2016计算机网络技术实验实训教程：实验八防火墙对象定义配置02.docVIP

计算机网络技术实验实训教程 实验八 防火墙对象定义配置 4. 时间 很多访问控制和时间有紧密的关系。比如，上班时间不能上网浏览新闻，但是，下班时间可以。这样，就需要有时间调度策略。在“对象定义时间”中，定义了两类时间：（1）一次性调度（2）周循环调度 时间组：上述类型的时间的组合，定义的时间和时间组在以下几处用到： （1）安全规则：包过滤规则、NAT 规则、IP 映射规则、端口映射规则。 （2）本地用户认证：用户、用户组的安全策略和可使用服务。 4.1. 时间时间列表 单击添加 4.2. 时间时间组 单击添加 5. 连接限制 连接限制是为了保护服务器，限制对服务器过于频繁的访问。在规定的时间内，如果某台主机访问服务器超过了所限制的次数，则会对该主机实行阻断，在阻断时间段内，拒绝其对服务器的所有访问。在“对象定义连接限制”中，提供了四种连接限制：保护主机、保护服务、限制主机、限制服务。 5.1. 保护主机 保护主机是指对访问的目的地址服务器进行保护，限制对此地址服务器的访问过于频繁。 单击添加 5.2. 保护服务 保护服务是指被访问服务器提供的某类服务进行保护，限制对此服务器的这类服务进行过于频繁的访问。 单击添加 5.3. 限制主机 限制主机是指对发起访问的源地址的机器进行限制，限制此地址对服务器发起过于频繁的访问。 单击添加 5.4. 限制服务 限制服务是指对发起访问的源地址的机器访问某类服务进行限制，限制此地址对服务器的此类服务发起过于频繁的访问。 单击添加 6. 带宽列表 网络带宽资源是非常宝贵的。为了保证高效的使用带宽，限制对带宽的滥用，优先保障重要服务，有必要进行带宽控制。RG-WALL 60 防火墙通过保证带宽和限制带宽来保证带宽的高效使用。在“对象定义带宽列表”中可以按优先级、保证带宽和最大带宽来定义带宽控制策略。定义的所有带宽策略在“ 安全策略 安全规则” 中的“ 流量控制”（ 如图所示：）用到。 单击添加 7. URL 列表 WEB 服务是互联网上使用最多的服务之一。互联网上信息鱼龙混杂，有部分不良信息，因此必须对其访问进行必要的控制。RG-WALL 60 防火墙可以通过对某些URL 进行过滤实现对访问不良信息的控制。通过使用黑名单和白名单来控制用户不能访问哪些URL，可以访问哪些URL。 在“ 安全策略 安全规则” 中， 均可以针对HTTP 协议进行URL 过滤（ 如图所示：），URL 过滤所使用的列表就是这里定义的URL 列表。 URL 过滤提供两种类型的URL 列表： （1）黑名单：禁止名单中的URL 通过，其它的URL 均可访问。 （2）白名单：只允许名单中的URL 通过，其它的URL 均不允许访问。 单击添加 注意事项： 1．定义规则前需先定义该规则所要引用的对象。 2．定义的对象只有被引用时才真正使用。 3．被引用的对象编辑后，在“安全策略安全规则”界面中点击“刷新”后生效。 4．被引用的对象不能被删除。有两种引用方式：（1）被安全规则引用：即规则中使用了该对象；（2）被组引用：即该对象为对象组的成员。 5．一个NAT 地址池最多支持254 个IP 地址，所有NAT 地址池中不同IP 地址的总数不超过4096 个，IP 地址不能跨网段。 6. 不能对基于HTTPS 协议的访问进行URL 过滤，该访问通过SSL 协议进行了加密。修改URL 列表对象以后，需要到“安全策略安全规则”界面点击“刷新”按钮，修改才能生效。 2