防火墙应用指南(二)虚拟服务器的搭建.doc
《防火墙应用指南(二)虚拟服务器的搭建.doc》由会员分享,可在线阅读,更多相关《防火墙应用指南(二)虚拟服务器的搭建.doc(34页珍藏版)》请在冰豆网上搜索。
防火墙应用指南
(一)——基本配置指导思想
注:
阅读本文前,请先详细阅读本文最后的红色部分的提示内容。
一概要介绍
新上市的TL-FR5300防火墙产品,主要有两大功能特点:
“攻击防护”和“策略”。
它还有其他很多功能,在这篇文档里,我们将侧重表述“策略”这一块,其他功能我们另有专门的表述文档。
当您在看这篇文档之前,我们希望您能够先了解一下TL-FR5300的《用户手册》,对TL-FR5300使用过程中涉及的诸多概念有一定的了解。
一般情况下用户购买了TL-FR5300,将其置于本单位网络的出口处,作为内部网络所有主机登录互联网的网关设备,内网主机所有去往互联网的数据都需要流经TL-FR5300,我们对TL-FR5300进行适当配置,就可以对内网主机的上网操作进行灵活的管理。
TL-FR5300处于整个内部网络的出口,默认内部网络(LAN)和外部互联网(WAN)是互通的,但建议将这一条默认策略删除。
当内部网络中某一部分主机需要某上网权限时,网络管理员只需要在TL-FR5300上面给这一部分主机打开相应的上网权限,当内部网络另一部分主机需要另外的上网权限时,管理员只需要在TL-FR5300上打开另一部分上网权限即可。
这就是我们配置TL-FR5300这款防火墙产品时候的基本指导思想——“有需求才开放”。
在使用TL-FR5300的过程中,为了顺利实施上面“有需求才开放”的思想,我们极力建议您的网络是经过规划的——特别是“IP地址”这一部分,因为“IP地址”是互联网中每台主机标示自己的唯一标志,TL-FR5300也是通过“IP地址”实现对主机权限的控制。
具体地说,网络里具备相同网络权限的主机应该从属于一个组,适应不同网络权限的主机从属于不同的组,而我们在规划“IP地址”的时候,既要考虑现有各个组的规模,也要考虑到以后网络的增长,不同网络权限的主机组使用不同的IP地址段,比如下面不同的组使用不同IP地址段:
管理团队:
192.168.1.1~192.168.1.30(192.168.1.0/27)
市场部门:
192.168.1.65~192.168.1.94(192.168.1.64/27)
销售部门:
192.168.1.129~192.168.1.158(192.168.1.128/27)
当配置TL-FR5300时给不同的IP地址段不同的网络权限,那么网络中某台主机使用了什么IP地址就具备了什么网络权限,这就是网络经过规划的好处:
上班时间限制内部网络某台主机只能登录互联网某个网站服务器。
要实现上面的目的,网络管理员通过设置TL-FR5300的“策略”,将上面这个想要实现的目的体现出来就可以。
在这条“策略/规则”设置的过程当中,“内网某主机、互联网某网站服务器、可以登录”这些都属于“策略/规则”的基本组成部分,“上班时间”属于“策略/规则”的可选组成部分。
“策略”可分为基本组成部分和可选组成部分。
基本组成部分有:
信息流的方向、信息流的源地址、信息流的目的地址、禁止/允许通过。
可选组成部分有:
时间、安全认证、流量控制、深层检测、日志等。
在TL-FR5300里面将“策略”的组成部分称之为“对象”,当需要设置一条“策略”的时候,要考虑一下即将设置的“策略”都包含哪些“对象”?
TL-FR5300有专门用于定义“对象”的配置界面,比如策略里面涉及“上班时间”,那么配置策略之前,要先在“对象”-“时间表”里面将“上班时间”体现出来,然后在“策略”配置过程中引用先设定好的“上班时间”这个“对象”,那么这样设置的“策略”才能在“上班时间”生效。
简单的说这就是“策略”和“对象”的关系。
可以说多个不同的“对象”通过组合最后生成了一条“策略”。
TL-FR5300的“策略”可由如下可选“对象”组成:
IP地址、IP地址组、服务、服务组、动作、时间表、应用、深层检测、网络地址转换、用户认证、QoS控制、URL过滤、日志。
二举例以及说明
下面我们通过一些简单的“策略”设置过程,来详细地描述“策略”和“对象”是一个怎样的关系?
它们是怎样使用的?
1,销售部员工张三只能登录阿里巴巴网站。
分析:
通过设置TL-FR5300的“策略”实现上面的目的,这条“策略”包含的“对象”有:
张三(使用的IP地址)、阿里巴巴(网站服务器IP地址)、可以登录(网站)。
设置:
设置过程分两部分,分别是设置“对象”和“策略”,设置“对象”是为了“策略”引用它,设置“策略”是为了最终实现我们的限制目的。
如上图选择了“对象”-“IP地址”,设置界面如下图:
如上图要在“区域”选择LAN,因为张三处于公司内网也就是TL-FR5300定义的LAN区域,选择后点击“新增”按钮,界面如下图:
如上图:
“IP地址名字”建议具备可读性,张三是销售部员工,这里取为“Sales–张三”。
“说明”是对本IP地址的简单解释说明。
给张三配置的IP地址为192.168.1.129。
“子网掩码”填为32表示这里是单个IP地址。
设置完后点击确定按钮返回上一级界面如下图:
在“对象”里设置完了张三的IP地址后,还需要设置阿里巴巴网站的IP地址,通过PING阿里巴巴中文网站的域名我们可以得到网站服务器对应的IP地址是61.129.44.1,因为阿里巴巴网站在外部互联网上,也就是TL-FR5300定义的WAN区域,所以这次新增IP地址的时候一定要先选择WAN区域,然后新增,界面如下图:
或者不设置服务器的IP地址而直接填入阿里巴巴中文网站域名也可以,如下图:
点击“确定”按钮后返回上一级页面,选择“区域”为所有,并点击“显示”按钮,可以看到刚才分别在LAN和WAN区域新增的两个IP地址对象,如下图:
准备好了“对象”以后,我们就可以在“策略”里面进行配置了!
因为本策略描述的对象,是张三的电脑主动向阿里巴巴网站发起连接,所以在设置策略的时候一定要注意“区域”的选择是从LAN——>WAN这个方向,配置界面如下:
上图是一个复合的图片:
“策略名”建议具备一定的可读性,便于日常维护!
“源地址”引用IP地址对象里张三的IP地址。
“目的地址”引用IP地址对象里阿里巴巴网站服务器IP地址。
“服务”粉红色勾勒的服务这一行后面的“复选”按钮,点击后弹出下半部分界面,选择了两种服务分别是DNS和HTTP,因为访问阿里巴巴网站前电脑先要联系互联网DNS服务器解析阿里巴巴网站域名对应的IP地址,然后才向这个服务器IP地址发起HTTP请求,也就是登录网站的过程,选择好服务以后点击“确定”按钮,有关“服务”的详细描述,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南
(二)——虚拟服务器的搭建》。
返回策略设置界面如下图:
如上图,策略设置界面的所有“对象”中,只涉及到了基本组成部分也就是红线勾勒的部分,其他可选组成部分的对象都没有涉及,改动后点击确定,返回上一级配置界面,如下图:
就是这样,想要实现“销售部员工张三只能登录阿里巴巴网站”这样目的,通过上面这个设置过程就完成了。
看起来篇幅很长,其实熟练设置的时候所需时间是很短的!
2,销售部员工张三上班时间只能登录阿里巴巴网站。
这第2个例子我们在第一个例子的基础上,增加了“上班时间”这个对象,那么是怎样实现这个目的呢?
分析:
按照在第1个例子中的分析,只要再加上“对象”-“时间表”里面再加入上班时间段就可以了。
设置策略的时候,除了第1个例子里面改动的“对象”以外,再多改动一个“时间表”的参数就可以了。
设置:
增加时间表“对象”,在TL-FR5300设置界面“对象”-“时间表”里面,新增时间表如下图:
“时间表名”和“说明”:
具备可读性,便于日常维护管理。
“多次”和“单次”:
多次表示时间是循环生效的,本周适用下周仍然适用。
单次是在开始日期和结束日期这一段时间内一次性生效,超出这个时间段的则不能生效。
这里“多次”和“单次”采用了复选框的方式,表示可以同时两项都选择,或者每次选择其中一种方式。
注意:
如果“多次”和“单次”都选中,则它们的关系是“或”的关系。
也就是说,时间表生效时间在“多次”定义的时间段内或者“单次”定义的时间段内。
它们是“并集”的关系,而不是“交集”的关系,不可理解为“在单次定义的时间段内的每周一至周六”!
要确保“时间表”这个对象能够生效,有个地方需要注意,就是TL-FR5300配置选项里面的“系统工具”—“时间设置”,配置界面如下:
上图中的红色文字已经进行了强调,想要时间表生效,必须从互联网上获取标准的GMT时间或者直接指定一个当前时间。
设置好时间后TL-FR5300会一直保存时间,不会因为设备断电而时间失效。
好了,上面添加了“时间表”这个对象,然后我们直接在“策略”里面找到刚才设置的从LAN—>WAN的策略,并重新编辑它,如下图:
如上图,在原有策略基础上“时间表”这个对象里面选择了“上班时间”,然后确定就可以了!
这样就实现了“销售部员工张三上班时间只能登录阿里巴巴网站”,过程很简单。
3,销售部员工张三和李四上班时间只能登录阿里巴巴网站。
分析:
上面的例子中,两次配置“策略”引用“源地址”这个对象的时候,都只是引用了张三的IP地址,这次还要再多引用一个销售部员工李四,那只要在TL-FR5300的“对象”-“IP地址”里面将李四的IP地址也设置好,就可以引用了。
配置:
如下图在“对象”-“IP地址”里面新增销售部员工李四的IP地址:
一定要注意新增的李四的IP地址要选在LAN这个区域!
然后点击“新增”按钮,如下图:
设定完之后点击“确定”按钮就可以了。
在TL-FR5300的“对象”里面有个“IP地址组”,就是将已设定的具备相同属性的“IP地址”归并为一组,比如这里将“Sales–张三”和“Sales–李四”归并为一组命名为“Sales”,这样在配置“策略”时候引用“源地址”可以不必张三李四分别引用两次,只需要引用一次“Sales”组就可以了。
“IP地址组”设置如下图:
如上图注意新增的区域是“LAN”,具体配置界面如下:
“组名”为Sales。
“说明”为salesgroup表示销售部。
从“备选”里面选择特定对象添加到“已选”框内,“确定”完成配置,返回上一级页面。
如上图看到IP地址组里面多了一个Sales组,包含成员“李四”、“张三”。
有了上面这些准备,开始修改前面的“策略”,如下图:
“策略名”进行了更改,将以前的Sales–zhangsan–alibaba改为现在的Sales–alibaba。
“源地址”由张三的IP改为销售IP地址组Sales。
其他对象保持之前的状态不变即可,最后点击“确定”按钮即完成了配置,如下图:
可以看到从LAN到WAN的策略里,ID为3的策略正是我们刚刚完成的。
以后如果销售部增加新员工王五,分配了IP为192.168.1.131,上网权限和张三、李四都是一样,那只需要在“对象”-“IP地址”里面新增王五的IP地址,然后将新增的王五的IP地址添加到“IP地址组”-Sales这个组里面,不需要改动策略,那么王五的网络权限就和前面几位员工的相同了。
4,销售部员工上班时间只能登录阿里巴巴网站。
分析:
前面我们举了3个例子,来说明一条简单的策略如何设置?
升级会员 