12防火墙策略配置.ppt

LinkTrust FireWall V5.1　　　　　 Chapter 12防火墙策略配置 目标 配置网络对象（主机、网络与对象分组） 理解预先定义的服务，配置自定义服务，服务分组 时间对象定义 合理设置访问控制规则 由类型选择的不同，相应出现的掩码不同 按空格自动扩展 Telnet代理服务不能新增没有特殊原因，只因为在telnet代理服务中没有什么可配置的选项，没必要单设新增功能 按空格自动扩展 Corp Mail Intranet Web PC1 3 Intranet DNS PC2 8 PC3 3 Sales Marketing Tech Internet Internet router 54 Corp Web Mail Relay DMZ DNS if1 if0 0 if2 防火墙通过访问控制策略来限制各网络设备通过防火墙的访问 访问控制策略 源 目的 服务 动作 网络或主机 网络或主机 网络服务 怎样控制？ 策略的基本结构 时间 策略何时 有效？ 源 目的 服务 动作 网络或主机 网络或主机 网络服务 怎样控制？ 需定义 网络或主机 对象 需定义 网络或主机 对象 需定义 网络服务 对象 如果是授权 控制，需定 义用户对象 配置策略前需定义的对象 时间 策略何时 有效？ 需定义 时间 对象 网络对象定义 网络配置用于定义网络中的各种对象，在配置安全策略前，应首先定义策略中所包含的源和目的对象 主机对象：主机，工作站，服务器等具有单个IP的网络设备 网络对象：用地址/掩码表示的一个子网内的全部IP地址 组对象：一个或多个主机对象、网络对象或两者的混合组合 网络配置 所有的网络对象按照物理位置来划分 如果物理位置在防火墙内网口一端，则属于内网对象 如果物理位置在防火墙DMZ网口一端，则属于DMZ对象 如果物理位置在防火墙外网口一端，则属于外网对象 Internet if1 if0 if2 内网地址 DMZ地址 外网地址 网络配置 按防火墙n个网口分为n个区域 兰色的为缺省网络对象，不可删除和修改。在定义了网口地址后，在相应的网络区域就会出现该缺省对象 Web界面网络对象浏览 新增网络对象：网络-新增 根据物理位 置选择网络 接口卡 支持可变长子网掩码(VLSM) 如果想定义主机对象，一定要将掩码设成55 如果想定义网络对象，但将掩码设成了55，系统也会当作主机对象处理 Web界面新增网络对象 浏览网络对象分组： Web界面网络对象分组 新增网络分组： 将有共性的对象 用一个组来表示 ，以达到简化策 略的目的 Web界面网络对象分组 与网络配置相关的命令 # netobj list: 查看所有网络对象 #netobj add name interface ip/maskbits comment: 新增网络对象 #netobj del name:删除网络对象 #netgrp list:查看所有组对象 #netgrp gadd name comment：新增组对象 #netgrp odd gname oname：增加组对象成员 #arp add ip mac：新增一个地址绑定主机 命令行网络对象配置 服务对象定义 用于配置各种网络协议对象，配置的服务分为标准服务与代理服务两种，在配置安全策略前，应首先定义策略中所包含的服务对象 标准服务： TCP, UDP, ICMP和其它所有IP协议 代理服务： HTTP代理，TELNET代理，SMTP代理， POP3代理，FTP代理 服务配置 浏览服务配置： 蓝色显示部分 为防火墙缺省 定义的服务， 不能修改和删 除（缺省服务 中只有TELNET 代理服务可以 修改） Web界面服务对象浏览 新增服务对象： TELNET代理服务不能新增，只能在“浏览”界面中修改缺省定义 Web界面新增服务对象 新增服务组： 将有共性的服务 对象用一个组来 表示，以达到简 化策略的目的 Web界面新增服务组 服务配置常用命令 # svcobj list: 查看所有服务对象 #svcobj add name ip ipprotocolno comment : 新增IP标准服务 #svcobj add name tcp|udp port1 port2 comment:新增TCP/UDP标准服务 #svcobj add name icmp type code comment:新增ICMP标准服务 #svcgrp list:查看所有服务分组 #svcgrp gadd name comment：增加服务组 #svcgrp oadd gname oname：增加服务组中的成员 命令行