防火墙访问控制规则配置教案.doc

访问控制规则配置 访问规则描述了网络卫士防火墙允许或禁止匹配访问控制规则的报文通过。防火墙接收到报文后，将顺序匹配访问规则表中所设定规则。一旦寻找到匹配的规则，则按照该策略所规定的操作（允许或丢弃）处理该报文，不再进行区域缺省属性的检查。如果不存在可匹配的访问策略，网络卫士防火墙将根据目的接口所在区域的缺省属性（允许访问或禁止访问），处理该报文。在进行访问控制规则查询之前，网络卫士防火墙将首先查询数据包是否符合目的地址转换规则。如果符合目的地址转换规则，网络卫士防火墙将把接收的报文的目的IP 地址转换为预先设置的IP 地址（一般为真实IP）。因此在进行访问规则设置时，系统一般采用的是真实的源和目的地址（转换后目的地址）来设置访问规则；同时，系统也支持按照转换前的目的地址设置访问规则，此时，报文将按照转换前的目的地址匹配访问控制规则。 根据源、目的配置访问控制规则 基本需求 系统可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配，访问控制规则的源和目的既可以是已经定义好的VLAN 或区域，也可以细化到一个或多个地址资源以及用户组资源。与包过滤策略相同，访问控制规则也是顺序匹配的，系统首先检查是否与包过滤策略匹配，如果匹配到包过滤策略后将停止访问控制规则检查。但与包过滤策略不同的是访问控制规则没有默认规则。也就是说，如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话，系统将根据目的接口所在区域的缺省属性（允许访问或禁止访问）处理该报文。 案例：某企业的网络结构示意图如下图所示，网络卫士防火墙工作在混合模式。Eth0 口属于内网区域（area_eth0），为交换trunk 接口，同时属于VLAN.0001 和VLAN.0002，vlan.0001 IP 地址为，连接研发部门文档组所在的内网（/24）；vlan.0002 IP 地址为，连接研发部门项目组所在的内网（/24）。 图 25 根据源、目的进行访问控制示意图 Eth1 口IP 地址为40，属于外网area_eth1 区域，公司通过与防火墙Eth1口相连的路由器连接外网。Eth2 口属于area_eth2 区域，为路由接口，其IP 地址为，为信息管理部所在区域，有多台服务器，其中Web 服务器的IP 地址：。 用户要求如下： ?? 内网文档组的机器可以上网，允许项目组领导上网，禁止项目组普通员工上网。 ?? 外网和area_eth2 区域的机器不能访问研发部门内网； ?? 内外网用户均可以访问area_eth2 区域的WEB 服务器。 配置要点 ?? 设置区域对象的缺省访问权限：area_eth0、area_eth2 为禁止访问，area_eth1 为允许访问。 ?? 定义源地址转换规则，保证内网用户能够访问外网；定义目的地址转换规则，使得外网用户可以访问area_eth2 区域的WEB 服务器。 ?? 定义访问控制规则，禁止项目组除领导外的普通员工上网，允许内网和外网用户访问area_eth2 区域的WEB 服务器。 WebUI 配置步骤 1）设定物理接口eth1 和eth2 的IP 地址。 选择 网络管理 接口，激活“物理接口”页签，然后点击Eth1、Eth2 端口后的“设 置”字段图标，添加接口的IP 地址。如下图所示。 2）添加VLAN 虚接口，设定VLAN 的IP 地址，再选择相应的物理接口加入到已添 加的VLAN 中。 a）选择 网络管理 二层网络，激活“VLAN”页签，然后点击“添加/删除VLAN 范围”，如下图所示。 b）设定VLAN 虚接口的IP 地址。 点击VLAN 虚接口的“修改”字段图标，在弹出界面中设置VLAN.0001 的IP 为： ，掩码为：；VLAN.0002 的IP 为：，掩码为：。 如下图所示。 c）设定VLAN 和物理接口的关系。 选择 网络管理 接口 ，激活“物理接口”页签，然后点击eth0 接口后的“设置” 字段图标，设置接口信息，如下图所示。 3）定义主机、子网地址对象。 a）选择 资源管理 地址，选择“主机”页签， 定义主机地址资源。定义WEB 服 务器主机名称设为，IP 为；定义虚拟WEB 服务器（即WEB 服务器 的在外网区域的虚拟IP 地址）主机名称设为43, IP 为43；定义 接口主机地址资源40（也可以是其他字符串），主机名称设为40, IP 为40；定义文档服务器，主机名称设为doc_server, IP 为。定义 完成后的界面如下图所示： b）选择 资源管理 地址，选择“子网”页签， 点击“添加”定义子网地址资源。 资源名称rd_group，以及网络地址、子网掩码 以及排除领导地 址: 和。 4）定义区域资源的访问权限（整个区域是否允许访问）。 选择 资源管理 区域，设