防火墙策略配置

if1
if0
if2
外网地址
Internet
Server
Server
DMZ地址
• 所有的网络对象按照物理位置来划分
– 如果物理位置在防火墙内网口一端，则属于内网对象 – 如果物理位置在防火墙DMZ网口一端，则属于DMZ对象 – 如果物理位置在防火墙外网口一端，则属于外网对象
Web界面网络对象浏览
• 按防火墙n个网口分为n个区域 • 兰色的为缺省网络对象，不可删除和修改。在定义了网口地址后
源
目的
服务
动作
时间
网络或主机 网络或主机
网络服务
怎样控制？
策略何时 有效？
配置策略前需定义的对象
源
目的
服务
动作
时间
网络或主机
网络或主机
网络服务
怎样控制？
策略何时 有效？
需定义 网络或主机
对象
需定义 网络或主机
对象
需定义 网络服务
对象
如果是授权 控制，需定 义用户对象
需定义 时间 对象
网络对象定义
服务对象定义
服务配置
• 用于配置各种网络协议对象，配置的服务分为 标准服务与代理服务两种，在配置安全策略前 ，应首先定义策略中所包含的服务对象
– 标准服务： TCP, UDP, ICMP和其它所有IP协议
– 代理服务： HTTP代理，TELNET代理，SMTP代理， POP3代 理，FTP代理
Web界面服务对象浏览
Web界面网络对象分组
• 浏览网络对象分组：
Web界面网络对象分组
• 新增网络分组：
将有共性的对象 用一个组来表示 ，以达到简化策 略的目的
命令行网络对象配置
• 与网络配置相关的命令
# netobj list: 查看所有网络对象 #netobj add <name> <interface> <ip/maskbits> <comment>: 新增网络对象 #netobj del <name>:删除网络对象 #netgrp list:查看所有组对象 #netgrp gadd <name> <comment>：新增组对象 #netgrp odd <gname> <oname>：增加组对象成员 #arp add <ip> <mac>：新增一个地址绑定主机
Web界面新增时间对象
• 新增时间对象：
周期性日期设置
Web界面新增时间对象
• 新增时间对象：时间->新增
指 定 日 期 设 置
时间对象分组
• 时间对象分组：时间->分组
Web界面新增策略
策略定义之外的任何数据 包都将被拒绝，即防火墙 的默认策略是deny
▪序号：决定策略的匹配顺序
▪源网络：根据选中区域的不 同，可选对象不同
时间对象定义
时间对象的设置特点
• 时间对象=日期+时钟段 • 对于时钟段元素，每个时间对象可以最多设置6个 • 对于日期元素，每个时间对象可以设置周期性日期和
特定日期 • 在web配置界面，设置日期元素时，可以用“空”或
“*”表示任意 • 时间定义精细度到秒 • 时间对象与时间组对象的总和不能超过16个
Server
Intranet DNS 10.1.10.7
Server
PC1 10.1.10.13
PC2 10.1.10.18
PC3 10.1.10.33
if1 10.1.10.1
if0 2.2.2.10
if2 2.2ห้องสมุดไป่ตู้100.1
Internet router
2.2.2.254
10.1.10.2
Interne t
，在相应的网络区域就会出现该缺省对象
Web界面新增网络对象
• 新增网络对象：网络->新增
根据物理位 置选择网络
接口卡
▪支持可变长子网掩码(VLSM)
▪如果想定义主机对象，一定要将掩码设成255.255.255.255
▪如果想定义网络对象，但将掩码设成了255.255.255.255，系统也会当作 主机对象处理
Server
Corp Web 2.2.100.2
Server
Mail Relay 2.2.100.3
Server
DMZ DNS 2.2.100.4
Sales
Tech Marketing
10.1.20.0 10.1.30.0 10.1.40.0
▪防火墙通过访问控制策略来限制各网络设备通过防火墙的访问
策略的基本结构
• 浏览服务配置：
蓝色显示部分 为防火墙缺省 定义的服务， 不能修改和删 除（缺省服务 中只有TELNET 代理服务可以 修改）
Web界面新增服务对象
• 新增服务对象：
TELNET代理服务不能新增，只能在“浏览”界面中修改缺省定义
Web界面新增服务组
• 新增服务组：
将有共性的服务 对象用一个组来 表示，以达到简 化策略的目的
命令行服务对象配置
• 服务配置常用命令
# svcobj list: 查看所有服务对象 #svcobj add <name> ip <ipprotocolno> <comment> : 新增IP标准服务 #svcobj add <name> tcp|udp <port1> <port2> <comment>:新增TCP/UDP标准服务 #svcobj add <name> icmp <type> <code> <comment>:新增ICMP标准服务 #svcgrp list:查看所有服务分组 #svcgrp gadd <name> <comment>：增加服务组 #svcgrp oadd <gname> <oname>：增加服务组中的成员
网络配置
• 网络配置用于定义网络中的各种对象，在配置 安全策略前，应首先定义策略中所包含的源和 目的对象
– 主机对象：主机，工作站，服务器等具有单个IP的 网络设备
– 网络对象：用地址/掩码表示的一个子网内的全部IP 地址
– 组对象：一个或多个主机对象、网络对象或两者的 混合组合
网络配置
内网地址
▪目的网络：根据选中区域的 不同，可选对象不同
▪动作：选中授权后，可通过 旁边的下拉菜单选择使用哪种 授权规则
命令行策略配置
• 策略配置常用命令
#policy list: 查看所有策略 #policy add <service> <netfrom> <netto> <act> [options]: 新增策略 #policy del <index> :删除策略
Example: #policy add telnet anyinternal anyexternal pass #policy add pop3 PC1 anyexternal block #policy list [0001] pass telnet(anyinternal->anyexternal) [0002] block pop3(PC1->anyexternal) #policy del 0001 #policy list [0001] block pop3(PC1->anyexternal)
LinkTrust FireWall V5.1
Chapter 12防火墙策略配置
目标
• 配置网络对象（主机、网络与对象分组） • 理解预先定义的服务，配置自定义服务，服务分
组 • 时间对象定义 • 合理设置访问控制规则
访问控制策略
Intranet Web 10.1.10.5
Server
Corp Mail 10.1.10.6