天融信防火墙的一个典型配置方案

[原创]天融信防火墙的一个典型配置方案

一个典型配置方案

现在根据我们的经验，假设几种典型的网络环境，描述“网络卫士”防火墙在这些环境中应

该如何配置。

以3个端口的“网络卫士”防火墙为例，其中一个接外网，一个接内网，一个接SSN，在SSN 中有三台服务器，一台是HTTP服务器，一台是FTP服务器，一台是邮件服务器。有如下需求：内网的机器可以任意访问外网，可以访问SSN中指定的服务器，外网和SSN的机器不能

访问内网；外网可以访问SSN中的服务器。

在非动态地址环境下：

防火区域配置

外网：接在eth1上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping。

内网：接在eth2上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，允

许ping。

SSN：接在eth0上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，禁

止ping。

经过以上的配置后，如果没有其他的访问策略和通信策略，则防火墙允许内网上的机器访问外网，允许SSN上的机器访问外网，不允许内网被外网或SSN访问，不允许SSN被外网、内网访问。（允许访问并不表示可以成功通信，尽管内网被允许访问外网，但假如没有合法的IP地址，也无法进行成功的访问，这个问题在后面NAT配置中将进行详细描述。）

定义三个网络节点

FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址=…，物理地址=…。

HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址=…，物理地址=…。

MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址=…，物理地址=…。

配置访问策略

根据区域的定义，外网和内网的缺省访问权限已经满足要求，现在只需要进行一些访问策略

设置。在SSN区域中增加三条访问策略：

① 访问目的=FTP_SERVER，目的端口=TCP 21。

源=内网，访问权限=读、写。

源=外网，访问权限=读。

这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能

写文件。

② 访问目的=HTTP_SERVER，目的端口=TCP 80。

源=内网+外网，访问权限=读、写。

这条配置表示内网、外网的用户都可以访问HTTP服务器。

③ 访问目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。

源=内网+外网，访问权限=读、写。

这条配置表示内网、外网的用户都可以访问MAIL服务器。

假如所有的机器都有合法的IP地址，则配置到此为止就结束了。否则，

假设内网的机器没有合法的IP地址，它们访问外网需要进行地址转换。当内部机器访问外部机器时，可以将其地址转换为防火墙的地址，也可以转换成某个地址池中的地址。这里描述将地址转换成防火墙地址的方法：增加一条通信策略，目的=外网，源=内网，方式=NAT，目的端口=所有端口。如果需要转换成某个地址池中的地址，则必须先在外网中定义一个子网，地址范围就是地址池的范围，然后在通信策略中选择NAT方式，在地址池类型中选择刚

才定义的地址池。

假设SSN中的服务器也没有合法的IP地址，必须依靠防火墙做地址映射来提供对外服务。

1．首先增加一个网络节点，表示外网访问的虚拟机器。

区域=外网，IP=防火墙IP地址，名字=V_SERVER。

2．增加通信策略。

目的=V_SERVER，源=外网，通信方式=MAP，指定协议=TCP，端口映射21-》21，目标

机器=FTP_SERVER。

目的=V_SERVER，源=外网，通信方式=MAP，指定协议=TCP，端口映射80-》80，目标

机器=HTTP_SERVER。

目的=V_SERVER，源=外网，通信方式=MAP，指定协议=TCP，端口映射25-》25，目标

机器=MAIL_SERVER。

目的=V_SERVER，源=外网，通信方式=MAP，指定协议=TCP，端口映射110-》110，目

标机器=MAIL_SERVER。

这样，防火墙上的单个IP地址就可以为三台机器进行端口映射。

在动态地址环境中：

假设某个网络内部使用DHCP/BOOTP来动态分配内部机器的IP地址。如果要求内部机器都可以访问外部，可以仿造上面那个例子的做法，在内网中规定一个地址范围就可以了。假如只要求指定的机器可以上网，上面的做法就不行了。可以采取以下的步骤：

① 首先确定哪些机器可以上网，分别找出它们的网卡的物理地址。可以在同网段的一台机

器上ping这些机器，然后用arp –a命令查看它们的物理地址。

② 对每台这样的机器，在防火墙上定义一个网络节点：

名字=…，区域=内网，物理地址=…，IP地址=空。注意必须设置IP地址为空，并且必须将

物理地址设置为第一步得到的物理地址。

③ 定义一个对象组，对象组的成员是② 中定义的所有网络节点。定义对象组的用意是在

配置策略时可以将这些节点作为一个整体来对待。也可以不设置这么一个对象组，在策略配

置中依次添加网络节点。

③ 在外网上增加访问策略：

访问的目的=外网，目的端口=空（表示所有端口），源= ③ 中定义的对象组，访问权限=

可读，可写，可执行。

对上网时间的控制

“网络卫士”防火墙还可以在每条访问策略中配置这条规则作用的时间段。假如配置了时间段，那么防火墙在查找策略时，就会跳过那些当前时间不在策略时间段内的策略。例如，某条策略允许内部机器在8:00到17:00之间上网，现在时间是17:30，内部有一台机器此时想上网，防火墙匹配策略时，因为17:30不在8:00到17:00之间，上面那条策略就不起作

用，被禁止上网。

时间控制在配置策略中，配置完目的和目的端口、资源后，可以配置访问的源，对每个源，可以指定时间段。必须注意的是，这里的时间段指策略起作用的时间，而不是指允许访问的时间。例如：访问权限=none，时间段=8:00-17:00，表示在8:00到17:00内禁止访问。

附件

gW4Gz0vg.jpg (512 Bytes)

2006-5-2 00:32