防火墙访问控制规则配置教案Word格式.docx
《防火墙访问控制规则配置教案Word格式.docx》由会员分享,可在线阅读,更多相关《防火墙访问控制规则配置教案Word格式.docx(19页珍藏版)》请在冰豆网上搜索。
定义源地址转换规则,保证内网用户能够访问外网;
定义目的地址转换规则,使得外网用户可以访问area_eth2区域的WEB服务器。
定义访问控制规则,禁止项目组除领导外的普通员工上网,允许内网和外网用户访问area_eth2区域的WEB服务器。
WebUI配置步骤
1)设定物理接口eth1和eth2的IP地址。
选择网络管理>
接口,激活“物理接口”页签,然后点击Eth1、Eth2端口后的“设
置”字段图标,添加接口的IP地址。
如下图所示。
2)添加VLAN虚接口,设定VLAN的IP地址,再选择相应的物理接口加入到已添
加的VLAN中。
a)选择网络管理>
二层网络,激活“VLAN”页签,然后点击“添加/删除VLAN
范围”,如下图所示。
b)设定VLAN虚接口的IP地址。
点击VLAN虚接口的“修改”字段图标,在弹出界面中设置VLAN.0001的IP为:
192.168.1.1,掩码为:
255.255.255.0;
VLAN.0002的IP为:
192.168.2.1,掩码为:
255.255.255.0。
c)设定VLAN和物理接口的关系。
接口,激活“物理接口”页签,然后点击eth0接口后的“设置”
字段图标,设置接口信息,如下图所示。
3)定义主机、子网地址对象。
a)选择资源管理>
地址,选择“主机”页签,定义主机地址资源。
定义WEB服
务器主机名称设为172.16.1.3,IP为172.16.1.3;
定义虚拟WEB服务器(即WEB服务器
的在外网区域的虚拟IP地址)主机名称设为192.168.100.143,IP为192.168.100.143;
定义
接口主机地址资源192.168.100.140(也可以是其他字符串),主机名称设为192.168.100.140,
IP为192.168.100.140;
定义文档服务器,主机名称设为doc_server,IP为10.10.10.3。
完成后的界面如下图所示:
b)选择资源管理>
地址,选择“子网”页签,点击“添加”定义子网地址资源。
资源名称rd_group,以及网络地址192.168.2.0、子网掩码255.255.255.0以及排除领导地
址:
10.10.11.2和10.10.11.3。
4)定义区域资源的访问权限(整个区域是否允许访问)。
选择资源管理>
区域,设定外网区域area_eth1的缺省属性为“允许”访问,内网
区域area_eth0和area_eth2的缺省属性为“禁止”访问。
以area_eth1为例,设置界面如
下图所示。
设置完成后的界面如下图所示。
5)选择防火墙>
地址转换,定义地址转换规则。
a)定义源地址转换规则,使得内网用户能够访问外网:
选择“源转换”。
①选择“源”页签,参数设置如下图所示。
不设置参数,表示不对报文的源进行限
制。
②选择“目的”页签,参数设置如下图所示。
③选择“服务”页签,参数设置如下图所示。
转换源地址对象为“192.168.100.140”。
设置完成后的规则如下图所示。
b)定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2区域
的WEB服务器。
选择“目的转换”
①选择“源”页签,设置参数如下图所示。
②选择“目的”页签,设置参数如下图所示。
③选择“服务”页签,设置参数如下图所示。
“目的地址转换”为地址资源“172.16.1.3”。
6)选择菜单防火墙>
访问控制,定义访问控制规则。
a)允许内网和外网用户均可以访问WEB服务器
由于Web服务器所在的area_eth2区域禁止访问,所以要允许内网和外网用户均可以
访问Web服务器,需要定义访问控制规则如下。
源VLAN和源区域不选择,表示不对区域加以限制;
b)允许项目组领导访问外网,禁止项目组普通员工rd_group访问外网。
由于外网区域允许访问,所以需要添加禁止访问外网的规则如下:
②选择“目的”页签设置如下图所示。
CLI配置步骤
#networkinterfaceeth1ipadd192.168.100.140mask255.255.255.0
#networkinterfaceeth2ipadd172.16.1.1mask255.255.255.0
#networkvlanaddrange1,2
#networkinterfacevlan.0001ipadd192.168.1.1mask255.255.255.0
#networkinterfacevlan.0002ipadd192.168.2.1mask255.255.255.0
#networkinterfaceeth0switchporttrunkallowed-vlan1,2native-vlan1encapsulation
dotlq
3)定义主机、子网地址资源。
#definehostaddname172.16.1.3ipaddr172.16.1.3
#definehostaddname192.168.100.143ipaddr192.168.100.143
#definehostaddnamedoc_serveripaddr10.10.10.3
#definesubnetaddnamerd_groupipaddr192.168.2.0mask255.255.255.0except
‘10.10.11.210.10.11.3’
4)设置区域资源的缺省访问权限:
area_eth0、area_eth2为禁止访问,area_eth1为允
许访问(缺省权限,无需再设定)。
#defineareaaddnamearea_eth0accessoffattributeeth0(不允许访问内网)
#defineareaaddnamearea_eth2accessoffattributeeth2(不允许访问内网)
5)定义地址转换规则。
定义源地址转换规则,使得内网用户能够访问外网。
#natpolicyadddstareaarea_eth1trans_src192.168.100.140
定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2区域的
WEB服务器。
#natpolicyaddorig_dst192.168.100.143orig_serviceHTTPtrans_dst172.16.1.3
6)定义访问控制规则。
允许内网和外网用户均可以访问WEB服务器
#firewallpolicyaddactionacceptdstareaarea_eth2dst172.16.1.3serviceHTTP
允许项目组领导访问外网,禁止项目组普通员工访问外网
#firewallpolicyaddactiondenysrcareaarea_eth0srcvlanvlan.0002srcrd_group
dstareaarea_eth0serviceHTTP
注意事项
1)目的地址需要选择WEB服务器的真实IP地址,因为防火墙要先对数据包进行目
的地址转换处理,当内网用户利用http:
//192.168.100.143访问SSN区域的Web服务器时,
由于符合NAT目的地址转换规则,所以数据包的目的地址将被转换为172.16.1.3。
然后才
进行访问规则查询,此时只有设定为WEB服务器的真实IP地址才能达到内网用户访问
SSN区域WEB服务器的目的。
网络卫士系列防火墙处理数据包的流程请参考用户手册相
关章节。
2)定义目的地址转换规则时,不能选择目的区域与目的VLAN。
根据源端口配置访问控制规则
某银行系统应用软件使用特定的端口进行业务主机与服务器间的数据通信,为
了保证数据及设备的安全,禁止其他对于业务主机和服务器的访问。
网络结构示意图如下所示。
图26根据源端口进行访问控制示意图
业务主机可以使用特殊端口访问服务器,不能使用其他端口。
业务主机区域和服务器
区域禁止其他类型的访问。
定义区域:
area_eth1、area_eth2。
定义服务端口:
FS_port
设置访问控制规则
1)定义区域area_eth1为禁止访问,并与属性eth1绑定。
区域,点击“添加”,如下图所示。
2)定义区域area_eth2为禁止访问,并与属性eth2绑定。
具体操作与area_eth1相似,请参考area_eth1的定义过程完成。
3)定义服务端口
由于系统使用的通信端口是:
4500,不是通常使用的协议端口,在设置规则前需要自
定义端口。
服务,激活“自定义服务”页签,进入自定义服务页面。
点击右
侧“添加”,如下图所示。
选择类型:
TCP,设置名称:
FS_port,服务器实际使用的端口:
4500。
完成后点击“确
定”按钮。
4)定义访问控制规则
该规则为来自area_eth1区域使用源端口为4500的数据包允许通过防火墙访问
area_eth2区域。
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,参数设置如下图所示。
c)选择“服务”页签,参数设置如下图所示。
d)选择“选项”页签设置参数如下。
由于所使用的软件系统所建立的连接需要长时期保持,在“连接选项”中选择“长连
接”,根据需要选择“日志记录”。
点击“确定”完成ACL规则设置。
1)定义区域:
area_eth1、area_eth2
#defineareaaddnamearea_eth1accessoffattributeeth1
#defineareaaddnamearea_eth2accessoffattributeeth2
2)定义服务端口:
#defineserviceaddnameFS_portprotocol6port4500
3)设置访问控制规则
#firewallpolicyaddactionacceptsrcareaarea_eth1dstareaarea_eth2sportFS_port
permanentyeslogonenableyes
由于环境所限此案例未能进行实际测试,仅供参考使用。
根据特定服务配置访问控制规则
在进行访问控制规则的设置时,可以对用户所能访问的服务进行控制,系统预定义了
可控制的常见服务,可以实现二到七层的访问控制,用户也可以自定义服务进行访问控制。
某企业网络被防火墙化分为三个区域area_eth0、area_eth1和area_eth2,三个
区域分别与接口Eth0、Eth1和Eth2绑定,area_eth0连接外网,允许用户访问,area_eth1
和area_eth2区域禁止用户访问。
服务器位于area_eth1,IP地址为192.168.100.140,内网
位于area_eth2,网络地址为192.168.101.0。
企业的网络结构如下图所示。
要求:
允许内网用户访问服务器的TELNET、SSH、FTP和Web_port服务,其中Web_port
服务为自定义服务,端口号为8080;
但不能访问Eth1口的其他服务器和其他服务。
不允许外网用户访问Eth1口服务器的TELNET和SSH服务。
图27根据服务设置访问控制规则示意图
定义区域和地址资源
定义服务资源
定义服务组资源
1)定义区域和地址资源
a)定义区域资源area_eth0、area_eth1和area_eth2,分别与Eth0、Eth1和Eth2绑定。
区域权限均为“允许”。
区域,点击“添加”添加区域资源,界面如下图。
①添加区域area_eth0。
②添加区域area_eth1。
③添加区域area_eth2。
服务热线:
8008105119183
设置完成后界面如下图所示。
b)定义IP地址资源
地址,选择“主机”页签,点击“添加”,如下图所示。
c)定义子网资源
地址,选择“子网”页签,点击“添加”,如下图所示。
2)设置自定义服务
服务,激活“自定义服务”页签,配置自定义服务“Web_port”
3)设置服务组资源
服务,激活“服务组”页签,配置服务组“内网访问服务”如下
图所示。
本例中服务组名称为“内网访问服务”,包括“Web_port、SSH、TELNET、FTP”。
4)设置访问控制规则。
由于服务器所在区域area_eth1禁止访问,所以只要定义允许
访问的规则即可。
a)设置允许内网area_eth2的网段为192.168.101.0/24的用户访问area_eth1的服务器
(192.168.100.140)SSH、TELNET、FTP以及8080端口服务的访问控制规则
选择防火墙>
访问控制,点击“添加”按钮,设置访问控制规则。
8008105119187
8008105119188
设置完成的ACL规则如下图所示。
b)设置仅允许外网区域(area_eth0)的用户访问服务器的8080端口的服务访问控制
规则。
8008105119189
②选择“目的”页签,参数设置如下图。
8008105119190
③选择“服务”页签,参数设置如下图。
8008105119191
设置完成后的ACL规则如下图所示。
1)定义区域资源
#defineareaaddnamearea_eth0accessonattributeeth0
#defineareaaddnamearea_eth1accessonattributeeth1
#defineareaaddnamearea_eth2accessonattributeeth2
2)定义主机和子网地址资源
#definehostaddname192.168.100.140ipaddr192.168.100.140
#definehostsubnetaddname内网ipaddr192.168.101.0mask255.255.255.0
3)设置自定义服务,服务名为Web_port,端口号为8080。
#difineserviceaddnameWeb_portprotocoltcpport8080
4)设置服务组资源,组名称为“内网访问服务”,包括Web_port、FTP、TELNET
和SSH服务。
#difinegroup_serviceaddname内网访问服务memberWeb_port,FTP,TELNET,SSH
5)设置访问控制规则
a)区域“area_eth2”的子网对象“内网”(192.168.101.0/24)允许访问区域“area_eth1”
的服务器的Web_port、FTP、TELNET和SSH服务(有自定义服务组“内网访问服务”绑
定),服务器的IP地址为192.168.100.140。
#firewallpolicyaddactionacceptsrcareaarea_eth2dstareaarea_eth1src内网dst
192.168.100.140service内网访问服务enableyes
8008105119192
b)设置仅允许外网用户访问服务器192.168.100.140的8080端口的服务访问控制规
则。
#firewallpolicyaddactionacceptsrcareaarea_eth0dstareaarea_eth1dst
192.168.100.140serviceWeb_portenableyes
如果只允许开放某些服务,其他服务均被禁止,可以设置目的区域的默认访问权限为
“禁止”,系统在匹配完访问控制规则后将自动匹配区域的默认访问权限。
根据转换前目的地址配置访问控制规则
背景:
某企业的WEB服务器(IP:
192.168.83.56)通过防火墙将其IP地址MAP为
202.45.56.5对外提供WEB服务。
WEB服务器连在防火墙的Eth1口(IP:
192.168.83.2),
且防火墙通过Eth0口(IP:
202.45.56.3)与Internet相连,如下图所示。
图28根据转换前目的进行访问控制示意图
需求:
为了保护企业网络的安全,网关Eth1接口所属的区域area_eth1设置为禁止访
问,要求Internet用户只可访问企业WEB服务器的HTTP服务,要求用WEB服务器的
MAP地址202.45.56.5作访问控制。
8008105119193
定义主机地址资源
定义地址转换策略
定义访问控制规则
1)将防火墙的Eth1口所属区域的默认访问权限设置为“禁止”。
区域,点击“添加”,如下图。
2)定义WEB服务器主机地址资源R-WebServer和虚拟主机对象V-WebServer。
地址,激活“主机”页签,定义主机地址资源R-WebServer和
V-WebServer。
定义R-WebServer主机地址资源图。
8008105119194
定义V-WebServer主机地址资源图。
3)定义地址转换规则。
地址转换,并在右侧界面中点击“添加”定义目的地址转换规则。
选择“目的转换”。
a)选择“源”页签,设置参数如下图。
8008105119195
b)选择“目的”页签,参数设置如下。
8008105119196
c)选择“服务”页签,参数设置如下。
设置完成后的目的NAT规则如下图所示。
访问控制,并在右侧界面中点击“添加”定义访问控制规则。
8008105119197
b)选择“目的”页签,设置根据转换前的目的地址进行访问控制。
参数设置如下。
8008105119198
8008105119199
至此,WEBUI方式的配置完成。
#defineareaaddnamearea_e
升级会员 