防火墙访问控制规则配置--教案

访问控制规则配置访问规则描述了网络卫士防火墙允许或禁止匹配访问控制规则的报文通过。防火墙接收到报文后，将顺序匹配访问规则表中所设定规则。一旦寻找到匹配的规则，则按照该策略所规定的操作（允许或丢弃）处理该报文，不再进行区域缺省属性的检查。如果不存在可匹配的访问策略，网络卫士防火墙将根据目的接口所在区域的缺省属性（允许访问或禁止访问），处理该报文。在进行访问控制规则查询之前，网络卫士防火墙将首先查询数据包是否符合目的地址转换规则。如果符合目的地址转换规则，网络卫士防火墙将把接收的报文的目的IP地址转换为预先设置的IP地址（一般为真实IP）。因此在进行访问规则设置时，系统一般采用的是真实的源和目的地址（转换后目的地址）来设置访问规则；同时，系统也支持按照转换前的目的地址设置访问规则，此时，报文将按照转换前的目的地址匹配访问控制规则。根据源、目的配置访问控制规则基本需求系统可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配，访问控制规则的源和目的既可以是已经定义好的VLAN或区域，也可以细化到一个或多个地址资源以及用户组资源。与包过滤策略相同，访问控制规则也是顺序匹配的，系统首先检查是否与包过滤策略匹配，如果匹配到包过滤策略后将停止访问控制规则检查。但与包过滤策略不同的是访问控制规则没有默认规则。也就是说，如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话，系统将根据目的接口所在区域的缺省属性（允许访问或禁止访问）处理该报文。案例：某企业的网络结构示意图如下图所示，网络卫士防火墙工作在混合模式。Eth0口属于内网区域（area_eth0），为交换trunk接口，同时属于VLAN.0001和VLAN.0002，vlan.0001IP地址为192.168.1.1，连接研发部门文档组所在的内网（192.168.1.0/24）；vlan.0002IP地址为192.168.2.1，连接研发部门项目组所在的内网（192.168.2.0/24）。图25根据源、目的进行访问控制示意图Eth1口IP地址为192.168.100.140，属于外网area_eth1区域，公司通过与防火墙Eth1口相连的路由器连接外网。Eth2口属于area_eth2区域，为路由接口，其IP地址为172.16.1.1，为信息管理部所在区域，有多台服务器，其中Web服务器的IP地址：172.16.1.3。用户要求如下：�内网文档组的机器可以上网，允许项目组领导上网，禁止项目组普通员工上网。�外网和area_eth2区域的机器不能访问研发部门内网；�内外网用户均可以访问area_eth2区域的WEB服务器。配置要点�设置区域对象的缺省访问权限：area_eth0、area_eth2为禁止访问，area_eth1为允许访问。�定义源地址转换规则，保证内网用户能够访问外网；定义目的地址转换规则，使得外网用户可以访问area_eth2区域的WEB服务器。�定义访问控制规则，禁止项目组除领导外的普通员工上网，允许内网和外网用户访问area_eth2区域的WEB服务器。WebUI配置步骤1）设定物理接口eth1和eth2的IP地址。选择网络管理接口，激活“物理接口”页签，然后点击Eth1、Eth2端口后的“设置”字段图标，添加接口的IP地址。如下图所示。2）添加VLAN虚接口，设定VLAN的IP地址，再选择相应的物理接口加入到已添加的VLAN中。a）选择网络管理二层网络，激活“VLAN”页签，然后点击“添加/删除VLAN范围”，如下图所示。b）设定VLAN虚接口的IP地址。点击VLAN虚接口的“修改”字段图标，在弹出界面中设置VLAN.0001的IP为：192.168.1.1，掩码为：255.255.255.0；VLAN.0002的IP为：192.168.2.1，掩码为：255.255.255.0。如下图所示。c）设定VLAN和物理接口的关系。选择网络管理接口，激活“物理接口”页签，然后点击eth0接口后的“设置”字段图标，设置接口信息，如下图所示。3）定义主机、子网地址对象。a）选择资源管理地址，选择“主机”页签，定义主机地址资源。定义WEB服务器主机名称设为172.16.1.3，IP为172.16.1.3；定义虚拟WEB服务器（即WEB服务器的在外网区域的虚拟IP地址）主机名称设为192.168.100.143,IP为192.168.100.143；定义接口主机地址资源192.168.100.140（也可以是其他字符串），主机名称设为192.168.100.140,IP为192.168.100.140；定义文档服务器，主机名称设为doc_server,IP为10.10.10.3。定义完成后的界面如下图所示：b）选择资源管理地址，选择“子网”页签，点击“添加”定义子网地址资源。资源名称rd_group，以及网络地址192.168.2.0、子网掩码255.255.255.0以及排除领导地址:10.10.11.2和10.10.11.3。4）定义区域资源的访问权限（整个区域是否允许访问）。选择资源管理区域，设定外网区域area_eth1的缺省属性为“允许”访问，内网区域area_eth0和area_eth2的缺省属性为“禁止”访问。以area_eth1为例，设置界面如下图所示。设置完成后的界面如下图所示。5）选择防火墙地址转换，定义地址转换规则。a）定义源地址转换规则，使得内网用户能够访问外网:选择“源转换”。①选择“源”页签，参数设置如下图所示。不设置参数，表示不对报文的源进行限制。②选择“目的”页签，参数设置如下图所示。③选择“服务”页签，参数设置如下图所示。转换源地址对象为“192.168.100.140”。设置完成后的规则如下图所示。b)定义目的地址转换规则，使得内网文档组以及外网用户都可以访问area_eth2区域的WEB服务器。选择“目的转换”①选择“源”页签，设置参数如下图所示。不设置参数，表示不对报文的源进行限制。②选择“目的”页签，设置参数如下图所示。③选择“服务”页签，设置参数如下图所示。“目的地址转换”为地址资源“172.16.1.3”。设置完成后的界面如下图所示。6）选择菜单防火墙访问控制，定义访问控制规则。a）允许内网和外网用户均可以访问WEB服务器由于Web服务器所在的area_eth2区域禁止访问，所以要允许内网和外网用户均可以访问Web服务器，需要定义访问控制规则如下。①选择“源”页签，参数设置如下图所示。源VLAN和源区域不选择，表示不对区域加以限制；②选择“目的”页签，参数设置如下图所示。③选择“服务”页签，参数设置如下图所示。b）允许项目组领导访问外网，禁止项目组普通员工rd_group访问外网。由于外网区域允许访问，所以需要添加禁止访问外网的规则如下：①选择“源”页签，参数设置如下图所示。②选择“目的”页签设置如下图所示。③选择“服务”页签，参数设置如下图所示。CLI配置步骤1）设定物理接口eth1和eth2的IP地址。#networkinterfaceeth1ipadd192.168.100.140mask255.255.255.0#networkinterfaceeth2ipadd172.16.1.1mask255.255.255.02）添加VLAN虚接口，设定VLAN的IP地址，再选择相应的物理接口加入到已添加的VLAN中。#networkvlanaddrange1,2#networkinterfacevlan.0001ipadd192.168.1.1mask255.255.255.0#networkinterfacevlan.0002ipadd192.168.2.1mask255.255.255.0#networkinterfaceeth0switchporttrunkallowed-vlan1,2native-vlan1encapsulationdotlq3）定义主机、子网地址资源。#definehostaddname172.16.1.3ipaddr172.16.1.3#definehostaddname192.168.100.143ipaddr192.168.100.143#definehostaddnamedoc_serveripaddr10.10.10.3#definesubnetaddnamerd_groupipaddr192.168.2.0mask255.255.255.0except‘10.10.11.210.10.11.3’4）设置区域资源的缺省访问权限：area_eth0、area_eth2为禁止访问，area_eth1为允许访问（缺省权限，无需再设定）。#defineareaaddnamearea_eth0accessoffattributeeth0（不允许访问内网）#defineareaaddnamearea_eth2accessoffattributeeth2（不允许访问内网）5）定义地址转换规则。定义源地址转换规则，使得内网用户能够访问外网。#natpolicyadddstareaarea_eth1trans_src192.168.100.140定义目的地址转换规则，使得内网文档组以及外网用户都可以访问area_eth2区域的WEB服务器。#natpolicyaddorig_dst192.168.100.143orig_serviceHTTPtrans_dst172.16.1.36）定义访问控制规则。允许内网和外网用户均可以访问WEB服务器#firewallpolicyaddactionacceptdstareaarea_eth2dst172.16.1.3serviceHTTP允许项目组领导访问外网，禁止项目组普通员工访问外网#firewallpolicyaddactiondenysrcareaarea_eth0srcvlanvlan.0002srcrd_groupdstareaarea_eth0serviceHTTP注意事项1）目的地址需要选择WEB服务器的真实IP地址，因为防火墙要先对数据包进行目的地址转换处理，当内网用户利用服务器时，由于符合NAT目的地址转换规则，所以数据包的目的地址将被转换为172.16.1.3。然后才进行访问规则查询，此时只有设定为WEB服务器的真实IP地址才能达到内网用户访问SSN区域WEB服务器的目的。网络卫士系列防火墙处理数据包的流程请参考用户手册相关章节。2）定义目的地址转换规则时，不能选择目的区域与目的VLAN。根据源端口配置访问控制规则基本需求案例：某银行系统应用软件使用特定的端口进行业务主机与服务器间的数据通信，为了保证数据及设备的安全，禁止其他对于业务主机和服务器的访问。网络结构示意图如下所示。图26根据源端口进行访问控制示意图业务主机可以使用特殊端口访问服务器，不能使用其他端口。业务主机区域和服务器区域禁止其他类型的访问。配置要点�定义区域：area_eth1、area_eth2。�定义服务端口：FS_port�设置访问控制规则WebUI配置步骤1）定义区域area_eth1为禁止访问，并与属性eth1绑定。选择资源管理区域，点击“添加”，如下图所示。2）定义区域area_eth2为禁止访问，并与属性eth2绑定。具体操作与area_eth1相似，请参考area_eth1的定义过程完成。3）定义服务端口由于系统使用的通信端口是：4500，不是通常使用的协议端口，在设置规则前需要自定义端口。选择资源管理服务，激活“自定义服务”页签，进入自定义服务页面。点击右侧“添加”，如下图所示。选择类型：TCP，设置名称：FS_port，服务器实际使用的端口：4500。完成后点击“确定”按钮。4）定义访问控制规则该规则为来自area_eth1区域使用源端口为4500的数据包允许通过防火墙访问area_eth2区域。a）选择“源”页签，参数设置如下。b）