防火墙配置手册

报头
192.168.1.50发送 的数据包经过NAT 转换后，源地址成 为192.168.8.250
数据
源地址：192.168.1.50
192.168.1.50
目的地址：192.168.8.50
网关：192.168.1.250
互联网过滤
Web e-mail FTP
6.250
2.250 1.250
DMZ 区 192.168.2.50/60/70/80/90 网关：192.168.2.250
NAT 在互联网的应用
• •
隐藏了内部网络结构 内部网络可以使用私有IP地址
NAT原理－源地址转换
192.168.8.50 报头 数据
源地址：192.168.8.250
目的地址：192.168.8.50 Internet:192.168.8.250 NAT转换
Intranet:192.168.1.250
STEP2:通过软件登陆Firewall 打开防火墙配置软件“TOPSEC集中管理器”， ‘新建项 目’，输入防火墙本区域端口IP地址，登陆到防火墙。查看防 火墙 “基本信息” 和“实时监控”， 了解其他各菜单 功能。 说明：登陆下列其中一个用户：user1/2/3/4/5/6/7/8/9/10, 口令为：123456 防火墙配置一般有三种方式： B/S配置 ,C/S配置,Console口配置. 本实验防火墙采用C/S方式。
(1)设置两个策略，一个策略为设置本机访问其他区域某一主机的访问 策略，访问策略为允许，另一个策略同样是访问该主机，但访问控制设 为禁止，更改两个策略的优先级，通过PING 对方主机测试连通性。 说明：鼠标上下拖动所建策略可以更改优先级，排在上面的策略优先 级高。 (2) 设置两个策略，一个策略为本机访问其他整个区域的策略，另一 个策略为本机禁止访问其他区域内某一个主机的策略，更改两个策略的 优先级，通过PING 对方区域内主机测试连通性。 (3) 设置两个策略，一个策略为本机访问其他区域某主机的策略，策 略服务为任何服务，另一个策略为本机禁止通过策略服务PING其他区 域该主机。更改两个策略的优先级，通过PING 对方主机测试连通性。
通信策略
STEP7: 设置NAT（网络地址转换）方式
与另一区域的一主机配合操作。在目标主机无网关（路由）的情况下， 通过NAT方式进行访问。访问端需要有网关（路由）。 1）把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删 除。 2）在目标主机无网关情况下， 增加一个访问策略，允许本机（策略源） 访问该目标主机（策略目的），测试与该主机连接情况。 3) 进入‘高级管理’→‘通信策略’→ 增加本机（策略源）到该目标 主机（策略目的）的通讯策略，通信方式选择NAT方式。 4） 测试与该主机连通情况以及对方主机访问本机的连通情况。 5） 本机删除网关后，让对方主机增加网关，反过来再增加访问策略和 NAT进行测试。 说明：访问策略是权限的问题，通讯策略是路径的问题。 NAT都是单向访问，内网需要网关路由到外网，而外网不需路由到内网。 保护了内网的安全。 思考: NAT是作为源IP地址转换，NAT在整个转换过程中所起到的作用?
区域之间缺省权限的设置
STEP3: 防火墙区域缺省权限设置 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为允许访 问。 操作说明：选择“可读、可写、可执行”选项，表示为允许访问。 本机PING其他区域内主机，测试连通性。 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为禁止访 问。 操作说明：不选择“可读、可写、可执行”选项，表示为禁止访问。 本机PING其他区域内主机，测试连通性。 第四个区域area_4为该软件上带的区域名，可不管,实际硬件上没有。 缺省访问权限是指区域之间主机的默认权限。 如果是PING本区域内主机，由于是通过交换机进行通信，防火墙不能控 制同一区域主机之间的权限，本区域内主机是能够连通的。
防火墙在企业网的接入
Internet

防火墙

Connection to outside network 防火墙 FireWall
Web e-mail FTP
为网络用户提供安全 的 Internet 接 入
DMZ WEB服务层 Connection to inside network
Connection to www network
Intranet 内网 192.168.1.50/60/70/80/90
网关：192.168.1.250
互联网过滤
STEP8: 通过HTTP过滤策略, 过滤网站和过滤网页. 1）首先把防火墙INTERNET区域端口接入到华迪实训公司INTERNET网络 线路。 2) 建立一个访问策略（包过滤策略），以本机作为策略源，以INTERNET 区域做为策略目的，策略服务选择任何服务。 3）再建立一个通信策略（NAT方式），本机做为策略源，INTERNET区域 作为策略目的。然后本机DNS（在网络属性中设置）指向到互联网DNS服务 器IP地址, 检查能否PING通DNS服务器IP，测试能否连入互联网。
DNS服务器IP：211.95.129.161 61.139.2.69
4) 在高级管理→特殊对象→URL→ 定义新对象 ，输入任一网址，注意 格式要求。 注意：定义URL时前后应加 * , 如格式： *163.com* 。 5）访问策略 → INTERNET区域 → 增加HTTP策略 ，禁止某一网站 。 把过滤策略优先级提到最前面，测试该网站能否打开。（不需选择关键字） 6）在高级管理→特殊对象→关键字→定义关键字 7）访问策略→INTERNET区域→ 增加 HTTP策略，允许某一网站访问， 但禁止关键字访问。 把过滤策略优先级提到最前面，测试含有该关键字的网 页能否打开。 注意：定义关键字不需要加 * ，过滤关键字即过滤含有关键字的网页。 选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁 止。 8）通过包过滤策略，禁止本机访问INTERNET,策略服务为 TCP:80(HTTP服务)，测试能否连入互联网。 9) PING 某一网站域名(网址），记住其IP地址，通过访问策略禁止本机 PING此IP地址。
网关：192.168.1.250
上半部份
一、通过防火墙的路由功能实现访问控制，操作步骤如下： STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段，不能与连接的防火墙端口地址冲突)，设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
防火墙访问控制过滤机制－包过滤示意图
缺省访问权限（允许/禁止）
数据包
数据包
源地址 过滤 一条访问策略规则： 源对象 策略服务
目的 地址 过滤
协议 过滤
协议 端口 过滤
应用层 过滤
时间策略 目的对象
访问控制 允许/拒绝
http,ftp,smtp等wk.baidu.com
访问控制测试
STEP5 :区域之间主机权限策略设置，测试访问控制 1) 首先明确源主机、目标主机,访问控制是针对源到目 的的访问。 然后在‘高级管理’→‘访问策略’→需要访问的目标 主机所在区域内‘增加’→‘包过滤策略’，策略源为访问 端（只选择本机节点），策略目的为被访问端（只选择其他 区域某节点），策略服务为PING，访问控制设为允许。注 意策略源和目的只选择节点，针对主机进行权限设置。 通 过PING 对方主机测试连通性。 特别注意：访问策略应在被访问对象所在的目标区域设 置策略。如：访问SSN区域内主机，则应在SSN区域内设 置策略。
防火墙配置 实训手册
Http://www.hwadee.com
华迪信息.网络工程中心
防火墙形态
类似于一台路由器设备，是一台特殊的计算机。
配置目标
以天融信防火墙(TOPSEC FireWall ARES－M)为实例，来测试防火墙各 区域的访问控制机制：
目标一： 了解访问策略的原理与作用。通过设置访问策略，测试Intranet（企 业内联网）,SSN（安全服务区，即DMZ（非军事区）,Internet（互联网） 区域之间访问控制机制。 目标二： 了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过NAT 访问因特网，过滤特定网站和特定网页。 目标三： 了解MAP原理与作用。测试外网通过MAP访问企业内部服务器。 了解防火墙三种接入模式。
DMZ 区
2.250 1.250
6.250
Internet 外网 192.168.6.50/60
192.168.2.50/60/70/80/90 网关：192.168.2.250
网关：192.168.6.250
防火墙 路由模式 访问控制 测试结构
Intranet 内网 192.168.1.50/60/70/80/90
‘策略服务’在都选择的情况下，表示只对所选择的服务进行访问控
制。 访问策略优先级高于区域默认权限策略的优先级（STEP3已设置）。
每个访问策略都是单向访问，只有策略源对象访问到策略目的对象。
两个不同区域主机如需要相互访问，则需要建立两个策略。
访问控制测试
STEP6: 通过策略范围来控制主机访问权限
企业防火墙设置注意要点：
• 防火墙是企业安全的关键中枢，企业安全管理实施需要通过运用防 火墙访问策略来实现。 • 访问策略不只是从技术上考虑，最重要的是安全管理的需要来进行 设置。 • 为了安全需要，防火墙最好只能一个管理员进行配置，有其他人设 置时要有日志记录便于管理审计。防止无关管理员任意设置。 • 策略规则应尽量简化，策略太多容易杂乱，不便管理，影响防火墙 效率。 • 常见的木马、病毒使用的端口尽量关闭，如445,7626，4006， 1027，6267等，对高发及最新病毒、木马端口要及时做出处理。 • 防止反向连接,对由内到外的连接也要注意端口防护。
• Web 站 点 访 问 过 滤
– 限 制 对 非 本 企 业 业 务 目 的 的 Internet 资 源 的 访 问
Web Site Filter
Intranet 内部网络
大门
实 验 室 分 布 情 况
SSN区域 Internet区域
Intranet区域
Internet
实验网络结构图
Web e-mail FTP
主机节点对象的建立
接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下， 做以下步骤： STEP4: 主机节点对象建立 高级管理→网络对象→本主机所在区域→定义新对象→定义节点 把本主机IP地址定义为一个节点。定义名称可任意，物理地址可不 填。 说明：定义对象应在该对象所在区域内设置。本机在哪个区域，则在 那个区域内设置。定义节点针对一个主机定义，定义子网可定义一个网 络地址段。定义对象没有任何权限的作用，只有通过访问策略（STEP5 设置）调用这些对象才能设置权限。
访问控制测试
2) 在本区域内增加‘包过滤策略’，建立禁止对方主机（策略源）访
问本机（策略目的）的访问策略，测试对方区域的主机到本机的连通性。
说明： 必须针对不同区域设置访问权限，同一区域内的主机防火墙是
不能控制权限的，设置的策略也是无用的。 3) 禁止其他区域主机访问本机135-139及445,7626,4006，1027， 6267，8080端口（任选其一设置）。 ‘策略服务’在都不选择的情况下，为任何服务，包括所有协议所有 端口。
访问控制测试
(4) 设置两个策略，一个策略为本机禁止访问其他区域某主机的策 略，策略服务为任何服务，另一个策略为本机允许通过策略服务 PING其他区域该主机。更改两个策略的优先级，通过PING 对方主 机测试连通性，访问对方主机其他端口（如共享方式）进行测试。 (5) 设置本区域允许访问其他整个区域，策略服务为任何服务，通 过PING 对方所有主机测试连通性。 (6) 在‘网络’→‘区域’，设置所有区域缺省权限为允许，再建 立一个访问策略，禁止PING对方某一主机的访问策略。测试与对方 主机的连通性。 7）根据需要，自行定义策略，设置权限。 说明：如果选择整个区域，如选择‘INTRANET区域”，则指包括 连入INTRANET内的所有主机。 可以通过策略的优先级，把范围小的策略优先级设置为高于范围 大的策略，能够有效控制不同区域之间的访问对象和策略服务。这 样先满足范围小的策略，超过这个范围则再受到范围大的策略限制。