香港某大学防火墙课件政策规则设定duncan.ppt

[Inbound Policy] 對應之存取控制規則會自動產生在 [安全政策] 中，因此外部使用者才能被允許存取內部主機所提供之服務 * * [Outbound 政策] 亦稱為 NAT，主要是做網路位址的轉換，提供內部區網中使用私有 IP 的電腦，利用此協定可以連線出去，以訪問 Internet 上的電腦。 * 請注意若為 Single-Port 請在 From 與 To 欄位均輸入相同的埠號 * 安全政策: 規則建立步驟 (5/9) 8 . Host – A 物件已成功建立 9 . 點選 Host – A 物件 10 . 點擊 “ Add ” 即可看到規則出現， Host - A 安全政策: 規則建立步驟 (6/9) 11 . 建立 Server – B 物件，IP ： ，步驟與 Host – A 物件一樣 ，故省略。 安全政策: 規則建立步驟 (7/9) 12. 點擊服務建立服務物件。 13 . 點擊服務選 “ 新增物件 ” 14. 選 “ http ” 再點擊 Add (14-1) 15. 選 “ https ” 再點擊 Add (15-1) 14-1. 點擊 “ Add ” 15-1. 點擊 “ Add ” 安全政策: 規則建立步驟 (8/9) 點擊 “ Add ” 後即產生 16 . 再動作欄位選擇 “ 允許 ” 17 . 點擊 “ 確定 ” 安全政策正式生效 安全政策: 規則建立詳細步驟 (9/9) 18 . 點擊 “ 眼睛圖示 ” 則會出現安全政策的詳細規則 Inbound 政策 允許網際網路使用者透過外部公有 IP 位址存取內部主機(使用外部服務 IP 位址對應到內部主機 IP 位址) Inbound 政策: 相同埠號的對應 此範例說明如何建立以下的 [Inbound 政策] 規則 原始封包 目的封包 來源位址 目的地位址 服務 目的地位址 服務 ALL PUB-Server HTTP,HTTPS PRI-Server HTTP,HTTPS Ex: 所有來源 ( ALL ) 到 PUB-Server 這個公有 IP 的 HTTP (80) 、HTTPS ( 443 )服務，會導到 PRI- Server 這個私有的 HTTP (80)、HTTPS ( 443 )服務。 Inbound 政策: 規則建立步驟 (1/2) 1 . 物件建立的方式和前面介紹的方式一樣，請參考前幾張投影片。 2 . 設定物件建立完成和設定服務完後，需點擊 “ 確定 ” Inbound 規則才會正式生效。 Inbound 政策: 規則建立步驟 (2/2) 3 . 點擊 “ 眼睛圖示 ” 則會出現 Inbound 政策的詳細規則 Inbound 政策: 不同埠號的對應 此範例說明如何建立以下的 [Inbound 政策] 規則 原始封包 目的封包 來源位址 目的地位址 服務 目的地位址 服務 ALL PUB-SERVER HTTP PRI-SERVER squid Ex: 所有來源 (ALL) 到 PUB-Server 這個公有 IP 的 HTTP (3128) 服務， 會導到 PRI-Server 這個私有的 HTTP (3128)。 Inbound 政策: 規則建立步驟 (1/3) 1 . 物件建立的方式和前面介紹的方式一樣，請參考前幾張投影片， 但有一個較特別的地方是， 在選擇 “ 原始封包 ” 這個欄位的 HTTP 服務後， 須再到 “ 轉換後封包 ”這個欄位的 HTTP 服務刪除。 2 . 點擊“ 方塊圖示 ” 會跳出刪除視窗。 3 . 選擇刪除物件。 4 . 點擊“ 方塊圖示 ” 會跳出新增視窗。 5 . 選擇新增物件。 6 . 選 “ squid ” 7 . 點擊 “ Add ” 8 . 點擊 “ Close ” Inbound 政策: 規則建立步驟 (2/3) 9 . 點擊 “ 確定 ” Inbound 規則才會正式生效。 10 . 點擊 “ 眼睛圖示 ” 則會出現 Inbound 政策的詳細規則 Inbound 政策: 規則建立步驟 (3/3) Outbound 政策 政策路由與負載平衡 ＆ 來源位址轉換 (NAT) 所有手動定義之規則必須使用 After-DMZ 規則，除非遇到下列的情況 1. 覆寫 DMZ 規則 2. VPN 負載平衡 (GRE) 請使用 After-DMZ 規則(down-arrow) [Inbound 政策] 對應之路由規則會自動產生在 [Outbound 政策] Outbound 政策: 規則建步驟 (1/3) 此範例說明如何建立以下的 [Outbound 政策] 規則 來源位址 目的地位址 服務 從 NAT 偽裝