防火墙策略配置
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
if1
if0
if2
外网地址
Internet
Server
Server
DMZ地址
• 所有的网络对象按照物理位置来划分
– 如果物理位置在防火墙内网口一端,则属于内网对象 – 如果物理位置在防火墙DMZ网口一端,则属于DMZ对象 – 如果物理位置在防火墙外网口一端,则属于外网对象
Web界面网络对象浏览
• 按防火墙n个网口分为n个区域 • 兰色的为缺省网络对象,不可删除和修改。在定义了网口地址后
源
目的
服务
动作
时间
网络或主机 网络或主机
网络服务
怎样控制?
策略何时 有效?
配置策略前需定义的对象
源
目的
服务
动作
时间
网络或主机
网络或主机
网络服务
怎样控制?
策略何时 有效?
需定义 网络或主机
对象
需定义 网络或主机
对象
需定义 网络服务
对象
如果是授权 控制,需定 义用户对象
需定义 时间 对象
网络对象定义
服务对象定义
服务配置
• 用于配置各种网络协议对象,配置的服务分为 标准服务与代理服务两种,在配置安全策略前 ,应首先定义策略中所包含的服务对象
– 标准服务: TCP, UDP, ICMP和其它所有IP协议
– 代理服务: HTTP代理,TELNET代理,SMTP代理, POP3代 理,FTP代理
Web界面服务对象浏览
Web界面网络对象分组
• 浏览网络对象分组:
Web界面网络对象分组
• 新增网络分组:
将有共性的对象 用一个组来表示 ,以达到简化策 略的目的
命令行网络对象配置
• 与网络配置相关的命令
# netobj list: 查看所有网络对象 #netobj add <name> <interface> <ip/maskbits> <comment>: 新增网络对象 #netobj del <name>:删除网络对象 #netgrp list:查看所有组对象 #netgrp gadd <name> <comment>:新增组对象 #netgrp odd <gname> <oname>:增加组对象成员 #arp add <ip> <mac>:新增一个地址绑定主机
Web界面新增时间对象
• 新增时间对象:
周期性日期设置
Web界面新增时间对象
• 新增时间对象:时间->新增
指 定 日 期 设 置
时间对象分组
• 时间对象分组:时间->分组
Web界面新增策略
策略定义之外的任何数据 包都将被拒绝,即防火墙 的默认策略是deny
▪序号:决定策略的匹配顺序
▪源网络:根据选中区域的不 同,可选对象不同
时间对象定义
时间对象的设置特点
• 时间对象=日期+时钟段 • 对于时钟段元素,每个时间对象可以最多设置6个 • 对于日期元素,每个时间对象可以设置周期性日期和
特定日期 • 在web配置界面,设置日期元素时,可以用“空”或
“*”表示任意 • 时间定义精细度到秒 • 时间对象与时间组对象的总和不能超过16个
Server
Intranet DNS 10.1.10.7
Server
PC1 10.1.10.13
PC2 10.1.10.18
PC3 10.1.10.33
if1 10.1.10.1
if0 2.2.2.10
if2 2.2ห้องสมุดไป่ตู้100.1
Internet router
2.2.2.254
10.1.10.2
Interne t
,在相应的网络区域就会出现该缺省对象
Web界面新增网络对象
• 新增网络对象:网络->新增
根据物理位 置选择网络
接口卡
▪支持可变长子网掩码(VLSM)
▪如果想定义主机对象,一定要将掩码设成255.255.255.255
▪如果想定义网络对象,但将掩码设成了255.255.255.255,系统也会当作 主机对象处理
Server
Corp Web 2.2.100.2
Server
Mail Relay 2.2.100.3
Server
DMZ DNS 2.2.100.4
Sales
Tech Marketing
10.1.20.0 10.1.30.0 10.1.40.0
▪防火墙通过访问控制策略来限制各网络设备通过防火墙的访问
策略的基本结构
• 浏览服务配置:
蓝色显示部分 为防火墙缺省 定义的服务, 不能修改和删 除(缺省服务 中只有TELNET 代理服务可以 修改)
Web界面新增服务对象
• 新增服务对象:
TELNET代理服务不能新增,只能在“浏览”界面中修改缺省定义
Web界面新增服务组
• 新增服务组:
将有共性的服务 对象用一个组来 表示,以达到简 化策略的目的
命令行服务对象配置
• 服务配置常用命令
# svcobj list: 查看所有服务对象 #svcobj add <name> ip <ipprotocolno> <comment> : 新增IP标准服务 #svcobj add <name> tcp|udp <port1> <port2> <comment>:新增TCP/UDP标准服务 #svcobj add <name> icmp <type> <code> <comment>:新增ICMP标准服务 #svcgrp list:查看所有服务分组 #svcgrp gadd <name> <comment>:增加服务组 #svcgrp oadd <gname> <oname>:增加服务组中的成员
网络配置
• 网络配置用于定义网络中的各种对象,在配置 安全策略前,应首先定义策略中所包含的源和 目的对象
– 主机对象:主机,工作站,服务器等具有单个IP的 网络设备
– 网络对象:用地址/掩码表示的一个子网内的全部IP 地址
– 组对象:一个或多个主机对象、网络对象或两者的 混合组合
网络配置
内网地址
▪目的网络:根据选中区域的 不同,可选对象不同
▪动作:选中授权后,可通过 旁边的下拉菜单选择使用哪种 授权规则
命令行策略配置
• 策略配置常用命令
#policy list: 查看所有策略 #policy add <service> <netfrom> <netto> <act> [options]: 新增策略 #policy del <index> :删除策略
Example: #policy add telnet anyinternal anyexternal pass #policy add pop3 PC1 anyexternal block #policy list [0001] pass telnet(anyinternal->anyexternal) [0002] block pop3(PC1->anyexternal) #policy del 0001 #policy list [0001] block pop3(PC1->anyexternal)
LinkTrust FireWall V5.1
Chapter 12防火墙策略配置
目标
• 配置网络对象(主机、网络与对象分组) • 理解预先定义的服务,配置自定义服务,服务分
组 • 时间对象定义 • 合理设置访问控制规则
访问控制策略
Intranet Web 10.1.10.5
Server
Corp Mail 10.1.10.6