天融信防火墙的一个典型配置方案.doc

[原创]天融信防火墙的一个典型配置方案 一个典型配置方案现在根据我们的经验，假设几种典型的网络环境，描述“网络卫士”防火墙在这些环境中应该如何配置。? ?? ?? ?? ?以3个端口的“网络卫士”防火墙为例，其中一个接外网，一个接内网，一个接SSN，在SSN中有三台服务器，一台是HTTP服务器，一台是FTP服务器，一台是邮件服务器。有如下需求：内网的机器可以任意访问外网，可以访问SSN中指定的服务器，外网和SSN的机器不能访问内网；外网可以访问SSN中的服务器。在非动态地址环境下：防火区域配置 外网：接在eth1上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping。内网：接在eth2上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，允许ping。SSN：接在eth0上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，禁止ping。经过以上的配置后，如果没有其他的访问策略和通信策略，则防火墙允许内网上的机器访问外网，允许SSN上的机器访问外网，不允许内网被外网或SSN访问，不允许SSN被外网、内网访问。（允许访问并不表示可以成功通信，尽管内网被允许访问外网，但假如没有合法的IP地址，也无法进行成功的访问，这个问题在后面NAT配置中将进行详细描述。）定义三个网络节点 FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址=…，物理地址=…。HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址=…，物理地址=…。MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址=…，物理地址=…。配置访问策略 根据区域的定义，外网和内网的缺省访问权限已经满足要求，现在只需要进行一些访问策略设置。在SSN区域中增加三条访问策略：① 访问目的=FTP_SERVER，目的端口=TCP 21。源=内网，访问权限=读、写。源=外网，访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。② 访问目的=HTTP_SERVER，目的端口=TCP 80。源=内网+外网，访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。③ 访问目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。源=内网+外网，访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。假如所有的机器都有合法的IP地址，则配置到此为止就结束了。否则，假设内网的机器没有合法的IP地址，它们访问外网需要进行地址转换。当内部机器访问外部机器时，可以将其地址转换为防火墙的地址，也可以转换成某个地址池中的地址。这里描述将地址转换成防火墙地址的方法：增加一条通信策略，目的=外网，源=内网，方式=NAT，目的端口=所有端口。如果需要转换成某个地址池中的地址，则必须先在外网中定义一个子网，地址范围就是地址池的范围，然后在通信策略中选择NAT方式，在地址池类型中选择刚才定义的地址池。假设SSN中的服务器也没有合法的IP地址，必须依靠防火墙做地址映射来提供对外服务。1．首先增加一个网络节点，表示外网访问的虚拟机器。 ? ???区域=外网，IP=防火墙IP地址，名字=V_SERVER。2．增加通信策略。? ???目的=V_SERVER，源=外网，通信方式=MAP，指定协议=TCP，端口映射21-》21，目标机器=FTP_SERVER。? ???目的=V_SERVER，源=外网，通信方式=MAP，指定协议=TCP，端口映射80-》80，目标机器=HTTP_SERVER。? ???目的=V_SERVER，源=外网，通信方式=MAP，指定协议=TCP，端口映射25-》25，目标机器=MAIL_SERVER。? ???目的=V_SERVER，源=外网，通信方式=MAP，指定协议=TCP，端口映射110-》110，目标机器=MAIL_SERVER。这样，防火墙上的单个IP地址就可以为三台机器进行端口映射。在动态地址环境中：假设某个网络内部使用DHCP/BOOTP来动态分配内部机器的IP地址。如果要求内部机器都可以访问外部，可以仿造上面那个例子的做法，在内网中规定一个地址范围就可以了。假如只要求指定的机器可以上网，上面的做法就不行了。可以采取以下的步骤：① 首先确定哪些机器可以上网，分别找出它们的网卡的物理地址。可以在同网段的一台机器上ping这些机器，然后用arp –a命令查看它们的物理地址。② 对每台这样的机器，在防火墙上定义一个网络节点：名字=…，区域=内网，物理地址=…，IP地址=空。注意