防火墙访问控制规则配置教案.docx
《防火墙访问控制规则配置教案.docx》由会员分享,可在线阅读,更多相关《防火墙访问控制规则配置教案.docx(19页珍藏版)》请在冰豆网上搜索。
防火墙访问控制规则配置教案
访问控制规则配置
访问规则描述了网络卫士防火墙允许或禁止匹配访问控制规则的报文通过。
防火墙接收到报文后,将顺序匹配访问规则表中所设定规则。
一旦寻找到匹配的规则,则按照该策略所规定的操作(允许或丢弃)处理该报文,不再进行区域缺省属性的检查。
如果不存在可匹配的访问策略,网络卫士防火墙将根据目的接口所在区域的缺省属性(允许访问或禁止访问),处理该报文。
在进行访问控制规则查询之前,网络卫士防火墙将首先查询数据包是否符合目的地址转换规则。
如果符合目的地址转换规则,网络卫士防火墙将把接收的报文的目的IP地址转换为预先设置的IP地址(一般为真实IP)。
因此在进行访问规则设置时,系统一般采用的是真实的源和目的地址(转换后目的地址)来设置访问规则;同时,系统也支持按照转换前的目的地址设置访问规则,此时,报文将按照转换前的目的地址匹配访问控制规则。
根据源、目的配置访问控制规则
基本需求
系统可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配,访问控制规则的源和目的既可以是已经定义好的VLAN或区域,也可以细化到一个或多个地址资源以及用户组资源。
与包过滤策略相同,访问控制规则也是顺序匹配的,系统首先检查是否与包过滤策略匹配,如果匹配到包过滤策略后将停止访问控制规则检查。
但与包过滤策略不同的是访问控制规则没有默认规则。
也就是说,如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话,系统将根据目的接口所在区域的缺省属性(允许访问或禁止访问)处理该报文。
案例:
某企业的网络结构示意图如下图所示,网络卫士防火墙工作在混合模式。
Eth0口属于内网区域(area_eth0),为交换trunk接口,同时属于VLAN.0001和VLAN.0002,vlan.0001IP地址为192.168.1.1,连接研发部门文档组所在的内网(192.168.1.0/24);vlan.0002IP地址为192.168.2.1,连接研发部门项目组所在的内网(192.168.2.0/24)。
图25根据源、目的进行访问控制示意图
Eth1口IP地址为192.168.100.140,属于外网area_eth1区域,公司通过与防火墙Eth1口相连的路由器连接外网。
Eth2口属于area_eth2区域,为路由接口,其IP地址为172.16.1.1,为信息管理部所在区域,有多台服务器,其中Web服务器的IP地址:
172.16.1.3。
用户要求如下:
内网文档组的机器可以上网,允许项目组领导上网,禁止项目组普通员工上网。
外网和area_eth2区域的机器不能访问研发部门内网;
内外网用户均可以访问area_eth2区域的WEB服务器。
配置要点
设置区域对象的缺省访问权限:
area_eth0、area_eth2为禁止访问,area_eth1为允许访问。
定义源地址转换规则,保证内网用户能够访问外网;定义目的地址转换规则,使得外网用户可以访问area_eth2区域的WEB服务器。
定义访问控制规则,禁止项目组除领导外的普通员工上网,允许内网和外网用户访问area_eth2区域的WEB服务器。
WebUI配置步骤
1)设定物理接口eth1和eth2的IP地址。
选择网络管理>接口,激活“物理接口”页签,然后点击Eth1、Eth2端口后的“设
置”字段图标,添加接口的IP地址。
如下图所示。
2)添加VLAN虚接口,设定VLAN的IP地址,再选择相应的物理接口加入到已添
加的VLAN中。
a)选择网络管理>二层网络,激活“VLAN”页签,然后点击“添加/删除VLAN
范围”,如下图所示。
b)设定VLAN虚接口的IP地址。
点击VLAN虚接口的“修改”字段图标,在弹出界面中设置VLAN.0001的IP为:
192.168.1.1,掩码为:
255.255.255.0;VLAN.0002的IP为:
192.168.2.1,掩码为:
255.255.255.0。
如下图所示。
c)设定VLAN和物理接口的关系。
选择网络管理>接口,激活“物理接口”页签,然后点击eth0接口后的“设置”
字段图标,设置接口信息,如下图所示。
3)定义主机、子网地址对象。
a)选择资源管理>地址,选择“主机”页签,定义主机地址资源。
定义WEB服
务器主机名称设为172.16.1.3,IP为172.16.1.3;定义虚拟WEB服务器(即WEB服务器
的在外网区域的虚拟IP地址)主机名称设为192.168.100.143,IP为192.168.100.143;定义
接口主机地址资源192.168.100.140(也可以是其他字符串),主机名称设为192.168.100.140,
IP为192.168.100.140;定义文档服务器,主机名称设为doc_server,IP为10.10.10.3。
定义
完成后的界面如下图所示:
b)选择资源管理>地址,选择“子网”页签,点击“添加”定义子网地址资源。
资源名称rd_group,以及网络地址192.168.2.0、子网掩码255.255.255.0以及排除领导地
址:
10.10.11.2和10.10.11.3。
4)定义区域资源的访问权限(整个区域是否允许访问)。
选择资源管理>区域,设定外网区域area_eth1的缺省属性为“允许”访问,内网
区域area_eth0和area_eth2的缺省属性为“禁止”访问。
以area_eth1为例,设置界面如
下图所示。
设置完成后的界面如下图所示。
5)选择防火墙>地址转换,定义地址转换规则。
a)定义源地址转换规则,使得内网用户能够访问外网:
选择“源转换”。
①选择“源”页签,参数设置如下图所示。
不设置参数,表示不对报文的源进行限
制。
②选择“目的”页签,参数设置如下图所示。
③选择“服务”页签,参数设置如下图所示。
转换源地址对象为“192.168.100.140”。
设置完成后的规则如下图所示。
b)定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2区域
的WEB服务器。
选择“目的转换”
①选择“源”页签,设置参数如下图所示。
不设置参数,表示不对报文的源进行限
制。
②选择“目的”页签,设置参数如下图所示。
③选择“服务”页签,设置参数如下图所示。
“目的地址转换”为地址资源“172.16.1.3”。
设置完成后的界面如下图所示。
6)选择菜单防火墙>访问控制,定义访问控制规则。
a)允许内网和外网用户均可以访问WEB服务器
由于Web服务器所在的area_eth2区域禁止访问,所以要允许内网和外网用户均可以
访问Web服务器,需要定义访问控制规则如下。
①选择“源”页签,参数设置如下图所示。
源VLAN和源区域不选择,表示不对区域加以限制;
②选择“目的”页签,参数设置如下图所示。
③选择“服务”页签,参数设置如下图所示。
b)允许项目组领导访问外网,禁止项目组普通员工rd_group访问外网。
由于外网区域允许访问,所以需要添加禁止访问外网的规则如下:
①选择“源”页签,参数设置如下图所示。
②选择“目的”页签设置如下图所示。
③选择“服务”页签,参数设置如下图所示。
CLI配置步骤
1)设定物理接口eth1和eth2的IP地址。
#networkinterfaceeth1ipadd192.168.100.140mask255.255.255.0
#networkinterfaceeth2ipadd172.16.1.1mask255.255.255.0
2)添加VLAN虚接口,设定VLAN的IP地址,再选择相应的物理接口加入到已添
加的VLAN中。
#networkvlanaddrange1,2
#networkinterfacevlan.0001ipadd192.168.1.1mask255.255.255.0
#networkinterfacevlan.0002ipadd192.168.2.1mask255.255.255.0
#networkinterfaceeth0switchporttrunkallowed-vlan1,2native-vlan1encapsulation
dotlq
3)定义主机、子网地址资源。
#definehostaddname172.16.1.3ipaddr172.16.1.3
#definehostaddname192.168.100.143ipaddr192.168.100.143
#definehostaddnamedoc_serveripaddr10.10.10.3
#definesubnetaddnamerd_groupipaddr192.168.2.0mask255.255.255.0except
‘10.10.11.210.10.11.3’
4)设置区域资源的缺省访问权限:
area_eth0、area_eth2为禁止访问,area_eth1为允
许访问(缺省权限,无需再设定)。
#defineareaaddnamearea_eth0accessoffattributeeth0(不允许访问内网)
#defineareaaddnamearea_eth2accessoffattributeeth2(不允许访问内网)
5)定义地址转换规则。
定义源地址转换规则,使得内网用户能够访问外网。
#natpolicyadddstareaarea_eth1trans_src192.168.100.140
定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2区域的
WEB服务器。
#natpolicyaddorig_dst192.168.100.143orig_serviceHTTPtrans_dst172.16.1.3
6)定义访问控制规则。
允许内网和外网用户均可以访问WEB服务器
#firewallpolicyaddactionacceptdstareaarea_eth2dst172.16.1.3serviceHTTP
允许项目组领导访问外网,禁止项目组普通员工访问外网
#firewallpolicyaddactiondenysrcareaarea_eth0srcvlanvlan.0002srcrd_group
dstareaarea_eth0serviceHTTP
注意事项
1)目的地址需要选择WEB服务器的真实IP地址,因为防火墙要先对数据包进行目
的地址转换处理,当内网用户利用http:
//192.168.100.143访问SSN区域的Web服务器时,
由于符合NAT目的地址转换规则,所以数据包的目的地址将被转换为172.16.1.3。
然后才
进行访问规则查询,此时只有设定为WEB服务器的真实IP地址才能达到内网用户访问
SSN区域WEB服务器的目的。
网络卫士系列防火墙处理数据包的流程请参考用户手册相
关章节。
2)定义目的地址转换规则时,不能选择目的区域与目的VLAN。
根据源端口配置访问控制规则
基本需求
案例:
某银行系统应用软件使用特定的端口进行业务主机与服务器间的数据通信,为
了保证数据及设备的安全,禁止其他对于业务主机和服务器的访问。
网络结构示意图如下所示。
图26根据源端口进行访问控制示意图
业务主机可以使用特殊端口访问服务器,不能使用其他端口。
业务主机区域和服务器
区域禁止其他类型的访问。
配置要点
定义区域:
area_eth1、area_eth2。
定义服务端口:
FS_port
设置访问控制规则
WebUI配置步骤
1)定义区域area_eth1为禁止访问,并与属性eth1绑定。
选择资源管理>区域,点击“添加”,如下图所示。
2)定义区域area_eth2为禁止访问,并与属性eth2绑定。
具体操作与area_eth1相似,请参考area_eth1的定义过程完成。
3)定义服务端口
由于系统使用的通信端口是:
4500,不是通常使用的协议端口,在设置规则前需要自
定义端口。
选择资源管理>服务,激活“自定义服务”页签,进入自定义服务页面。
点击右
侧“添加”,如下图所示。
选择类型:
TCP,设置名称:
FS_port,服务器实际使用的端口:
4500。
完成后点击“确
定”按钮。
4)定义访问控制规则
该规则为来自area_eth1区域使用源端口为4500的数据包允许通过防火墙访问
area_eth2区域。
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,参数设置如下图所示。
c)选择“服务”页签,参数设置如下图所示。
d)选择“选项”页签设置参数如下。
由于所使用的软件系统所建立的连接需要长时期保持,在“连接选项”中选择“长连
接”,根据需要选择“日志记录”。
点击“确定”完成ACL规则设置。
CLI配置步骤
1)定义区域:
area_eth1、area_eth2
#defineareaaddnamearea_eth1accessoffattributeeth1
#defineareaaddnamearea_eth2accessoffattributeeth2
2)定义服务端口:
FS_port
#defineserviceaddnameFS_portprotocol6port4500
3)设置访问控制规则
#firewallpolicyaddactionacceptsrcareaarea_eth1dstareaarea_eth2sportFS_port
permanentyeslogonenableyes
注意事项
由于环境所限此案例未能进行实际测试,仅供参考使用。
根据特定服务配置访问控制规则
基本需求
在进行访问控制规则的设置时,可以对用户所能访问的服务进行控制,系统预定义了
可控制的常见服务,可以实现二到七层的访问控制,用户也可以自定义服务进行访问控制。
案例:
某企业网络被防火墙化分为三个区域area_eth0、area_eth1和area_eth2,三个
区域分别与接口Eth0、Eth1和Eth2绑定,area_eth0连接外网,允许用户访问,area_eth1
和area_eth2区域禁止用户访问。
服务器位于area_eth1,IP地址为192.168.100.140,内网
位于area_eth2,网络地址为192.168.101.0。
企业的网络结构如下图所示。
要求:
允许内网用户访问服务器的TELNET、SSH、FTP和Web_port服务,其中Web_port
服务为自定义服务,端口号为8080;但不能访问Eth1口的其他服务器和其他服务。
不允许外网用户访问Eth1口服务器的TELNET和SSH服务。
图27根据服务设置访问控制规则示意图
配置要点
定义区域和地址资源
定义服务资源
定义服务组资源
设置访问控制规则
WebUI配置步骤
1)定义区域和地址资源
a)定义区域资源area_eth0、area_eth1和area_eth2,分别与Eth0、Eth1和Eth2绑定。
区域权限均为“允许”。
选择资源管理>区域,点击“添加”添加区域资源,界面如下图。
①添加区域area_eth0。
②添加区域area_eth1。
③添加区域area_eth2。
服务热线:
8008105119183
设置完成后界面如下图所示。
b)定义IP地址资源
选择资源管理>地址,选择“主机”页签,点击“添加”,如下图所示。
c)定义子网资源
选择资源管理>地址,选择“子网”页签,点击“添加”,如下图所示。
2)设置自定义服务
选择资源管理>服务,激活“自定义服务”页签,配置自定义服务“Web_port”
如下图所示。
3)设置服务组资源
选择资源管理>服务,激活“服务组”页签,配置服务组“内网访问服务”如下
图所示。
本例中服务组名称为“内网访问服务”,包括“Web_port、SSH、TELNET、FTP”。
4)设置访问控制规则。
由于服务器所在区域area_eth1禁止访问,所以只要定义允许
访问的规则即可。
a)设置允许内网area_eth2的网段为192.168.101.0/24的用户访问area_eth1的服务器
(192.168.100.140)SSH、TELNET、FTP以及8080端口服务的访问控制规则
选择防火墙>访问控制,点击“添加”按钮,设置访问控制规则。
①选择“源”页签,参数设置如下图所示。
②选择“目的”页签,参数设置如下图所示。
服务热线:
8008105119187
③选择“服务”页签,参数设置如下图所示。
服务热线:
8008105119188
设置完成的ACL规则如下图所示。
b)设置仅允许外网区域(area_eth0)的用户访问服务器的8080端口的服务访问控制
规则。
选择防火墙>访问控制,点击“添加”按钮,设置访问控制规则。
①选择“源”页签,参数设置如下图所示。
服务热线:
8008105119189
②选择“目的”页签,参数设置如下图。
服务热线:
8008105119190
③选择“服务”页签,参数设置如下图。
服务热线:
8008105119191
设置完成后的ACL规则如下图所示。
CLI配置步骤
1)定义区域资源
#defineareaaddnamearea_eth0accessonattributeeth0
#defineareaaddnamearea_eth1accessonattributeeth1
#defineareaaddnamearea_eth2accessonattributeeth2
2)定义主机和子网地址资源
#definehostaddname192.168.100.140ipaddr192.168.100.140
#definehostsubnetaddname内网ipaddr192.168.101.0mask255.255.255.0
3)设置自定义服务,服务名为Web_port,端口号为8080。
#difineserviceaddnameWeb_portprotocoltcpport8080
4)设置服务组资源,组名称为“内网访问服务”,包括Web_port、FTP、TELNET
和SSH服务。
#difinegroup_serviceaddname内网访问服务memberWeb_port,FTP,TELNET,SSH
5)设置访问控制规则
a)区域“area_eth2”的子网对象“内网”(192.168.101.0/24)允许访问区域“area_eth1”
的服务器的Web_port、FTP、TELNET和SSH服务(有自定义服务组“内网访问服务”绑
定),服务器的IP地址为192.168.100.140。
#firewallpolicyaddactionacceptsrcareaarea_eth2dstareaarea_eth1src内网dst
192.168.100.140service内网访问服务enableyes
服务热线:
8008105119192
b)设置仅允许外网用户访问服务器192.168.100.140的8080端口的服务访问控制规
则。
#firewallpolicyaddactionacceptsrcareaarea_eth0dstareaarea_eth1dst
192.168.100.140serviceWeb_portenableyes
注意事项
如果只允许开放某些服务,其他服务均被禁止,可以设置目的区域的默认访问权限为
“禁止”,系统在匹配完访问控制规则后将自动匹配区域的默认访问权限。
根据转换前目的地址配置访问控制规则
基本需求
背景:
某企业的WEB服务器(IP:
192.168.83.56)通过防火墙将其IP地址MAP为
202.45.56.5对外提供WEB服务。
WEB服务器连在防火墙的Eth1口(IP:
192.168.83.2),
且防火墙通过Eth0口(IP:
202.45.56.3)与Internet相连,如下图所示。
图28根据转换前目的进行访问控制示意图
需求:
为了保护企业网络的安全,网关Eth1接口所属的区域area_eth1设置为禁止访
问,要求Internet用户只可访问企业WEB服务器的HTTP服务,要求用WEB服务器的
MAP地址202.45.56.5作访问控制。
服务热线:
8008105119193
配置要点
定义主机地址资源
定义地址转换策略
定义访问控制规则
WebUI配置步骤
1)将防火墙的Eth1口所属区域的默认访问权限设置为“禁止”。
选择资源管理>区域,点击“添加”,如下图。
2)定义WEB服务器主机地址资源R-WebServer和虚拟主机对象V-WebServer。
选择资源管理>地址,激活“主机”页签,定义主机地址资源R-WebServer和
V-WebServer。
定义R-WebServer主机地址资源图。
服务热线:
8008105119194
定义V-WebServer主机地址资源图。
3)定义地址转换规则。
选择防火墙>地址转换,并在右侧界面中点击“添加”定义目的地址转换规则。
选择“目的转换”。
a)选择“源”页签,设置参数如下图。
服务热线:
8008105119195
b)选择“目的”页签,参数设置如下。
服务热线:
8008105119196
c)选择“服务”页签,参数设置如下。
设置完成后的目的NAT规则如下图所示。
4)设置访问控制规则。
选择防火墙>访问控制,并在右侧界面中点击“添加”定义访问控制规则。
服务热线:
8008105119197
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,设置根据转换前的目的地址进行访问控制。
参数设置如下。
服务热线:
8008105119198
c)选择“服务”页签,参数设置如下。
服务热线:
8008105119199
设置完成后的ACL规则如下图所示。
至此,WEBUI方式的配置完成。
CLI配置步骤
1)将防火墙的Eth1口所属区域的默认访问权限设置为“禁止”。
#defineareaaddnamearea_e