防火墙应用指南(二)——虚拟服务器的搭建.pdf

精品资料 防火墙应用指南（一）——基本配置指导思想 注：阅读本文前，请先详细阅读本文最后的红色部分的提示内容。 一 概要介绍 新上市的 TL-FR5300 防火墙产品，主要有两大功能特点：“攻击防护”和“策略”。 它还有其他很多功能，在这篇文档里，我们将侧重表述“策略”这一块，其他功能我们另有 专门的表述文档。当您在看这篇文档之前，我们希望您能够先了解一下 TL-FR5300 的《用户 手册》，对 TL-FR5300使用过程中涉及的诸多概念有一定的了解。 一般情况下用户购买了 TL-FR5300，将其置于本单位网络的出口处， 作为内部网络所 有主机登录互联网的网关设备，内网主机所有去往互联网的数据都需要流经 TL-FR5300，我 们对 TL-FR5300进行适当配置，就可以对内网主机的上网操作进行灵活的管理。 TL-FR5300 处于整个内部网络的出口，默认内部网络（ LAN）和外部互联网（ WAN）是 互通的，但建议将这一条默认策略删除。当内部网络中某一部分主机需要某上网权限时，网 络管理员只需要在 TL-FR5300上面给这一部分主机打开相应的上网权限，当内部网络另一部 分主机需要另外的上网权限时，管理员只需要在 TL-FR5300上打开另一部分上网权限即可。 这就是我们配置 TL-FR5300这款防火墙产品时候的基本指导思想——“有需求才开放”。 在使用 TL-FR5300 的过程中，为了顺利实施上面“有需求才开放”的思想， 我们极力 建议您的网络是经过规划的——特别是“ IP 地址”这一部分， 因为“ IP 地址”是互联网中每 台主机标示自己的唯一标志， TL-FR5300也是通过“ IP 地址”实现对主机权限的控制。具体 地说，网络里具备相同网络权限的主机应该从属于一个组，适应不同网络权限的主机从属于 不同的组，而我们在规划“ IP 地址”的时候，既要考虑现有各个组的规模，也要考虑到以后 网络的增长，不同网络权限的主机组使用不同的 IP 地址段，比如下面不同的组使用不同 IP 地址段： 管理团队： ～ 0(/27) 市场部门： 5 ～4(4/27) 销售部门： 29 ～58(28/27) 当配置 TL-FR5300 时给不同的 IP 地址段不同的网络权限，那么网络中某台主机使用 了什么 IP 地址就具备了什么网络权限，这就是网络经过规划的好处： 上班时间限制内部网络某台主机只能登录互联网某个网站服务器。 要实现上面的目的， 网络管理员通过设置 TL-FR5300 的“策略”，将上面这个想要实 现的目的体现出来就可以。 在这条“策略 / 规则”设置的过程当中， “内网某主机、互联网某 网站服务器、可以登录”这些都属于“策略 / 规则”的基本组成部分， “上班时间”属于“策 略/ 规则”的可选组成部分。 “策略”可分为基本组成部分和可选组成部分。 基本组成部分有： 信息流的方向、 信 息流的源地址、信息流的目的地址、禁止 / 允许通过。可选组成部分有：时间、安全认证、流 量控制、深层检测、日志等。 可编辑修改 精品资料 在 TL-FR5300里面将“策略”的组成部分称之为“对象”， 当需要设置一条“策略” 的时候，要考虑一下即将设置的“策略”都包含哪些“对象”？