1、天融信防火墙配置指南 一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就 是规则。 比如:甲想到 A 城市 B 地点。由这个行为就可以制定一些规则进行约束,例如: 1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有 的人) 。 2)用户当前的目标是不是 A 城市,是不是 B 地点。 3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻: 用户访问者 城市主机 地点端口 为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达 A 城市 B 地
2、点,并 且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就 是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有 防火墙禁止的恶意行为,就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于 引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海 的路由器再告诉甲,该乘飞机到洛杉矶。 我们使用的互联网是基于 TCP/IP 协议的。所有在网络上的主机都是有 IP 地址的,相 当于在互联网上的用户身份,没有 IP 地址是无法进行网络访问的。互联网中的主机中(包 括
3、访问者与被访问者)是不可能存在两个相同的 IP 的。 当前互联网中应用的大都是 IPV4。比如:我们姜堰教育城域网的 IP 是 58.222.239.1 到 58.222.239.254。由于当初的 IP 规划没想到后来会有这么多的计算机,所以发展到现在, IP 地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个 IP 地址,这就 产生了源地址转换又称为源地址伪装技术(SNAT) 。比如 A 学校有 100 台计算机,但是只 有一个互联网 IP,上网的时候就将所有上网的计算机都伪装为这个唯一的互联网 IP 进行访 问。 实际的网络访问都是基于 IP 和端口的访问,比如计算机 A
4、访问计算机 B,那么,计算 机 B 相当于服务器,计算机 A 相当于客户机。如果是访问网页,一般就是客户机访问服务 器的 80 端口。在访问的过程中,浏览器会主动开放一个端口(就是客户端端口) 与服务器的 80 端口进行连接访问。一般客户端端口号都比较大。现在的 BT、迅雷等 P2P 软件就是利 用了客户端端口作为服务端口来运行的,就是你进行下载的同时也同时提供了被下载的服 务,你的客户端端口也是一个服务端口。 在防火墙中应用较多的是源转换(SNAT)和目标转换(DNAT) 。DNAT 相当于路由 功能。一般都是把服务器和上网区域放在防火墙后面,如下面的图例。 服务器和上网客户机上网是均转换成
5、 58.222.239.253 进行上网,这是源地址转换 (SNAT)。外界访问 58.222.239.253 时,防火墙会根据访问的 IP 及端口进行转向,将服务请 求发送至服务器(DMZ)区域中的提供相应服务的主机,这是目的转换(DNAT) 。 DMZ 区域又称武装缓冲区,上图利用防火墙的多个网卡功能将这一区域与客户机及外 网进行了隔离。客户机及外网不能直接访问服务器,病毒木马也不可能直接攻击到服务器, 所有的访问请求都要经过访火墙的判别,符合规则的请求才可能传递到服务器。利用多个 网卡(eth),可以将不同的服务器同样进行隔离,即使服务器区一的某一个服务器中了毒或木马, 也不可能直接感染
6、到服务器区二的主机。天融信防火墙提供了 8 个网络接口(从 eth0-eth7), 我们可以充分利用这些接口来采取有效的隔离措施。 三、定义对象 天融信防火墙的对象定义在网络管理和资源管理中。比如,上图中服务器区域是 eth1 和 eth2,我们可以在资源管理中定义一个区域如“服务器区域” ,属性选择 eth1 和 eth2, 这样就可以在后面的规则中进行应用。如果以后增加了一个接口如 eth4,我们只需要修改 服务器区域,加入 eth4 就可以了。再者如果将学生上网用机与办公用机进行区分,可以增 加一个 eth5,将增加的线路接口插入 eth5,我们可以增加区域为学生上网区域及教师上网 区域
7、,或者定义一个区域为公共上网区域,将 eth3 和 eth5 加入这个区域就可以了。如下图: 区域相当于分组功能,其它的对象定义如地址、接口、服务等等可以按照需要进行定义。 需要说明的是,在后面规则中用到的,如果在对象中没有定义,一定要先进行定义。比如, 对于一个大型服务器集群,服务器是很多的,我们可以在地址中这样进行定义: 名称 地址 web 服务器 172.16.12.22 流媒体服务器 172.16.12.21 文件服务器 172.16.66.88 四、基本行为与基本策略 对于防火墙来说,被处理对象的行为只有三个:进入防火墙自身的服务端口(INPUT ) 、 转向(FORWARD ) 、
8、出防火墙(OUTPUT) 。 天融信防火墙对于 INPUT 的处理是提供服务,在系统管理的配置菜单下,我们可以在 面板中选择开放服务来查询和配置。FORWARD 一般是用在地址转换中,包括 SNAT 和 DNAT。 OUTPUT 指数据包出防火墙,可以细节到每一个 eth 接口。 防火墙处理的基本策略只有两种:一是先全开放,再对相应的进行关闭;二是先全关 闭,再有选择的进行开放。通常的也是推荐的做法是先全关闭再开放。因此我们在定义对 象的时候,如果有权限选项,建议全部选禁止,比如定义区域的时候。 五、地址转换与访问控制 学完本节以后就可以配置防火墙了。地址转换常用的是源地址转换和目的地址转换,
9、 至于双向转换是二者的综合。一般我们应该用源地址转换和目的地址转换就可以了。 比如我们学生机和教师机要上网,我们可以这样进行设置: 1)在接口中加入地址。在外网接口中加入外网地址:如在 eth0 中加入 58.222.239.235,掩码:255.255.255.248。在 eth3 中加入 192.168.0.1,掩码 255.255.255.0, 同理在 eth5 中加处 192.168.5.1,掩码同上。在资源管理的地址中加入一个名称为出口地址 的 58.222.239.235。 2)定义一个区域名称为内网,属性选择学生机和教师机的接口 eth3 和 eth5。权限选 择禁止。再定义一个
10、区域名称为上连区域或外网,属性选择为 eth0,权限同样为禁止。 3)进行防火墙设置,在地址转换中选择添加,定义为源地址转,在源中点击高级,选 择区域中的上网区域,如学生机区域和办公用机区域。点击-按扭就添加到源地址表中了。 (下图中为内网) 4)点击目的,同样点击高级,选择上连区域或外网。 5)在下面的源地址转换为中选择出口地址。这个出口地址已被定义为 58.222.239.235。 确定以后就加入了一条源地址转换(SNAT)规则。现在你发现还不可以上网,这是 困为我们在定义区域的时候权限被禁止了。下面我们在访问控制中增加一条规则,同样选 择区域为学生机区域和办公用机区域,目的选择上连区域或
11、外网。访问权限选择为允许。 确定以后,我们就发现可以用学生机或办公机上网了。当上网机通过网关 192.168.0.1 或 192.168.5.1 时就被转换为 58.222.239.235 对外进行访问。 下面来谈一下目的地址转换,一般我们是在服务器设置中需要用到。 1)在资源管理的地址管理中加入服务器地址,如名称为 web 服务器,IP 为 172.16.12.22。 2)在地址转换中添加时选择为目的转换。 3)点击高级,源选择为上连区域或外网,如果想内网用户可以用外网地址或域名访问, 同样在区域中加入。 4)目的地址中选择出口地址,在下面的目的地址转换中选择为 web 服务器。建议在 服务
12、中选择相应的服务如 80,21 等等需要提供的服务。 当访问者访问防火墙(IP:58.222.239.235)的 80 端口时,防火墙就自动转向到 WEB 服务器(IP :172.16.12.22)的相应端口。同理我们需要在访问控制中添加一个规则:源选 择为上连区域、内网,目的选择为服务器区域,权限选择为允许。现在我们的 WEB 服务 器就可以提供服务了。 重要说明:我市教育域域网是通过 VPN 连接的,电信提供的地址是电信内部的 VPN 网络地址,本文中的 58.222.239.235 如果在防火墙中直接使用并不能访问,我们在城域网 中实际应用时应填写电信提供的 VPN 网络地址,如 172.24.129.XXX,否则将不能访问。
