天融信防火墙的一个典型配置方案.docVIP

[原创]天融信防火墙的一个典型配置方案 一个典型配置方案现在根据我们的经验，假设几种典型的网络环境，描述“网络卫士”防火墙在这些环境中应该如何配置。? ?? ?? ?? ?以3个端口的“网络卫士”防火墙为例，其中一个接外网，一个接内网，一个接SSN，在SSN中有三台服务器，一台是HTTP服务器，一台是FTP服务器，一台是邮件服务器。有如下需求：内网的机器可以任意访问外网，可以访问SSN中指定的服务器，外网和SSN的机器不能访问内网；外网可以访问SSN中的服务器。在非动态地址环境下：防火区域配置 外网：接在eth1上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping。内网：接在eth2上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，允许ping。SSN：接在eth0上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，禁止ping。经过以上的配置后，如果没有其他的访问策略和通信策略，则防火墙允许内网上的机器访问外网，允许SSN上的机器访问外网，不允许内网被外网或SSN访问，不允许SSN被外网、内网访问。（允许访问并不表示可以成功通信，尽管内网被允许访问外网，但假如没有合法的IP地址，也无法进行成功的访问，这个问题在后面NAT配置中将进行详细描述。）定义三个网络节点 FTP_SERVER：代表FT