12防火墙策略配置.pptx

LinkTrust FireWall V5.1 Chapter 12防火墙策略配置目标配置网络对象（主机、网络与对象分组）理解预先定义的服务，配置自定义服务，服务分组时间对象定义合理设置访问控制规则Internet访问控制策略Intranet Webifif00ifCorp MailInternet router54Intranet DNSPC3Corp WebMail RelayDMZ DNSPC8SalesTechMarketingPC33防火墙通过访问控制策略来限制各网络设备通过防火墙的访问策略的基本结构源目的服务动作时间网络或主机网络或主机网络服务怎样控制？策略何时有效？配置策略前需定义的对象源目的服务动作时间网络或主机网络或主机网络服务怎样控制？策略何时有效？需定义网络或主机对象需定义网络或主机对象需定义网络服务对象如果是授权控制，需定义用户对象需定义时间对象 网络对象定义网络配置网络配置用于定义网络中的各种对象，在配置安全策略前，应首先定义策略中所包含的源和目的对象主机对象：主机，工作站，服务器等具有单个IP的网络设备网络对象：用地址/掩码表示的一个子网内的全部IP地址组对象：一个或多个主机对象、网络对象或两者的混合组合内网地址外网地址if1if0if2InternetDMZ地址网络配置所有的网络对象按照物理位置来划分如果物理位置在防火墙内网口一端，则属于内网对象如果物理位置在防火墙DMZ网口一端，则属于DMZ对象如果物理位置在防火墙外网口一端，则属于外网对象Web界面网络对象浏览按防火墙n个网口分为n个区域兰色的为缺省网络对象，不可删除和修改。在定义了网口地址后，在相应的网络区域就会出现该缺省对象Web界面新增网络对象新增网络对象：网络-新增根据物理位置选择网络接口卡支持可变长子网掩码(VLSM)如果想定义主机对象，一定要将掩码设成55如果想定义网络对象，但将掩码设成了55，系统也会当作主机对象处理Web界面网络对象分组浏览网络对象分组：Web界面网络对象分组新增网络分组：将有共性的对象用一个组来表示，以达到简化策略的目的命令行网络对象配置与网络配置相关的命令# netobj list: 查看所有网络对象#netobj add name interface ip/maskbits comment: 新增网络对象#netobj del name:删除网络对象#netgrp list:查看所有组对象#netgrp gadd name comment：新增组对象#netgrp odd gname oname：增加组对象成员#arp add ip mac：新增一个地址绑定主机 服务对象定义服务配置用于配置各种网络协议对象，配置的服务分为标准服务与代理服务两种，在配置安全策略前，应首先定义策略中所包含的服务对象标准服务： TCP, UDP, ICMP和其它所有IP协议代理服务： HTTP代理，TELNET代理，SMTP代理， POP3代理，FTP代理Web界面服务对象浏览浏览服务配置：蓝色显示部分为防火墙缺省定义的服务，不能修改和删除（缺省服务中只有TELNET代理服务可以修改）Web界面新增服务对象新增服务对象：TELNET代理服务不能新增，只能在“浏览”界面中修改缺省定义Web界面新增服务组新增服务组：将有共性的服务对象用一个组来表示，以达到简化策略的目的命令行服务对象配置服务配置常用命令# svcobj list: 查看所有服务对象#svcobj add name ip ipprotocolno comment : 新增IP标准服务#svcobj add name tcp|udp port1 port2 comment:新增TCP/UDP标准服务#svcobj add name icmp type code comment:新增ICMP标准服务#svcgrp list:查看所有服务分组#svcgrp gadd name comment：增加服务组#svcgrp oadd gname oname：增加服务组中的成员时间对象定义时间对象的设置特点时间对象=日期+时钟段对于时钟段元素，每个时间对象可以最多设置6个对于日期元素，每个时间对象可以设置周期性日期和特定日期在web配置界面，设置日期元素时，可以用“空”或“*”表示任意时间定义精细度到秒时间对象与时间组对象的总和不能超过16个Web界面新增时间对象新增时间对象：周期性日期设置Web界面新增时间对象新增时间对象：时间-新增指定日期设置时间对象分组时间对象分组：时间-分组Web界面新增策略序号：决定策略的匹配顺序源网络：根据选中区域的不同，可选对象不同目的网络：根据选中区域的不同，可选对象不同动作：选中授权后，可通过旁边的下拉菜单选择使用哪种授权规则策略定义之外的任何