热搜词
发表于 2008-5-6 21:05:17 | 显示全部楼层 |阅读模式
一 概要介绍
新上市的TL-FR5300防火墙产品,主要有两大功能特点:“攻击防护”和“策略”。它还有其他很多功能,在这篇文档里,我们将侧重表述“策略”这一块,其他功能我们另有专门的表述文档。当您在看这篇文档之前,我们希望您能够先了解一下TL-FR5300的《用户手册》,对TL-FR5300使用过程中涉及的诸多概念有一定的了解。

    一般情况下用户购买了TL-FR5300,将其置于本单位网络的出口处,作为内部网络所有主机登录互联网的网关设备,内网主机所有去往互联网的数据都需要流经TL-FR5300,我们对TL-FR5300进行适当配置,就可以对内网主机的上网操作进行灵活的管理。

    TL-FR5300处于整个内部网络的出口,默认内部网络(LAN)和外部互联网(WAN)是互通的,但建议将这一条默认策略删除。当内部网络中某一部分主机需要某上网权限时,网络管理员只需要在TL-FR5300上面给这一部分主机打开相应的上网权限,当内部网络另一部分主机需要另外的上网权限时,管理员只需要在TL-FR5300上打开另一部分上网权限即可。这就是我们配置TL-FR5300这款防火墙产品时候的基本指导思想——“有需求才开放”。

    在使用TL-FR5300的过程中,为了顺利实施上面“有需求才开放”的思想,我们极力建议您的网络是经过规划的——特别是“IP地址”这一部分,因为“IP地址”是互联网中每台主机标示自己的唯一标志,TL-FR5300也是通过“IP地址”实现对主机权限的控制。具体地说,网络里具备相同网络权限的主机应该从属于一个组,适应不同网络权限的主机从属于不同的组,而我们在规划“IP地址”的时候,既要考虑现有各个组的规模,也要考虑到以后网络的增长,不同网络权限的主机组使用不同的IP地址段,比如下面不同的组使用不同IP地址段:

     管理团队:192.168.1.1~192.168.1.30(192.168.1.0/27)
     市场部门:192.168.1.65~192.168.1.94(192.168.1.64/27)
     销售部门:192.168.1.129~192.168.1.158(192.168.1.128/27)

当配置TL-FR5300时给不同的IP地址段不同的网络权限,那么网络中某台主机使用了什么IP地址就具备了什么网络权限,这就是网络经过规划的好处:
上班时间限制内部网络某台主机只能登录互联网某个网站服务器。
要实现上面的目的,网络管理员通过设置TL-FR5300的“策略”,将上面这个想要实现的目的体现出来就可以。在这条“策略/规则”设置的过程当中,“内网某主机、互联网某网站服务器、可以登录”这些都属于“策略/规则”的基本组成部分,“上班时间”属于“策略/规则”的可选组成部分。
“策略”可分为基本组成部分和可选组成部分。基本组成部分有:信息流的方向、信息流的源地址、信息流的目的地址、禁止/允许通过。可选组成部分有:时间、安全认证、流量控制、深层检测、日志等。
在TL-FR5300里面将“策略”的组成部分称之为“对象”,当需要设置一条“策略”的时候,要考虑一下即将设置的“策略”都包含哪些“对象”?TL-FR5300有专门用于定义“对象”的配置界面,比如策略里面涉及“上班时间”,那么配置策略之前,要先在“对象”-“时间表”里面将“上班时间”体现出来,然后在“策略”配置过程中引用先设定好的“上班时间”这个“对象”,那么这样设置的“策略”才能在“上班时间”生效。简单的说这就是“策略”和“对象”的关系。可以说多个不同的“对象”通过组合最后生成了一条“策略”。
TL-FR5300的“策略”可由如下可选“对象”组成:IP地址、IP地址组、服务、服务组、动作、时间表、应用、深层检测、网络地址转换、用户认证、QoS控制、URL过滤、日志。
全部评论11
灰儿 发表于 2008-5-6 21:05:47 | 显示全部楼层
二 举例以及说明
下面我们通过一些简单的“策略”设置过程,来详细地描述“策略”和“对象”是一个怎样的关系?它们是怎样使用的?
  • 1,销售部员工张三只能登录阿里巴巴网站

分析:通过设置TL-FR5300的“策略”实现上面的目的,这条“策略”包含的“对象”有:张三(使用的IP地址)、阿里巴巴(网站服务器IP地址)、可以登录(网站)。
设置:设置过程分两部分,分别是设置“对象”和“策略”,设置“对象”是为了“策略”引用它,设置“策略”是为了最终实现我们的限制目的。
如上图选择了“对象”-“IP地址”,设置界面如下图:
如上图要在“区域”选择LAN ,因为张三处于公司内网也就是TL-FR5300定义的LAN区域,选择后点击“新增”按钮,界面如下图:
如上图:
“IP地址名字”建议具备可读性,张三是销售部员工,这里取为“Sales – 张三”。
“说明”是对本IP地址的简单解释说明。给张三配置的IP地址为 192.168.1.129 。
“子网掩码”填为32表示这里是单个IP地址。
设置完后点击确定按钮返回上一级界面如下图:
在“对象”里设置完了张三的IP地址后,还需要设置阿里巴巴网站的IP地址,通过PING阿里巴巴中文网站的域名www.alibaba.com.cn我们可以 ... 址是61.129.44.1 ,因为阿里巴巴网站在外部互联网上,也就是TL-FR5300定义的WAN区域,所以这次新增IP地址的时候一定要先选择WAN区域,然后新增,界面如下图:
或者不设置服务器的IP地址而直接填入阿里巴巴中文网站域名也可以,如下图:
点击“确定”按钮后返回上一级页面,选择“区域”为所有,并点击“显示”按钮,可以看到刚才分别在LAN和WAN区域新增的两个IP地址对象,如下图:
准备好了“对象”以后,我们就可以在“策略”里面进行配置了!因为本策略描述的对象,是张三的电脑主动向阿里巴巴网站发起连接,所以在设置策略的时候一定要注意“区域”的选择是从LAN——>WAN这个方向,配置界面如下:
上图是一个复合的图片:
“策略名”建议具备一定的可读性,便于日常维护!
“源地址”引用IP地址对象里张三的IP地址。
“目的地址”引用IP地址对象里阿里巴巴网站服务器IP地址。
“服务”粉红色勾勒的服务这一行后面的“复选”按钮,点击后弹出下半部分界面,选择了两种服务分别是DNS和HTTP,因为访问阿里巴巴网站前电脑先要联系互联网DNS服务器解析阿里巴巴网站域名对应的IP地址,然后才向这个服务器IP地址发起HTTP请求,也就是登录网站的过程,选择好服务以后点击“确定”按钮,有关“服务”的详细描述,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南(二)——虚拟服务器的搭建》。
返回策略设置界面如下图:
如上图,策略设置界面的所有“对象”中,只涉及到了基本组成部分也就是红线勾勒的部分,其他可选组成部分的对象都没有涉及,改动后点击确定,返回上一级配置界面,如下图:
就是这样,想要实现“销售部员工张三只能登录阿里巴巴网站”这样目的,通过上面这个设置过程就完成了。看起来篇幅很长,其实熟练设置的时候所需时间是很短的!

[ 本帖最后由 灰儿 于 2008-5-6 21:15 编辑 ]
回复

使用道具 举报

灰儿 发表于 2008-5-6 21:06:38 | 显示全部楼层
2,销售部员工张三上班时间只能登录阿里巴巴网站
这第2个例子我们在第一个例子的基础上,增加了“上班时间”这个对象,那么是怎样实现这个目的呢?
分析:按照在第1个例子中的分析,只要再加上“对象”-“时间表”里面再加入上班时间段就可以了。设置策略的时候,除了第1个例子里面改动的“对象”以外,再多改动一个“时间表”的参数就可以了。
设置:增加时间表“对象”,在TL-FR5300设置界面“对象”-“时间表”里面,新增时间表如下图:
“时间表名”和“说明”:具备可读性,便于日常维护管理。
“多次”和“单次”:多次表示时间是循环生效的,本周适用下周仍然适用。单次是在开始日期和结束日期这一段时间内一次性生效,超出这个时间段的则不能生效。这里“多次”和“单次”采用了复选框的方式,表示可以同时两项都选择,或者每次选择其中一种方式。注意:如果“多次”和“单次”都选中,则它们的关系是“或”的关系。也就是说,时间表生效时间在“多次”定义的时间段内或者“单次”定义的时间段内。它们是“并集”的关系,而不是“交集”的关系,不可理解为“在单次定义的时间段内的每周一至周六”!
要确保“时间表”这个对象能够生效,有个地方需要注意,就是TL-FR5300配置选项里面的“系统工具”—“时间设置”,配置界面如下:
上图中的红色文字已经进行了强调,想要时间表生效,必须从互联网上获取标准的GMT时间或者直接指定一个当前时间。设置好时间后TL-FR5300会一直保存时间,不会因为设备断电而时间失效。
好了,上面添加了“时间表”这个对象,然后我们直接在“策略”里面找到刚才设置的从LAN—>WAN的策略,并重新编辑它,如下图:
如上图,在原有策略基础上“时间表”这个对象里面选择了“上班时间”,然后确定就可以了!这样就实现了“销售部员工张三上班时间只能登录阿里巴巴网站”,过程很简单。
回复

使用道具 举报

灰儿 发表于 2008-5-6 21:07:35 | 显示全部楼层
  • 3,销售部员工张三和李四上班时间只能登录阿里巴巴网站

分析:上面的例子中,两次配置“策略”引用“源地址”这个对象的时候,都只是引用了张三的IP地址,这次还要再多引用一个销售部员工李四,那只要在TL-FR5300的“对象”-“IP地址”里面将李四的IP地址也设置好,就可以引用了。
配置:如下图在“对象”-“IP地址”里面新增销售部员工李四的IP地址:
一定要注意新增的李四的IP地址要选在LAN这个区域!然后点击“新增”按钮,如下图:
设定完之后点击“确定”按钮就可以了。在TL-FR5300的“对象”里面有个“IP地址组”,就是将已设定的具备相同属性的“IP地址”归并为一组,比如这里将“Sales – 张三”和“Sales – 李四”归并为一组命名为“Sales”,这样在配置“策略”时候引用“源地址”可以不必张三李四分别引用两次,只需要引用一次“Sales”组就可以了。“IP地址组”设置如下图:
如上图注意新增的区域是“LAN”,具体配置界面如下:
“组名”为Sales 。
“说明”为sales group表示销售部。
从“备选”里面选择特定对象添加到“已选”框内,“确定”完成配置,返回上一级页面。
如上图看到IP地址组里面多了一个Sales组,包含成员“李四”、“张三”。有了上面这些准备,开始修改前面的“策略”,如下图:
“策略名”进行了更改,将以前的Sales – zhangsan – alibaba 改为现在的Sales – alibaba 。
“源地址”由张三的IP改为销售IP地址组Sales 。
其他对象保持之前的状态不变即可,最后点击“确定”按钮即完成了配置,如下图:
可以看到从LAN到WAN的策略里,ID为3的策略正是我们刚刚完成的。
以后如果销售部增加新员工王五,分配了IP为192.168.1.131 ,上网权限和张三、李四都是一样,那只需要在“对象”-“IP地址”里面新增王五的IP地址,然后将新增的王五的IP地址添加到“IP地址组”-Sales这个组里面,不需要改动策略,那么王五的网络权限就和前面几位员工的相同了。
回复

使用道具 举报

灰儿 发表于 2008-5-6 21:08:25 | 显示全部楼层
  • 4,销售部员工上班时间只能登录阿里巴巴网站
分析:前面我们举了3个例子,来说明一条简单的策略如何设置?我们发现,每次销售部新增员工,都需要网络管理员在“对象”-“IP地址”里面新增,然后再将新增的IP地址归并到“IP地址组”里Sales的小组,这样的过程比较麻烦!有没有更快捷的设置方式?
当然有了!一开始我们就倡导如果使用TL-FR5300我们极力推荐您的网络先做好规划,比如网络管理员按照现有情况以及今后一段时间内的网络增长预期,将IP地址段192.168.1.129 – 192.168.1.159预留分配给销售部员工使用,销售部员工的网络权限都是相同的。
前面设置的策略里,“源地址”曾单独选择过“Sales – 张三”和包含张三李四的“Sales”,如果我们将Sales这个组一开始就定义成包含192.168.1.129 – 192.168.1.159 这一段IP地址,然后在“策略”设置的时候“源地址”引用“Sales”,这样配置一条策略相当于一次配置了192.168.1.129 – 192.168.1.159这30个IP地址,都是“上班时间只能登录阿里巴巴网站”的权限。接下来当然是将已设置的IP地址单独分配给张三、李四、王五使用,等以后赵六加入了销售部,网络管理员不用改动TL-FR5300的配置,只需要告诉赵六使用192.168.1.132这个IP地址就可以了,这样将网络预先进行一定的规划,然后配置网络设备可以收到事半功倍的效果。
配置:就上面的分析,我们进行如下的配置即可快速实现。如下图在TL-FR5300的“对象”-“IP地址”里面,在LAN区域新增IP地址参数:
单击“确定”按钮后返回上一级设置界面,如下图:
如上图红线勾勒,对比“Sales – 张三”和“Sales Group”的图标,“Sales – 张三”的图标是单台电脑表示只包含1个IP,而“Sales Group”是多台重叠的图标,表示一个IP地址段,这个IP地址段的网段地址是192.168.1.128 ,网段内可用IP地址范围是192.168.1.129 – 192.168.1.158总共包含30个可用的IP地址 ,这个段的广播地址是192.168.1.159 。
上面设置的过程中,因为采用了“变长子网掩码”的方法——即将默认的24位子网掩码加长到27位,所以取得了一条设置表示一段IP地址的结果。
如果在配置的过程当中,填入的不是192.168.1.128/27而是默认的192.168.1.128/24 ,这样设置在TL-FR5300里面也是允许的,这样设置的结果和填入192.168.1.0/24的结果是相同的,就是产生了一个192.168.1.1 – 192.168.1.254的可用IP地址段。因为我们这里举例网络规划的时候并没有给销售部254个IP地址,而是给了30个IP地址,所以我们填入的子网掩码不是24而是27 。
对于192.168.1.128/24和192.168.1.128/27表示的IP地址范围不同这样一个事实,属于网络公共基础知识,这里限于篇幅我们就不做过多地介绍了。如果您想要搞清楚其中的细节,可寻找一些“IP地址和子网掩码”方面的书籍或者相关RFC文档参考学习一下。
经过上面的准备,只需要在“策略”里面将“源地址”选择“Sales Group”,其余参数不变,我们就可以通过一条策略实现:一个包含30个IP地址“上班时间只能访问阿里巴巴网站”的目的。界面如下:
回复

使用道具 举报

灰儿 发表于 2008-5-6 21:09:15 | 显示全部楼层
5,保存、配置备份和载入
TL-FR5300所有参数在设置的时候,是即时生效的,但是这个时候参数是没有保存的,如果未保存设备重新启动以后所有配置的参数都会丢失,提示您每次阶段性完成参数配置后,在“系统工具”-“保存配置”页面对所有已修改参数进行保存,界面如下图:
TL-FR5300还有一个非常有用的功能,就是“配置备份和载入”,在“系统工具”-“配置备份和载入”,功能界面如下图:
当保存了已修改参数以后,可以通过点击上图红色标注的按钮“备份配置文件”来备份当前配置,界面如下图:
点击“保存”按钮并选择保存的路径,然后保存即可,等到有需要的时候,可以通过上面的“载入配置文件”的选项来完成。
三 关联信息
TL-FR5300的功能,在这里没有一一介绍,本文档前面两部分只是从总体概念上介绍了TL-FR5300最显著的功能特点——如何对内网进行灵活的管理,但是内容还是不够丰富!针对这部分我们会在后面的系列文档中不断补充。
上面的几个例子中,“策略”的可选“对象”部分,比如:应用、深层检测、URL过滤、NAT转换、认证等等,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南——(二)虚拟服务器的搭建》和《防火墙应用指南——(三)企业典型应用》。
对于TL-FR5300的“日志服务器”的使用,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南——(四)日志服务器的安装与使用》。
对于TL-FR5300的“攻击防护”功能的使用,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南——(五)攻击防护实验演示》。
回复

使用道具 举报

灰儿 发表于 2008-5-6 21:10:11 | 显示全部楼层
防火墙应用指南(二)虚拟服务器的搭建

在您继续了解本文档下面的内容之前,我们建议您能够先了解参考一下我们的《防火墙应用指南》系列文档之《防火墙应用指南(一)——基本配置指导思想》。
下面将详细介绍在使用TL-FR5300的情况下如何在内网搭建“虚拟服务器”供外网主机访问?
一,拓扑模型
说明:如上图所示,使用了TL-FR5300这款防火墙之后,想要从Interne上一台主机访问处于TL-FR5300内网的一台服务器,因为默认情况下从Internet上访问来的数据包只能到达TL-FR5300的WAN口,如果这个数据包想要经过TL-FR5300到达内网的服务器,就需要我们对TL-FR5300进行适当的设置,也就是本文档所要阐述的内容。
假设我们搭建的是一台WEB服务器,服务器监听的端口是80 ,那么Internet上的主机在访问的时候不可能通过http://192.168.1.20访问服务器,因为192.168.1.20是私网IP地址在互联网上不可路由的,只能通过http://222.77.77.233来访问,这里的222.77.77.233就是路由器的WAN口公网IP地址。
外网任意一台主机访问过来的数据包结构我们可以用下图来表示:
现在我们对上面的数据包结构简单分析一下:
“源IP”:主机发送的数据包在Internet上传输的时候,用这个字段表明是谁发送的数据包?
“目的IP”:数据包中这个字段标明这个数据包是发往Internet上那个节点的?这个字段填入目的地主机的IP地址。
“源端口”:主机在发送数据包的时候随即选取的一个数值,用于标识本机应用。
“目的端口”:数据包里的这个字段定义了目的主机上那个应用程序接收处理本数据包,比如本例中目的端口就是我们建立在TL-FR5300内网的服务器上的服务端口,假设我们在192.168.1.20主机上建立的是WEB服务器而且使用80端口作为服务端口,那么这里的“目的端口”就是80 ,假设我们在192.168.1.20主机上建立的是FTP服务器而且使用21端口作为服务端口,那么这里的“目的端口”就是21 。
DATA :数据包携带的内容,比如要访问WEB服务器上的什么资源就在这一部分表述。
那么我们思考一下:当互联网上许多主机来访问处于TL-FR5300内网的服务器的时候,那些访问到来的数据包,“源IP”这个参数就是不固定的,而“目的IP”这个参数却是固定的TL-FR5300的WAN口IP地址。
当外网访问的数据包抵达TL-FR5300的WAN口以后,TL-FR5300收取数据包并按照我们配置的策略规则将数据包转发至内网的服务器,这样,Internet上的主机就可以成功访问到处于TL-FR5300内网的服务器了。
二,实现过程
  • 1,建立好服务器
    举例:我们建立了一台WEB服务器,为了测试服务器是否建立好了,我们可以在内网另一台主机上通过http://192.168.1.20来尝试访问建立的WEB服务器,如果成功访问那说明服务器已经建立好了。 
  • 2,建立服务器的主机需要配置“默认网关”的地址,这里必须是TL-FR5300的LAN口IP地址。下图是Windows2000操作系统上配置TCP/IP参数的界面:
如上图所示,建立服务器的主机除了配置自己的IP地址以外,还必须配置网关的地址,也就是TL-FR5300的LAN口IP地址。
  • 3,TL-FR5300的配置
首先,在TL-FR5300配置界面选择“对象”-“IP地址”,然后在“IP地址”页面添加内网建立服务器的主机的IP地址。如下图所示:
选择“区域”-“LAN”,然后点击右面的“新增”按钮,如下图:
图片中:
“IP地址名字”——就是给添加的IP地址取一个名字,用以在设置“策略”的时候被引用。
“说明”——因为实际配置过程中会增添很多IP地址,所以对IP地址进行适当的说明,以便于在配置“策略”进行引用的时候,知道所引用对象代表的哪个主机。
“IP地址或域名”——因为我们这里只添加建立服务器的一台主机的IP地址,所以在后面的掩码部位输入32表示单个IP地址。
最后点击“确定”按钮,退回上一级界面,可以看到新增的一个IP地址对象。
然后继续在“LAN”区域新增一个IP地址对象,这次是要将TL-FR5300面向Internet的WAN口IP地址作为“对象”体现出来,在配置策略的时候会用到,如下图:

如上图“IP地址名字”和“说明”的作用同前面是一样,这里就不再赘述。
好了,做好上面的准备工作后,接下来我们配置“策略”,如下图:
点击后在界面右半部分显出如下图片
因为我们即将在“策略”里面定义的规则是TL-FR5300转发从WAN口收取到的数据包并发往内网的服务器,在这个过程中数据包是从WAN口到LAN口方向的,所以上图中的“区域”需要选成“从WAN到LAN”,然后点击“新增”按钮,如下图:
现在我们对上图中配置的参数做一个说明:
    • 图片右上角,确认本策略是从WAN—>LAN方向的,因为我们这条策略定义的数据包是从WAN—>LAN方向的。
    • “策略名”——为了便于管理员日常维护,建议策略名的选取最好是具备可读性,本例中取为“WEB-Server”。在TL-FR5300的策略匹配过程中,是从前往后(/从上往下)逐条匹配,一旦匹配则不再继续查询下面的策略。所以选中了“加在最前面”,这样当TL-FR5300收到数据包的时候,在判断数据包应该如何转发的时候,会先参考本策略是否匹配?默认从WAN——>LAN没有策略,所以本例中这个参数也可以不选择。
    • “源地址”——因为从Internet上访问本服务器的主机是不确定的,我们也不知道哪些主机将会访问我们建立在内网的服务器,所以本例中将“源地址”选为ANY表示从Internet上访问到来的任何主机IP地址都将适配本策略。
    • “目的地址”——外网访问本服务器的时候数据包从Internet上发送过来,被TL-FR5300的WAN口接收,所以WAN口IP地址就是目的IP地址。
    • “服务”——定义外网访问过来的数据包的端口号。TL-FR5300已经预先定义了很多“预定义服务”,这个参数是对数据包端口号的描述,本例中我们选择了HTTP作为服务,为什么?在TL-FR5300的“预定义服务”这个对象里面已经包含很多参数,对HTTP的表述参数如下图,可以看到HTTP对应的端口号范围源是所有端口,目的是80 ,在本例中策略选中“服务”HTTP意思就是说:外网访问到来的数据包,“目的端口”是80将符合本策略的端口范围。
    • “动作”——本例中当然是选择允许(通过)。
    • “NAT转换”——这个参数一定要启用,这个参数也是专门针对本例这种“虚拟服务器”的搭建而设计的参数,搭建虚拟服务器就必然使用这个参数。“转换到IP”顾名思义就是接收到外网符合条件的数据包后转发到内网的哪个IP地址的主机?“映射到端口”填的是内网服务器的服务端口。
    • 经过上面这几个参数的配置后,策略就算是设置完成了,最后点击“确定”按钮就行了。如下图可以看到从WAN——>LAN新增了一条策略,策略的源地址ANY表示任何源地址,发送到目的地址也就是TL-FR5300的WAN口IP ,数据包访问的是HTTP 80端口,那么TL-FR5300就将数据包转发至内网。
回复

使用道具 举报

灰儿 发表于 2008-5-6 21:10:57 | 显示全部楼层
三,深入理解
假设现在内网主机192.168.1.30也建立了一台WEB服务器,也使用80端口作为服务端口,那么在Internet上除了可以访问192.168.1.20上建立的WEB服务器以外,能不能访问192.168.1.30这台主机上面的WEB服务器呢?当然也是可以的。
在本文档一开始我们就对从Internet访问过来的数据包结构进行了分析,数据包结构里面有“目的端口”这个参数,假设Internet上的主机要访问TL-FR5300内网192.168.1.20上面建立的WEB服务器,根据上面策略的配置处于外部互联网上的主机只需要在IE浏览器里面通过http://222.77.77.233就可以访问192.168.1.20上建立的WEB服务器了,如果这时候外部主机想要访问建立在192.168.1.30上面的WEB服务器,那么还能通过http://222.77.77.233访问吗?那当然不行了!都是同样的http://222.77.77.233访问过来,都是访问目的端口是80的服务,数据包结构没有任何差异,TL-FR5300作为机器怎么可能知道该转发给192.168.1.20还是192.168.1.30 所以,外网主机想要访问建立在192.168.1.30主机上的WEB服务,在访问的时候需要通过不同的参数来表达自己想要访问的是内网的那台主机?比如可以通过http://222.77.77.233:88,也就是说数据包的“目的端口”不是默认的80端口了而是88端口,如下图的对比,这样当不同的数据包发送过来的时候TL-FR5300就可以分辨了:
在配置前面的策略的时候,我们已经看到对于目的端口是80的限定在“预定义服务”里面已经存在了,但是目的端口是88的并没有,所以我们要在“自定义服务”里面将我们需要的88端口定义出来,如下图所示选择“对象”-“自定义服务”-“新增”:

设定好了“自定义服务”以后,继续配置策略,如下图:

说明:
    • 注意策略适用的区域范围!
    • “策略名”——为了和前一条WEB服务器的策略区别开来,这里取了“WEB-Server-Two”作为策略名。
    • 数据包的“源地址”和“目的地址”和上一条策略都是一样的。
    • “服务”——就是我们对外网访问过来的数据包端口的限定,选择我们“自定义的服务”HTTP-Two 。
    • “NAT转换”——填入新的服务器主机地址 192.168.1.30 和服务端口80,如果这台服务器不是用80端口作为服务端口而使用8000作为服务端口,那么我们在这里就需要填入8000 ,就是告知TL-FR5300将数据包转发到主机上的哪个监听端口?
    • 最后“确定”就可以完成策略配置,返回上一级页面,可以看到如下图所示的信息,可以看到从WAN——>LAN方向上目前建立了两条策略。
回复

使用道具 举报

灰儿 发表于 2008-5-6 21:11:40 | 显示全部楼层
四,FTP服务器的搭建
如果内网主机192.168.1.40建立了一台FTP服务器供外网访问,服务端口是21,要怎样配置TL-FR5300呢?
既然服务器提供的服务端口是21,那就是说外网的主机访问的时候数据包“目的端口”就21,这个在TL-FR5300的“预定义服务”里面已经存在了。
策略配置如下:

说明:
    • 注意策略适用的区域范围!
    • “策略名(可选)”——具备可读性,这里取为FTP-Server 。
    • “源地址”和“目的地址”——这两项参数和前面的一样,源地址选为ANY表示任何从互联网上访问过来的数据包,目的地址是TL-FR5300 WAN口IP地址。
    • “服务”——按照前面的说明,在预定义服务里面选择FTP,表示访问过来的数据包目的端口是21。
    • “动作”——当然是允许。
    • “应用”——目前这个参数可选项为“无”和“FTP”。当我们需要在内网建立服务器的时候,我们需要设置从WAN——>LAN的策略,如果我们在内网建立的服务器是FTP服务器,那么在配置策略的时候必须在“应用”这个选项里面选择FTP,告知TL-FR5300这条策略是专门针对内网FTP服务器而设置的。为什么我们要专门针对FTP服务器提供这个“应用”参数呢?是因为FTP协议在运行过程中,Client和Server之间需要建立一条TCP“数据连接”,而这条TCP“数据连接”建立所需要的“目的IP”和“目的端口”是作为DATA封装在FTP“控制连接”上传输的数据包里,这些信息在经过NAT的时候需要NAT设备进行深层检测获取参数,并在NAT自己的NAPT条目里面动态建立,只有这样分处NAT两端的FTP Client和FTP Server才能完整通讯。总之,如果内网建立的服务器是FTP服务器,那么在配置策略的时候就必须选择这个“应用”的参数,别的服务器的话这个参数就保持默认的“无”就可以了。
如果内网建立的FTP服务器使用的服务端口不是21 ,是22 ,那么这条策略应该怎样配置呢?如下图所示,在“映射到端口”栏填入服务器提供的服务端口就行了:

上面这条策略适合外网主机通过ftp://222.77.77.233这个WAN口IP来访问内网的服务端口是22的FTP服务器,如果外网主机要通过ftp://222.77.77.233:22这样的形式访问,也就是数据包发送到WAN口的时候“目的端口”不是默认的21而是22 ,并将这样的数据包转发到内网的FTP服务器,策略应该怎样配置?如下图:

选择“新增”如下图:

就像本文档前面描述的,“自定义服务”可以用于描述外网访问过来的数据包的源和目的端口,设置完后点“确定”。那么这条新增的名为“FTP-22”可以作为对象被策略引用。接下来就是配置策略了,仍然是从WAN——>LAN的策略:

说明:
    • 注意策略适用的区域范围!
    • “服务”——选择我们在前面对象里面配置的“自定义服务”FTP-22 。
    • “应用”——如果是FTP服务器就必须选择。
    • “映射到端口”——内网主机上建立的服务器提供的服务端口,是21就填21是22就填22 ,这个参数就填内网主机的服务端口。但是这个参数和“自定义服务”里面定义的端口并没有必然的对应关系,虽然我们可以将其一一对应。
五,关联信息
对于“策略”里面的可选“对象”部分比如“深层检测”、“URL过滤”、“日志”、“认证”等参数的使用,请参考我们其他的《防火墙应用指南》系列文档。
回复

使用道具 举报

灰儿 发表于 2008-5-6 21:12:38 | 显示全部楼层
防火墙应用指南(三)企业典型应用

在您继续了解本文档下面的内容之前,我们建议您能够先了解参考一下我们的《防火墙应用指南》系列文档之《防火墙应用指南(一)——基本配置指导思想》和《防火墙应用指南(二)——虚拟服务器的搭建》。
下面通过一些详细的例子,来进一步说明通过TL-FR5300的配置,如何实现企业的网络管理需求。
1,公司销售部因为业务需求,上班时间要具备“浏览网页”的权限,但是个别网站禁止访问,除“浏览网站”以外没有其他上网权限其他时间不进行任何上网限制在实现上面需求的基础上,要防止IP地址盗用
分析:要实现上面的目的,在配置TL-FR5300的策略的时候,涉及的“对象”有销售部员工的IP地址、外部网站、除了访问网站以外别的上网操作等等,这些“对象”我们会在下面的配置过程中一一体现出来。
配置:
(1)“IP地址”:关于这个对象的描述和详细的举例,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南——基本配置指导思想》,我们这里就直入主题开始配置了。
在TL-FR5300“对象”-“IP地址”页面,选择“区域”LAN,点击“新增”按钮:
按照上图的办法将销售部所有员工的IP地址都添加到“IP地址”这个对象里面,下图:
(2)“IP地址组”:接下来把销售部所有成员都加入到一个组,取名“销售部”,如下图:
(3)“服务”:要访问Internet上的网站,也就是内网电脑要有访问Internet上80端口的HTTP服务的权限。同时,登录网站前内网电脑还有个向Internet上DNS服务器请求域名解析的过程,所以还需要DNS权限,这些服务在TL-FR5300的“预定义服务”这个对象中都已经存在了,不需要设置。可以在“对象”-“服务组”里面定义一个新的服务组,包含“DNS”和“HTTP”两项服务,取名“WEB服务”,如下图所示:
备注:有关“服务”这个对象的详细应用,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南(二)——虚拟服务器的搭建》。
(4)“时间表”:上班时间需要控制,其他时间整个公司都可以随便上网,不需要控制;我们需要建立两个时间表:“上班时间表”、“非上班时间表”;
备注:有关“时间表”这个对象的详细应用,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南(一)——基本配置指导思想》。
(5)“URL过滤”:个别网站禁止访问,可以通过“URL过滤”这个功能实现。假设我们要禁止访问的网站域名为www.xxx.com
如下图先在“对象”-“URL模式表”里面,将准备禁止访问的网站域名体现出来,配置如下图所示:
给“模式表”栏自定义一个black的名字含义是要禁止,在“URL模式”栏填入想要禁止访问的网站域名www.xxx.com。然后点击“添加”按钮。
然后在“对象”-“URL过滤配置”界面“新增”一个黑白名单选择,如下图:
如上图:
“URL过滤配置名字”这一栏输入一个名字,后面配置策略的时候就通过这个名字来引用的。
“黑名单”里选择前面我们定义的black那张表,它里面包含了想要禁止的www.xxx.com这个网站的域名。如果还要禁止别的网站,只需要将那些网站域名添加到前面black那张表里面就可以了,这里不需要改动。
“白名单”保持默认的不改动即可。
“缺省动作”默认允许不作改动。
然后点击“确定”按钮即可。
(6)“用户”:为了防止其他没有上网权限的用户盗用销售部的IP地址来上网,就需要通过这里的设置来实现。
先在“对象”-“用户”界面里为销售部所有员工每人设置一个用户名和密码。如下图:
如上图给销售部员工张三设定了用户名和密码,当给张三分配IP地址的时候连同这里的用户名和密码一起分配给张三。同样给销售部员工李四、王五等等都设置用户名和密码。
设置好以后再进入TL-FR5300“对象”-“用户组”界面,将上面设置的销售部的多位员工归并到一组如下图:
如上图设置好以后,当配置“策略”的时候引用“销售部用户”这个组,那么符合本策略的所有“源地址”的主机在登录互联网的时候都需要先通过认证,通过这种方式达到防止IP地址盗用的目的。
(7)好了,经过上面6步准备工作,到此为止配置“策略”所需要涉及到的“对象”基本设置完成。
看过我司网站“技术支持”——“网络教室”栏目文档《路由器如何限制内网电脑使用QQ》一文的用户都知道,腾讯公司的即时聊天软件QQ也使用了80端口。上面第(3)步定义“服务”对象的时候,开启了HTTP服务也就是80端口,这样一来允许80端口通过QQ也就可以成功登录了,这显然是不符合一开始提到的网络控制需求,那么我们需要回头再做一些设置准备:
在“对象”-“IP地址”页面选择WAN “区域”,将腾讯公司提供的所有QQ服务器的IP地址全部“新增”到WAN区域,如下图:
备注:上图页面中QQ服务器IP地址是我们通过QQ2006这个版本,在深圳电信ADSL线路上寻找到的提供80端口服务的地址,不代表您那里的情况,所以建议您在自己实际应用的线路上亲自寻找一下看是否是别的IP地址。
因为我们这里的事例只是说开放了HTTP 80端口的权限后,通过80端口登录成功QQ连接的服务器IP地址,所以没有涉及QQ使用其他比如8000、443端口连接的时候,连接的服务器IP地址是多少。
然后在“对象”-“IP地址组”页面,选择WAN区域然后“新增”条目,对上面设定的单个QQ服务器进行归并,如下图:
设置完成后点击确定按钮,完成准备工作。
(8)开始“策略”的设置,选择区域从“LAN”到“WAN”,点击“新增”按钮(注意配置前先删除默认的any-any-any的策略):
如上图“服务”保持默认ANY意思是:发往QQ服务器任何端口的数据包都被禁止。设定完成后点击“确定”按钮。然后继续设置销售部只开放“浏览网页”权限的“策略”,如下图所示:
上图设置好之后,再添加一条下班时间不限制上网的“策略”:“销售部-any―any-允许-非上班时间表”就可以让销售部在非上班时间拥有所有上网权限了。上图中有红字“用户认证”注解“认证”这一部分,上面第(6)步的准备,先设定用户在设定用户组,然后上图“认证”部分选择了前面设定好的“销售部用户”这个组,这样凡是使用销售部IP地址上网的,都需要提供用户名和密码通过认证,然后才可以上网。在电脑端具体的认证步骤请参考TL-FR5300的《用户手册》。
“策略”设置完成后如下图所示:
注意:策略的匹配原则
在上面第1部分设置了三条策略,从上往下分别是:销售部上班时间禁止登录QQ 、销售部上班时间允许浏览网页(限制个别网站)、销售部下班时间不进行上网限制。策略的顺序如下图:

上图每条策略所处的位置是非常重要的!如果上图中ID2和ID3这两条策略的位置变为下面图片中的位置,那么结果是什么呢?

对比上面这两幅图片,策略的位置不同,结果也是不同的!如果是第二幅图片中的顺序,那么就无法限制QQ了。
策略匹配的原则是:从上往下逐条匹配(图中红线的方向)!而不是按照“ID”号码大小来匹配的!如果是上面第二副图片的位置顺序,那么销售部电脑发往80端口的QQ服务器的数据包将满足第一条策略设置的条件,第一条策略允许销售部电脑发往任何80端口数据包通过TL-FR5300 。从而使发往80端口的QQ服务器的数据包也通过TL-FR5300被转发(“目的地址”一栏ANY包含了QQ服务器组,“服务”一栏WEB服务也包含了80端口)。
所以在设置多条策略的时候,一定要注意设置的策略所处的位置是否合适?当存在包含关系的多条策略存在,一定要合理调整策略的上下位置,上图中红色方框勾勒的“移动”选项可以实现我们灵活移动策略位置的需求。
2,公司需要对网络进一步管理,员工能否收发邮件以及邮件附件的大小都是需要管理的对象,通过TL-FR5300如何实现?
分析:
对邮件的收发分两种情况:
第一种:使用邮件软件比如:Outlook或Foxmail收发。利用客户端软件收发邮件分别使用的SMTP协议和POP3协议,使用的端口是25和110,所以只要开启了25、53、110三个端口的权限就可以收发邮件(开启53端口是因为邮件软件在配置的过程中“邮件服务器”选项允许填写邮件服务器的域名,如果填写了域名则邮件软件在联系邮件服务器之前,先有一个通过服务器域名解析服务器IP地址的过程,这个过程使用到53端口)。
对上面描述的“对邮件附件大小进行管理”的问题,我们可以利用TL-FR5300的邮件深层检测的功能来实现。下面我们以“研发部收发邮件的权限”为例来说明如何在TL-FR5300 “策略”里面对邮件进行管理?
设置:对于研发部门的IP地址规划以及如何在“对象”-“IP地址/IP地址组”里面进行设置,在这里就不重复了,有需要的话就请熟悉一下上面第1步的内容,或者我们的《防火墙应用指南》系列文档之《防火墙应用指南——(二)虚拟服务器的搭建》。
新增一条LAN—>WAN的策略,源地址“研发部”目的地址“ANY”,服务就是DNS、SMTP和POP3 。界面如下图:
上图以SMTP“服务”为例,在“深层检测”这一栏选择“SMTP”然后点击右面的“设置”按钮如下图:
如上图设置后,发送的邮件不能带有附件,且邮件的总大小是不能超过100KB的。同样对接收邮件可以设置POP3的深层检测,POP3的深层检测可以对邮件的总大小进行限制。设置完后点击“确定”按钮返回上一级“策略”设置的界面。
针对DNS和POP3服务的“策略”都添加后,对邮件进行管理的“策略”就设置完成了,如下图所示:
如上图,ID8、ID9、ID10三条策略就可以实现:“研发部门可以发送不带附件的邮件,收邮件没有任何限制。”
分析:
第二种:除了上面描述的通过邮件软件收发邮件的方法以外,还有一种方法就是利用WEB站点收发邮件,也就是电脑通过IE浏览器登录到网站上收发邮件,比如个人经常使用163信箱、Yahoo、Sohu等网站提供的免费信箱。这种类型的操作使用的是WEB技术。假设研发部有进行WEB访问(/浏览网站)的权限,那么通过前面第一种对SMTP和POP3进行管理的办法仅仅只能控制收发邮件中的一部分。对以WEB方式收发邮件的操作要进行管理的话我们就需要“策略”里面的“(HTTP)深层检测”来实现。
设置:
对HTTP深层检测的前提是给单位内部某个工作组开放了WEB访问权限的时候才会用到,如果某个工作组没有WEB访问权限,当然也就不可能通过WEB方式收发邮件里。下面的设置是针对:开启了WEB访问权限同时又需要对通过WEB方式收发邮件进行管理。如下图是参数的设置:
在“服务”栏选择HTTP服务表示WEB权限(浏览网站),在“深层检测”这一栏选择“HTTP”并点击后面的“设置”按钮如下图:
对上面的POST方法的大小进行限制(单位是字节),在网站上发帖、登陆一个论坛或邮箱、WEB界面发送一个邮件,都使用了POST方法,所以这个大小的设置可能需要多次动态调整,上图设置的500字节登陆一般的论坛和邮箱都是没有问题的,但文字稍多的邮件也可能发送不出去,推荐设置到1000字节。如下图,通过HTTP深层检测来控制发送大小超过限制的邮件。
回复

使用道具 举报

回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-12-23 08:15 , Processed in 0.179844 second(s), 24 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team