发布日期:2015-09-30 16:41 来源: 标签: 网络技术教程 网络实验教程 防火墙对象 对象定义配置
为简化防火墙安全规则的维护工作,引入了对象定义,本章我们将重点学习以下定义对象;

实验名称:防火墙对象定义配置。

实验目的:介绍RG-WALL 60 防火墙对象定义的配置。

技术原理:为简化防火墙安全规则的维护工作,引入了对象定义,可以定义以下对象:

(1)地址:地址列表、地址组、服务器地址、NAT 地址池

(2)服务:服务列表、服务组

(3)时间:时间列表、时间组

(4)连接限制:保护主机、保护服务、限制主机、限制服务

(5)带宽:带宽列表

(6)URL 列表:黑名单、白名单

实现功能:熟悉防火墙对象定义的操作,简化防火墙安全规则的维护工作。

实验设备:RG-WALL60一台,PC一台,控制线或交叉线一根。

实验拓朴:


实验步骤:

1. 对象定义通用功能介绍

对于各项对象,操作基本相同,通常提供如下操作:

(1) 分页显示

各列表界面均有“分页功能”,其工具条通常位于表格的下方,如下图所示:


(2) 查找

为便于查找已经定义过的对象,各列表界面均提供了查找功能,通常位于标题和列表之间,靠右排列。如下图所示:


(3) 排序

在列表的标题部分, 有两种不同格式的字体, 如图所示加下划线的(如),表示可以进行排序,没有加下划线的(如)则不能进行排序。用鼠标点击(如)则进行排序,升序降序交替进行,如前一次为升序排序,则下一次为降序排序。通常按照字符串顺序进行排序(如),如果为数字项,则按数字大小进行排序。

(4) 添加对象


(5) 编辑对象(修改)


(6) 删除对象

还有一些需要注意的地方,适用于所有的规则,比如:名称的限制、备注


2. 地址

在定义安全规则之前,最好按照一定的原则(比如:按部门、按人员等)定义一些地址,这样,当部门或者人员的IP 地址发生变化时,只需在本列表中更新即可,无需再修改安全规则了。

在“对象定义>>地址”中,定义了三种不同用途的地址:

(1)地址列表、地址组:用于“安全策略>>安全规则”中的源地址和目的地址,“用户认证>>用户列表”和“用户认证>>用户组”中的安全策略。

(2)服务器地址:用于“安全策略>>安全规则”中的内部地址。

(3)NAT 地址池:用于“安全策略>>安全规则”中的源地址转换。

2.1. 地址>>地址列表

地址用于“安全策略>>安全规则”、“用户认证>>用户列表”和“用户认证>>用户组”。


单击添加


可以按两种方式来定义地址:(1)IP 地址/掩码;(2)地址范围IP1-IP2

2.2. 地址>>地址组

地址组用于“安全策略>>安全规则”、“用户认证>>用户列表”和“用户认证>>用户组”。地址组的成员只能为“对象定义>>地址>>地址列表”中已经定义过的地址。


单击添加


2.3. 地址>>服务器地址

在“ 安全策略>> 安全规则” 中的中, 使用的将用到这里定义的“服务器地址”。主要用于反向NAT(端口映射、IP 映射)中对受保护的服务器的负载均衡。


单击添加


多台服务器对外提供同一服务时,根据这里设置的权重实现访问流量的负载均衡。权重必须和IP 地址一一对应。数字越大,则权重越高。例:服务器A(IP 地址:192.168.22.23)权重为60,服务器B(IP 地址:192.168.22.24)权重为20,则服务器A 接受到的流量为服务器B 接受流量的3 倍。

2.4. 地址>>NAT 地址池

在“安全策略>>安全规则”的中,使用的将用到这里定义的“NAT 地址池”。


单击添加


3. 服务

服务用于:

1)“安全策略”下的:包过滤规则、NAT 规则、端口映射规则

2)“用户认证”下的:用户、用户组在“对象定义>>服务”中,定义了三种服务:

a)基本服务:可以“协议 源端口 目的端口”;

bICMP 服务:可指定type code

c)动态服务:目前支持H323FTPSQLNET 三种动态协议。

3)服务组:上述三种服务的任意组合。

3.1. 服务>>服务列表


在标题和列表之间,最左侧有一个下拉框(如图所示:)点击以后,列表中将只显示出属于该类的所有服务。在此下拉框中,选中不同类型的服务,点击弹出的界面略有不同。

3.2. 服务>>服务组


服务组用于“安全策略>>安全规则”和“用户认证>>用户组”。服务组的成员可以是“对象定义>>服务>>服务列表”中已经定义过的基本服务、动态服务和ICMP服务。

单击添加


4. 时间

很多访问控制和时间有紧密的关系。比如,上班时间不能上网浏览新闻,但是,下班时间可以。这样,就需要有时间调度策略。在“对象定义>>时间”中,定义了两类时间:(1)一次性调度(2)周循环调度

时间组:上述类型的时间的组合,定义的时间和时间组在以下几处用到:

(1)安全规则:包过滤规则、NAT 规则、IP 映射规则、端口映射规则。

(2)本地用户认证:用户、用户组的安全策略和可使用服务。

4.1. 时间>>时间列表


单击添加


4.2. 时间>>时间组


单击添加


5. 连接限制

连接限制是为了保护服务器,限制对服务器过于频繁的访问。在规定的时间内,如果某台主机访问服务器超过了所限制的次数,则会对该主机实行阻断,在阻断时间段内,拒绝其对服务器的所有访问。在“对象定义>>连接限制”中,提供了四种连接限制:保护主机、保护服务、限制主机、限制服务。

5.1. 保护主机

保护主机是指对访问的目的地址服务器进行保护,限制对此地址服务器的访问过于频繁。


单击添加


5.2. 保护服务

保护服务是指被访问服务器提供的某类服务进行保护,限制对此服务器的这类服务进行过于频繁的访问。


单击添加


5.3. 限制主机

限制主机是指对发起访问的源地址的机器进行限制,限制此地址对服务器发起过于频繁的访问。


单击添加


5.4. 限制服务

限制服务是指对发起访问的源地址的机器访问某类服务进行限制,限制此地址对服务器的此类服务发起过于频繁的访问。


单击添加


6. 带宽列表

网络带宽资源是非常宝贵的。为了保证高效的使用带宽,限制对带宽的滥用,优先保障重要服务,有必要进行带宽控制。RG-WALL 60 防火墙通过保证带宽和限制带宽来保证带宽的高效使用。在“对象定义>>带宽列表”中可以按优先级、保证带宽和最大带宽来定义带宽控制策略。定义的所有带宽策略在“ 安全策略>> 安全规则” 中的“ 流量控制”( 如图所示:)用到。


单击添加


7. URL 列表

WEB 服务是互联网上使用最多的服务之一。互联网上信息鱼龙混杂,有部分不良信息,因此必须对其访问进行必要的控制。RG-WALL 60 防火墙可以通过对某些URL 进行过滤实现对访问不良信息的控制。通过使用黑名单和白名单来控制用户不能访问哪些URL,可以访问哪些URL。在“ 安全策略>> 安全规则” 中, 均可以针对HTTP 协议进行URL 过滤( 如图所示:),URL 过滤所使用的列表就是这里定义的URL 列表。

URL 过滤提供两种类型的URL 列表:

(1)黑名单:禁止名单中的URL 通过,其它的URL 均可访问。

(2)白名单:只允许名单中的URL 通过,其它的URL 均不允许访问。


单击添加


注意事项:

1.定义规则前需先定义该规则所要引用的对象。

2.定义的对象只有被引用时才真正使用。

3.被引用的对象编辑后,在“安全策略>>安全规则”界面中点击“刷新”后生效。

4.被引用的对象不能被删除。有两种引用方式:(1)被安全规则引用:即规则中使用了该对象;(2)被组引用:即该对象为对象组的成员。

5.一个NAT 地址池最多支持254 个IP 地址,所有NAT 地址池中不同IP 地址的总数不超过4096 个,IP 地址不能跨网段。

6. 不能对基于HTTPS 协议的访问进行URL 过滤,该访问通过SSL 协议进行了加密。修改URL 列表对象以后,需要到“安全策略>>安全规则”界面点击“刷新”按钮,修改才能生效。










相关评论

专题信息
    网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。本教程从交换机、路由器、防火墙、网络安全四个方面来讲解了一些实例。