How-to---防火墙规则定义及其配置_图文(精)

防火墙规则定义及其配置

防火墙的基本功能就是实现对于内外网之间的访问控制，和路由器及交换机产品类似，防火墙也使用一种策略的规则来实现管理，这也是一种ACL（Access Control List）。防火墙规则是由5个部分组成，源地址、源端口、目的地址、目的端口、执行动作来决定。SonicWALL

ＮＳＡ系列产品都是采用基于对象的控制方式，通过定义不同的对象，然后把它们组合到一条策略中，来实现访问规则的配置。

防火墙规则能够控制到单向访问，配置防火墙策略，首先需要判定访问方向，如果方向不对，就会出现配置好的策略不起作用，或根本无法达到应有的目的等情况。访问方向的是按照发起方来进行判定的，如从内网访问外网的WEB网站，就属于从内网访问外网方向（LAN->WAN）。不同方向的访问规则不会相互干扰。常见的防火墙策略的方向分为从外网（ＷＡＮ）到内网（ＬＡＮ），从内网到外网，从内网到ＤＭＺ，从ＤＭＺ到内网，从ＤＭＺ到外网，从外网到ＤＭＺ等几种。最常用的就是从内网（ＬＡＮ）到外网（ＷＡＮ）的策略配置，因为要控制内网的用户到外网的访问。

在配置几条策略在一个访问方向的时候，需要注意到是策略的排列，防火墙产品对于策略的匹配是有规则的，上面的规则优先于下面的规则，（上面是指在规则界面中排在上方的规则），当防火墙进行策略匹配时，一旦查询到一条匹配规则，防火墙将停止向下查询。如果同时需要做几个规则，需要考虑这几条规则的逻辑关系。

SonicWALL NSA产品在出厂默认情况下，规则是从安全级别高的区域，如内网（LAN）到所有安全级别低的区域-------如外网（WAN）和DMZ--------是允许访问的，而从安全级别低的区域到安全级别高的区域，是禁止访问的。

下面以一个实例来说明防火墙策略配置的方法：

如图所示，某单位有很多不同网段和用户，每个网段的用户网络访问是不同的，需要在设备上做策略，需要下面几个步骤：

1. 定义地址对象，针对不同的用户进行控制，必须要把用户的地址首先输入到防火墙的地址对象中，然后才能在策略编辑中使用。

地址对象编辑在Ｎｅｔｗｏｒｋ－＞ａｄｄｒｅｓｓｏｂｊｅｃｔ里面

2. 点击ａｄｄｒｅｓｓｏｂｊｅｃｔ下面的ａｄｄ按钮，在弹出的对话框中输入地址，如主机192.168.0.100

然后按Add完成

再输入需要控制的其它地址，如192.168.0.110，192.168.0.120

输入网络地址对象192.168.1.X

按照同样的方式输入另外的网络地址192.168.2.X，结果如下图所示：

完成地址输入后，可以进行策略配置。

3.点击firewall->access rules里面的从LAN到WAN，进入到策略详细列表

在详细列表中，有一个默认的规则是允许所有访问的规则。

点击Add按钮，根据自己的需求添加规则。

首先我们需要定义的是针对192.168.0.100地址的访问策略，这个地址只能使用FTP，其它全部禁止，所以添加两条策略，一条是允许FTP访问，另外一条是禁止所有访问

下一条是禁止策略

类似的添加关于192.168.110的策略和192.168.0.120的访问控制

注意：由于针对Email的服务有两种，分别是发送Email（SMTP）和接收（POP3），所以要添加两种不同的服务，

最后的结果如下图所示：

注意： SonicWALL的产品是有自动排序功能的，当你添加一条策略之后，系统会

自动把它放到相应的位置，如果你想手动进行排序，点击策略编号前面的

6.然后添加针对网段的策略，为了减少看到的策略数目，我们这次使用组来进行控制，你可以定义地址组（address Group）和服务组（service Group），然后再策略中使用这些组。

现在我们定义服务组：

选择Firewall->services, 并在上面选custom service, 因为sonicWALL产品有大量的预定义服务和组，这样可以过滤那些不需要关注的对象

点击Add Group按钮

自己起一个服务组的名字，本例为mymailGroup，把需要的服务添加到右面的框中，然后点OK

在策略编辑界面上，使用新建的服务组。

同样添加其它的策略。完成后如下图所示。

注意：访问网络时，首先使用的是域名解析服务（DNS），所以，要让所有的人可以使用DNS服务，才能够达到效果，如果禁止的话，虽然开启了HTTP服务，客户仍然访问不到网站。