防火墙规则定义及其配置
防火墙的基本功能就是实现对于内外网之间的访问控制,和路由器及交换机产品类似,防火墙也使用一种策略的规则来实现管理,这也是一种ACL(Access Control List)。防火墙规则是由5个部分组成,源地址、源端口、目的地址、目的端口、执行动作来决定。SonicWALL
NSA系列产品都是采用基于对象的控制方式,通过定义不同的对象,然后把它们组合到一条策略中,来实现访问规则的配置。
防火墙规则能够控制到单向访问,配置防火墙策略,首先需要判定访问方向,如果方向不对,就会出现配置好的策略不起作用,或根本无法达到应有的目的等情况。访问方向的是按照发起方来进行判定的,如从内网访问外网的WEB网站,就属于从内网访问外网方向(LAN->WAN)。不同方向的访问规则不会相互干扰。常见的防火墙策略的方向分为从外网(WAN)到内网(LAN),从内网到外网,从内网到DMZ,从DMZ到内网,从DMZ到外网,从外网到DMZ等几种。最常用的就是从内网(LAN)到外网(WAN)的策略配置,因为要控制内网的用户到外网的访问。
在配置几条策略在一个访问方向的时候,需要注意到是策略的排列,防火墙产品对于策略的匹配是有规则的,上面的规则优先于下面的规则,(上面是指在规则界面中排在上方的规则),当防火墙进行策略匹配时,一旦查询到一条匹配规则,防火墙将停止向下查询。如果同时需要做几个规则,需要考虑这几条规则的逻辑关系。 SonicWALL NSA产品在出厂默认情况下,规则是从安全级别高的区域,如内网(LAN)到所有安全级别低的区域-------如外网(WAN)和DMZ--------是允许访问的,而从安全级别低的区域到安全级别高的区域,是禁止访问的。 下面以一个实例来说明防火墙策略配置的方法:
如图所示,某单位有很多不同网段和用户,每个网段的用户网络访问是不同的,需要在设备上做策略,需要下面几个步骤:
1. 定义地址对象,针对不同的用户进行控制,必须要把用户的地址首先输入到防火墙的地址对象中,然后才能在策略编辑中使用。
地址对象编辑在Network->address object里面
2. 点击address object下面的add按钮,在弹出的对话框中输入地址,如主机192.168.0.100
然后按Add完成
再输入需要控制的其它地址,如192.168.0.110,192.168.0.120 输入网络地址对象192.168.1.X
按照同样的方式输入另外的网络地址192.168.2.X,结果如下图所示:
完成地址输入后,可以进行策略配置。
3.点击firewall->access rules里面的从LAN到WAN,进入到策略详细列表
在详细列表中,有一个默认的规则是允许所有访问的规则。
点击Add按钮,根据自己的需求添加规则。
首先我们需要定义的是针对192.168.0.100地址的访问策略,这个地址只能使用FTP,其它全部禁止,所以添加两条策略,一条是允许FTP访问,另外一条是禁止所有访问
下一条是禁止策略
相关推荐:
loading