,上网权限和张三、李四都是一样,那只需要在“对象”-“IP地址”里面新增王五的IP地址,然后将新增的王五的IP地址添加到“IP地址组”-Sales这个组里面,不需要改动策略,那么王五的网络权限就和前面几位员工的相同了。4,销售部员工上班时间只能登录阿里巴巴网站。 分析:前面我们举了3个例子,来说明一条简单的策略如何设置?
