完整word版防火墙访问控制规则配置教案.docx
《完整word版防火墙访问控制规则配置教案.docx》由会员分享,可在线阅读,更多相关《完整word版防火墙访问控制规则配置教案.docx(20页珍藏版)》请在冰豆网上搜索。
完整word版防火墙访问控制规则配置教案
访问控制规则配置
访问规则描述了网络卫士防火墙允许或禁止匹配访问控制规则的报文通过。
防火墙接收到报文后,将顺序匹配访问规则表中所设定规则。
一旦寻找到匹配的规则,则按照该策略所规定的操作(允许或丢弃)处理该报文,不再进行区域缺省属性的检查。
如果不存在可匹配的访问策略,网络卫士防火墙将根据目的接口所在区域的缺省属性(允许访问或禁止访问),处理该报文。
在进行访问控制规则查询之前,网络卫士防火墙将首先查询数据包是否符合目的地址转换规则。
如果符合目的地址转换规则,网络卫士防火墙将把接收的报文的目的IP地址转换为预先设置的IP地址(一般为真实IP)。
因此在进行访问规则设置时,系统一般采用的是真实的源和目的地址(转换后目的地址)来设置访问规则;同时,系统也支持按照转换前的目的地址设置访问规则,此时,报文将按照转换前的目的地址匹配访问控制规则。
根据源、目的配置访问控制规则
基本需求
系统可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配,访问控制规则的源和目的既可以是已经定义好的VLAN或区域,也可以细化到一个或多个地址资源以及用户组资源。
与包过滤策略相同,访问控制规则也是顺序匹配的,系统首先检查是否与包过滤策略匹配,如果匹配到包过滤策略后将停止访问控制规则检查。
但与包过滤策略不同的是访问控制规则没有默认规则。
也就是说,如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话,系统将根据目的接口所在区域的缺省属性(允许访问或禁止访问)处理该报文。
案例:
某企业的网络结构示意图如下图所示,网络卫士防火墙工作在混合模式。
Eth0口属于内网区域(area_eth0),为交换trunk接口,同时属于VLAN.0001和VLAN.0002,vlan.0001IP地址为192.168.1.1,连接研发部门文档组所在的内网(192.168.1.0/24);vlan.0002IP地址为192.168.2.1,连接研发部门项目组所在的内网(192.168.2.0/24)。
图25根据源、目的进行访问控制示意图
Eth1口IP地址为192.168.100.140,属于外网area_eth1区域,公司通过与防火墙Eth1口相连的路由器连接外网。
Eth2口属于area_eth2区域,为路由接口,其IP地址为172.16.1.1,为信息管理部所在区域,有多台服务器,其中Web服务器的IP地址:
172.16.1.3。
用户要求如下:
内网文档组的机器可以上网,允许项目组领导上网,禁止项目组普通员工上网。
外网和area_eth2区域的机器不能访问研发部门内网;
内外网用户均可以访问area_eth2区域的WEB服务器。
配置要点
设置区域对象的缺省访问权限:
area_eth0、area_eth2为禁止访问,area_eth1为允许访问。
定义源地址转换规则,保证内网用户能够访问外网;定义目的地址转换规则,使得外网用户可以访问area_eth2区域的WEB服务器。
定义访问控制规则,禁止项目组除领导外的普通员工上网,允许内网和外网用户访问area_eth2区域的WEB服务器。
WebUI配置步骤
1)设定物理接口eth1和eth2的IP地址。
选择网络管理>接口,激活“物理接口”页签,然后点击Eth1、Eth2端口后的“设
置”字段图标,添加接口的IP地址。
如下图所示。
2)添加VLAN虚接口,设定VLAN的IP地址,再选择相应的物理接口加入到已添
加的VLAN中。
a)选择网络管理>二层网络,激活“VLAN”页签,然后点击“添加/删除VLAN
范围”,如下图所示。
b)设定VLAN虚接口的IP地址。
点击VLAN虚接口的“修改”字段图标,在弹出界面中设置VLAN.0001的IP为:
192.168.1.1,掩码为:
255.255.255.0;VLAN.0002的IP为:
192.168.2.1,掩码为:
255.255.255.0。
如下图所示。
c)设定VLAN和物理接口的关系。
选择网络管理>接口,激活“物理接口”页签,然后点击eth0接口后的“设置”
字段图标,设置接口信息,如下图所示。
3)定义主机、子网地址对象。
a)选择资源管理>地址,选择“主机”页签,定义主机地址资源。
定义WEB服
务器主机名称设为172.16.1.3,IP为172.16.1.3;定义虚拟WEB服务器(即WEB服务器
的在外网区域的虚拟IP地址)主机名称设为192.168.100.143,IP为192.168.100.143;定义
接口主机地址资源192.168.100.140(也可以是其他字符串),主机名称设为192.168.100.140,
IP为192.168.100.140;定义文档服务器,主机名称设为doc_server,IP为10.10.10.3。
定义
完成后的界面如下图所示:
b)选择资源管理>地址,选择“子网”页签,点击“添加”定义子网地址资源。
资源名称rd_group,以及网络地址192.168.2.0、子网掩码255.255.255.0以及排除领导地
址:
10.10.11.2和10.10.11.3。
4)定义区域资源的访问权限(整个区域是否允许访问)。
选择资源管理>区域,设定外网区域area_eth1的缺省属性为“允许”访问,内网
区域area_eth0和area_eth2的缺省属性为“禁止”访问。
以area_eth1为例,设置界面如
下图所示。
设置完成后的界面如下图所示。
5)选择防火墙>地址转换,定义地址转换规则。
a)定义源地址转换规则,使得内网用户能够访问外网:
选择“源转换”。
①选择“源”页签,参数设置如下图所示。
不设置参数,表示不对报文的源进行限
制。
②选择“目的”页签,参数设置如下图所示。
③选择“服务”页签,参数设置如下图所示。
转换源地址对象为“192.168.100.140”。
设置完成后的规则如下图所示。
b)定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2区域
的WEB服务器。
选择“目的转换”
①选择“源”页签,设置参数如下图所示。
不设置参数,表示不对报文的源进行限
制。
②选择“目的”页签,设置参数如下图所示。
③选择“服务”页签,设置参数如下图所示。
“目的地址转换”为地址资源“172.16.1.3”。
设置完成后的界面如下图所示。
6)选择菜单防火墙>访问控制,定义访问控制规则。
a)允许内网和外网用户均可以访问WEB服务器
由于Web服务器所在的area_eth2区域禁止访问,所以要允许内网和外网用户均可以
访问Web服务器,需要定义访问控制规则如下。
①选择“源”页签,参数设置如下图所示。
源VLAN和源区域不选择,表示不对区域加以限制;
②选择“目的”页签,参数设置如下图所示。
③选择“服务”页签,参数设置如下图所示。
b)允许项目组领导访问外网,禁止项目组普通员工rd_group访问外网。
由于外网区域允许访问,所以需要添加禁止访问外网的规则如下:
①选择“源”页签,参数设置如下图所示。
②选择“目的”页签设置如下图所示。
③选择“服务”页签,参数设置如下图所示。
CLI配置步骤
1)设定物理接口eth1和eth2的IP地址。
#networkinterfaceeth1ipadd192.168.100.140mask255.255.255.0
#networkinterfaceeth2ipadd172.16.1.1mask255.255.255.0
2)添加VLAN虚接口,设定VLAN的IP地址,再选择相应的物理接口加入到已添
加的VLAN中。
#networkvlanaddrange1,2
#networkinterfacevlan.0001ipadd192.168.1.1mask255.255.255.0
#networkinterfacevlan.0002ipadd192.168.2.1mask255.255.255.0
#networkinterfaceeth0switchporttrunkallowed-vlan1,2native-vlan1encapsulation
dotlq
3)定义主机、子网地址资源。
#definehostaddname172.16.1.3ipaddr172.16.1.3
#definehostaddname192.168.100.143ipaddr192.168.100.143
#definehostaddnamedoc_serveripaddr10.10.10.3
#definesubnetaddnamerd_groupipaddr192.168.2.0mask255.255.255.0except
‘10.10.11.210.10.11.3’
4)设置区域资源的缺省访问权限:
area_eth0、area_eth2为禁止访问,area_eth1为允
许访问(缺省权限,无需再设定)。
#defineareaaddnamearea_eth0accessoffattributeeth0(不允许访问内网)
#defineareaaddnamearea_eth2accessoffattributeeth2(不允许访问内网)
5)定义地址转换规则。
定义源地址转换规则,使得内网用户能够访问外网。
#natpolicyadddstareaarea_eth1trans_src192.168.100.140
定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2区域的
WEB服务器。
#natpolicyaddorig_dst192.168.100.143orig_serviceHTTPtrans_dst172.16.1.3
6)定义访问控制规则。
允许内网和外网用户均可以访问WEB服务器
#firewallpolicyaddactionacceptdstareaarea_eth2dst172.16.1.3serviceHTTP
允许项目组领导访问外网,禁止项目组普通员工访问外网
#firewallpolicyaddactiondenysrcareaarea_eth0srcvlanvlan.0002srcrd_group
dstareaarea_eth0serviceHTTP
注意事项
1)目的地址需要选择WEB服务器的真实IP地址,因为防火墙要先对数据包进行目
的地址转换处理,当内网用户利用http:
//192.168.100.143访问SSN区域的Web服务器时,
由于符合NAT目的地址转换规则,所以数据包的目的地址将被转换为172.16.1.3。
然后才
进行访问规则查询,此时只有设定为WEB服务器的真实IP地址才能达到内网用户访问
SSN区域WEB服务器的目的。
网络卫士系列防火墙处理数据包的流程请参考用户手册相
关章节。
2)定义目的地址转换规则时,不能选择目的区域与目的VLAN。
根据源端口配置访问控制规则
基本需求
案例:
某银行系统应用软件使用特定的端