网站首页/网络技术列表/内容

防火墙基本设置指导思想

网络技术2024-04-12阅读

新上市的TL-FR5300防火墙产品,主要有两大功能特点:“攻击防护”和“策略”。它还有其他很多功能,在这篇文档里,我们将侧重表述“策略”这一块,其他功能我们另有专门的表述文档。当您在看这篇文档之前,我们希望您能够先了解一下TL-FR5300的《用户手册》,对TL-FR5300使用过程中涉及的诸多概念有一定的了解。

一般情况下用户购买了TL-FR5300,将其置于本单位网络的出口处,作为内部网络所有主机登录互联网的网关设备,内网主机所有去往互联网的数据都需要流经TL-FR5300,我们对TL-FR5300进行适当配置,就可以对内网主机的上网操作进行灵活的管理。

TL-FR5300处于整个内部网络的出口,默认内部网络(LAN)和外部互联网(WAN)是互通的,但建议将这一条默认策略删除。当内部网络中某一部分主机需要某上网权限时,网络管理员只需要在TL-FR5300上面给这一部分主机打开相应的上网权限,当内部网络另一部分主机需要另外的上网权限时,管理员只需要在TL-FR5300上打开另一部分上网权限即可。这就是我们配置TL-FR5300这款防火墙产品时候的基本指导思想——“有需求才开放”。

在使用TL-FR5300的过程中,为了顺利实施上面“有需求才开放”的思想,我们极力建议您的网络是经过规划的——特别是“IP地址”这一部分,因为“IP地址”是互联网中每台主机标示自己的唯一标志,TL-FR5300也是通过“IP地址”实现对主机权限的控制。具体地说,网络里具备相同网络权限的主机应该从属于一个组,适应不同网络权限的主机从属于不同的组,而我们在规划“IP地址”的时候,既要考虑现有各个组的规模,也要考虑到以后网络的增长,不同网络权限的主机组使用不同的IP地址段,比如下面不同的组使用不同IP地址段:

管理团队:192.168.1.1~192.168.1.30(192.168.1.0/27)
市场部门:192.168.1.65~192.168.1.94(192.168.1.64/27)
销售部门:192.168.1.129~192.168.1.158(192.168.1.128/27)

当配置TL-FR5300时给不同的IP地址段不同的网络权限,那么网络中某台主机使用了什么IP地址就具备了什么网络权限,这就是网络经过规划的好处:

上班时间限制内部网络某台主机只能登录互联网某个网站服务器。

要实现上面的目的,网络管理员通过设置TL-FR5300的“策略”,将上面这个想要实现的目的体现出来就可以。在这条“策略/规则”设置的过程当中,“内网某主机、互联网某网站服务器、可以登录”这些都属于“策略/规则”的基本组成部分,“上班时间”属于“策略/规则”的可选组成部分。

“策略”可分为基本组成部分和可选组成部分。基本组成部分有:信息流的方向、信息流的源地址、信息流的目的地址、禁止/允许通过。可选组成部分有:时间、安全认证、流量控制、深层检测、日志等。

在TL-FR5300里面将“策略”的组成部分称之为“对象”,当需要设置一条“策略”的时候,要考虑一下即将设置的“策略”都包含哪些“对象”?TL-FR5300有专门用于定义“对象”的配置界面,比如策略里面涉及“上班时间”,那么配置策略之前,要先在“对象”-“时间表”里面将“上班时间”体现出来,然后在“策略”配置过程中引用先设定好的“上班时间”这个“对象”,那么这样设置的“策略”才能在“上班时间”生效。简单的说这就是“策略”和“对象”的关系。可以说多个不同的“对象”通过组合最后生成了一条“策略”。

TL-FR5300的“策略”可由如下可选“对象”组成:IP地址、IP地址组、服务、服务组、动作、时间表、应用、深层检测、网络地址转换、用户认证、QoS控制、URL过滤、日志。

二 举例以及说明
下面我们通过一些简单的“策略”设置过程,来详细地描述“策略”和“对象”是一个怎样的关系?它们是怎样使用的?
1,销售部员工张三只能登录阿里巴巴网站。
分析:通过设置TL-FR5300的“策略”实现上面的目的,这条“策略”包含的“对象”有:张三(使用的IP地址)、阿里巴巴(网站服务器IP地址)、可以登录(网站)。
设置:设置过程分两部分,分别是设置“对象”和“策略”,设置“对象”是为了“策略”引用它,设置“策略”是为了最终实现我们的限制目的。

 

如上图选择了“对象”-“IP地址”,设置界面如下图:

 

如上图要在“区域”选择LAN ,因为张三处于公司内网也就是TL-FR5300定义的LAN区域,选择后点击“新增”按钮,界面如下图:

 

如上图:
“IP地址名字”建议具备可读性,张三是销售部员工,这里取为“Sales – 张三”。
“说明”是对本IP地址的简单解释说明。给张三配置的IP地址为 192.168.1.129 。
“子网掩码”填为32表示这里是单个IP地址。
设置完后点击确定按钮返回上一级界面如下图:

 

在“对象”里设置完了张三的IP地址后,还需要设置阿里巴巴网站的IP地址,通过PING阿里巴巴中文网站的域名www.alibaba.com.cn我们可以得到网站服务器对应的IP地址是61.129.44.1 ,因为阿里巴巴网站在外部互联网上,也就是TL-FR5300定义的WAN区域,所以这次新增IP地址的时候一定要先选择WAN区域,然后新增,界面如下图:

 

或者不设置服务器的IP地址而直接填入阿里巴巴中文网站域名也可以,如下图:

 

点击“确定”按钮后返回上一级页面,选择“区域”为所有,并点击“显示”按钮,可以看到刚才分别在LAN和WAN区域新增的两个IP地址对象,如下图:

 

准备好了“对象”以后,我们就可以在“策略”里面进行配置了!因为本策略描述的对象,是张三的电脑主动向阿里巴巴网站发起连接,所以在设置策略的时候一定要注意“区域”的选择是从LAN——>WAN这个方向,配置界面如下:

 

上图是一个复合的图片:

“策略名”建议具备一定的可读性,便于日常维护!

“源地址”引用IP地址对象里张三的IP地址。

“目的地址”引用IP地址对象里阿里巴巴网站服务器IP地址。

“服务”粉红色勾勒的服务这一行后面的“复选”按钮,点击后弹出下半部分界面,选择了两种服务分别是DNS和HTTP,因为访问阿里巴巴网站前电脑先要联系互联网DNS服务器解析阿里巴巴网站域名对应的IP地址,然后才向这个服务器IP地址发起HTTP请求,也就是登录网站的过程,选择好服务以后点击“确定”按钮,有关“服务”的详细描述,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南(二)——虚拟服务器的搭建》。

返回策略设置界面如下图:

 

如上图,策略设置界面的所有“对象”中,只涉及到了基本组成部分也就是红线勾勒的部分,其他可选组成部分的对象都没有涉及,改动后点击确定,返回上一级配置界面,如下图:

 

就是这样,想要实现“销售部员工张三只能登录阿里巴巴网站”这样目的,通过上面这个设置过程就完成了。看起来篇幅很长,其实熟练设置的时候所需时间是很短的!

2,销售部员工张三上班时间只能登录阿里巴巴网站。
这第2个例子我们在第一个例子的基础上,增加了“上班时间”这个对象,那么是怎样实现这个目的呢?

分析:按照在第1个例子中的分析,只要再加上“对象”-“时间表”里面再加入上班时间段就可以了。设置策略的时候,除了第1个例子里面改动的“对象”以外,再多改动一个“时间表”的参数就可以了。

设置:增加时间表“对象”,在TL-FR5300设置界面“对象”-“时间表”里面,新增时间表如下图:

 

“时间表名”和“说明”:具备可读性,便于日常维护管理。

“多次”和“单次”:多次表示时间是循环生效的,本周适用下周仍然适用。单次是在开始日期和结束日期这一段时间内一次性生效,超出这个时间段的则不能生效。这里“多次”和“单次”采用了复选框的方式,表示可以同时两项都选择,或者每次选择其中一种方式。注意:如果“多次”和“单次”都选中,则它们的关系是“或”的关系。也就是说,时间表生效时间在“多次”定义的时间段内或者“单次”定义的时间段内。它们是“并集”的关系,而不是“交集”的关系,不可理解为“在单次定义的时间段内的每周一至周六”!

要确保“时间表”这个对象能够生效,有个地方需要注意,就是TL-FR5300配置选项里面的“系统工具”—“时间设置”,配置界面如下:

 

上图中的红色文字已经进行了强调,想要时间表生效,必须从互联网上获取标准的GMT时间或者直接指定一个当前时间。设置好时间后TL-FR5300会一直保存时间,不会因为设备断电而时间失效。

好了,上面添加了“时间表”这个对象,然后我们直接在“策略”里面找到刚才设置的从LAN—>WAN的策略,并重新编辑它,如下图:

 

如上图,在原有策略基础上“时间表”这个对象里面选择了“上班时间”,然后确定就可以了!这样就实现了“销售部员工张三上班时间只能登录阿里巴巴网站”,过程很简单。

3,销售部员工张三和李四上班时间只能登录阿里巴巴网站。
分析:上面的例子中,两次配置“策略”引用“源地址”这个对象的时候,都只是引用了张三的IP地址,这次还要再多引用一个销售部员工李四,那只要在TL-FR5300的“对象”-“IP地址”里面将李四的IP地址也设置好,就可以引用了。
配置:如下图在“对象”-“IP地址”里面新增销售部员工李四的IP地址:

 

一定要注意新增的李四的IP地址要选在LAN这个区域!然后点击“新增”按钮,如下图:

 

设定完之后点击“确定”按钮就可以了。在TL-FR5300的“对象”里面有个“IP地址组”,就是将已设定的具备相同属性的“IP地址”归并为一组,比如这里将“Sales – 张三”和“Sales – 李四”归并为一组命名为“Sales”,这样在配置“策略”时候引用“源地址”可以不必张三李四分别引用两次,只需要引用一次“Sales”组就可以了。“IP地址组”设置如下图:

 

如上图注意新增的区域是“LAN”,具体配置界面如下:

 

“组名”为Sales 。
“说明”为sales group表示销售部。
从“备选”里面选择特定对象添加到“已选”框内,“确定”完成配置,返回上一级页面。

 

如上图看到IP地址组里面多了一个Sales组,包含成员“李四”、“张三”。有了上面这些准备,开始修改前面的“策略”,如下图:

 

“策略名”进行了更改,将以前的Sales – zhangsan – alibaba 改为现在的Sales – alibaba 。
“源地址”由张三的IP改为销售IP地址组Sales 。
其他对象保持之前的状态不变即可,最后点击“确定”按钮即完成了配置,如下图:

 

可以看到从LAN到WAN的策略里,ID为3的策略正是我们刚刚完成的。

以后如果销售部增加新员工王五,分配了IP为192.168.1.131 ,上网权限和张三、李四都是一样,那只需要在“对象”-“IP地址”里面新增王五的IP地址,然后将新增的王五的IP地址添加到“IP地址组”-Sales这个组里面,不需要改动策略,那么王五的网络权限就和前面几位员工的相同了。

4,销售部员工上班时间只能登录阿里巴巴网站。
分析:前面我们举了3个例子,来说明一条简单的策略如何设置?我们发现,每次销售部新增员工,都需要网络管理员在“对象”-“IP地址”里面新增,然后再将新增的IP地址归并到“IP地址组”里Sales的小组,这样的过程比较麻烦!有没有更快捷的设置方式?

当然有了!一开始我们就倡导如果使用TL-FR5300我们极力推荐您的网络先做好规划,比如网络管理员按照现有情况以及今后一段时间内的网络增长预期,将IP地址段192.168.1.129 – 192.168.1.159预留分配给销售部员工使用,销售部员工的网络权限都是相同的。

前面设置的策略里,“源地址”曾单独选择过“Sales – 张三”和包含张三李四的“Sales”,如果我们将Sales这个组一开始就定义成包含192.168.1.129 – 192.168.1.159 这一段IP地址,然后在“策略”设置的时候“源地址”引用“Sales”,这样配置一条策略相当于一次配置了192.168.1.129 – 192.168.1.159这30个IP地址,都是“上班时间只能登录阿里巴巴网站”的权限。接下来当然是将已设置的IP地址单独分配给张三、李四、王五使用,等以后赵六加入了销售部,网络管理员不用改动TL-FR5300的配置,只需要告诉赵六使用192.168.1.132这个IP地址就可以了,这样将网络预先进行一定的规划,然后配置网络设备可以收到事半功倍的效果。

配置:就上面的分析,我们进行如下的配置即可快速实现。如下图在TL-FR5300的“对象”-“IP地址”里面,在LAN区域新增IP地址参数:

 

单击“确定”按钮后返回上一级设置界面,如下图:

 

如上图红线勾勒,对比“Sales – 张三”和“Sales Group”的图标,“Sales – 张三”的图标是单台电脑表示只包含1个IP,而“Sales Group”是多台重叠的图标,表示一个IP地址段,这个IP地址段的网段地址是192.168.1.128 ,网段内可用IP地址范围是192.168.1.129 – 192.168.1.158总共包含30个可用的IP地址 ,这个段的广播地址是192.168.1.159 。

上面设置的过程中,因为采用了“变长子网掩码”的方法——即将默认的24位子网掩码加长到27位,所以取得了一条设置表示一段IP地址的结果。

如果在配置的过程当中,填入的不是192.168.1.128/27而是默认的192.168.1.128/24 ,这样设置在TL-FR5300里面也是允许的,这样设置的结果和填入192.168.1.0/24的结果是相同的,就是产生了一个192.168.1.1 – 192.168.1.254的可用IP地址段。因为我们这里举例网络规划的时候并没有给销售部254个IP地址,而是给了30个IP地址,所以我们填入的子网掩码不是24而是27 。

对于192.168.1.128/24和192.168.1.128/27表示的IP地址范围不同这样一个事实,属于网络公共基础知识,这里限于篇幅我们就不做过多地介绍了。如果您想要搞清楚其中的细节,可寻找一些“IP地址和子网掩码”方面的书籍或者相关RFC文档参考学习一下。

经过上面的准备,只需要在“策略”里面将“源地址”选择“Sales Group”,其余参数不变,我们就可以通过一条策略实现:一个包含30个IP地址“上班时间只能访问阿里巴巴网站”的目的。界面如下:

 

5,保存、配置备份和载入
TL-FR5300所有参数在设置的时候,是即时生效的,但是这个时候参数是没有保存的,如果未保存设备重新启动以后所有配置的参数都会丢失,提示您每次阶段性完成参数配置后,在“系统工具”-“保存配置”页面对所有已修改参数进行保存,界面如下图:

 

TL-FR5300还有一个非常有用的功能,就是“配置备份和载入”,在“系统工具”-“配置备份和载入”,功能界面如下图:

 

当保存了已修改参数以后,可以通过点击上图红色标注的按钮“备份配置文件”来备份当前配置,界面如下图:

 

点击“保存”按钮并选择保存的路径,然后保存即可,等到有需要的时候,可以通过上面的“载入配置文件”的选项来完成。

三 关联信息
TL-FR5300的功能,在这里没有一一介绍,本文档前面两部分只是从总体概念上介绍了TL-FR5300最显著的功能特点——如何对内网进行灵活的管理,但是内容还是不够丰富!针对这部分我们会在后面的系列文档中不断补充。

上面的几个例子中,“策略”的可选“对象”部分,比如:应用、深层检测、URL过滤、NAT转换、认证等等,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南——(二)虚拟服务器的搭建》和《防火墙应用指南——(三)企业典型应用》。

对于TL-FR5300的“日志服务器”的使用,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南——(四)日志服务器的安装与使用》。

对于TL-FR5300的“攻击防护”功能的使用,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南——(五)攻击防护实验演示》。

在本文中,我们举例的主体是员工张三访问阿里巴巴网站的权限,建立阿里巴巴这个IP对象时,我们使用“对象”-“IP对象”中的“域名” 方式来实现的(填入域名时,TL-FR5300会自动将这个域名解析成为IP地址,就像在电脑上使用nslookup命令去解析一样),但是,如果要控制的目的网站是搜狐(sohu)、网易(163)等门户网站时,就不能使用本文的在IP对象中添加域名的方式去设置,因为象搜狐(sohu)、网易(163)等这类门户网站所采用的服务器太多,而且对应了多个不同的域名,如搜狐(sohu)的新闻叫做news.sohu.com,搜狐(sohu)的体育是sports.sohu.com,没有任何前缀的sohu.com又是另外一个域名,对应着不同的服务器IP,不像阿里巴巴中文只对应着一个服务器和公网IP。这种情况下,我们仍是使用在IP对象中添加一个www.sohu.com或sohu.com的话,是不能达到需求的。

总结:如果您的目的是控制某人不能或能访问什么网站的话,请参考《防火墙应用指南(七)――URL过滤功能使用举例》,本文旨在告诉我们:设置一个策略前需要些什么准备工作?怎么去设置一个策略?怎么结合多条件去控制员工权限?(如时间)

相关阅读