包过滤规则配置示例
在东方龙马防火墙用户手册中第七章包过滤技术中,我们对包过滤规则中的各个参数进行了介绍,由于包过滤规则作为防火墙控制内外访问的一项重要依据,所以定制包过滤规则成为防火墙中比较关键的一个环节,下面对包过滤规则的各种配置情况做示例说明。
定制包过滤规则根据不同的需要会有很多种不同的情况,各条规则有其相似的地方,又有其特殊的不同,所以定制规则的方法,可以从大同中求小异,是不难掌握的。
本节将定制规则的各种情况进行归类,根据规则对数据包采取的操作可分成三种不同的配置情况,分别为:接受(Accept)、拒绝(Deny)和重定向(Divert)。下面将提供这三种配置举例:
接受数据包(即允许数据包通过)是定制规则时对数据包的一种处理操作。因为规则中默认规则是要求防火墙拒绝数据包的请求,如果需要对数据包采取接受的操作,必须对其进行规则设定,否则将会使用默认规则即拒绝传送该数据包。
这里同样采用用户手册中提到的图2-2网络规划配置拓扑示例图进行举例,如图7-8所示。定制规则来接受数据包,在实际应用中有很多这样的情况,例如:
-
- 允许网络中的某台主机(192.168.1.2)使用FTP访问另一网段中的主机(192.168.112.8)。
- 同1,使用其他端口进行访问,如HTTP、POP3、Telnet、SMTP。
- 允许网络中的一个网段(192.168.1.0)中的任意主机Telnet到主机(192.168.2.2)上。
图7-8 网络规划配置示例图
定制规则
我们将如上示例分别进行规则的定制,定制过程如下:
-
- 示例1中,定制规则时将需求翻译为:192.168.112.8 的21端口接受来自192.168.1.2的数据包请求。其访问过程如图7-8中的箭头所示,这个过程是分为大致两个步骤:由主机192.168.1.2发送的数据包穿过防火墙;穿过防火墙的数据包发送到主机192.168.112.8的21端口。这两个步骤则需要两条规则,下面将分别进行说明:
-
-
- 首先在东方龙马防火墙的配置管理主界面导航目录中双击“包过滤”图标下的“规则设置”项,弹出“包过滤规则设置”窗口,如图7-1,在窗口中点击‘添加’按钮,将弹出如图7-2所示的添加规则控制块窗口。
图7-1 规则设置窗口
-
-
图7-2 添加规则控制块
- 在添加控制块窗口中填写名称,尽量可读性好,可以定义为192.168.1.2 to192.168.112.8。
- 填写对名称的描述:可以为allow 192.168.1.2 access 192.168.112.8.
- 填写规则使用的协议,为TCP协议。
- 这样添加窗口中的内容如图7-9所示。
图7-9 添加规则控制块示例-A
-
-
B.添加由192.168.1.2发送的数据包穿过防火墙的规则。
在如图7-9窗口中单击其中的‘添加’按钮,则弹出如图7-3所示的窗口用来添加规则中各项详细的属性,填写其中的项:
图7-3 添加规则中的详细属性
-
-
-
- 名称,定义此条规则的名称,可以为inbound,表示数据包进入防火墙。
- 描述,对规则更详细的名称描述,可以定义为ip packet inbound firewall。
- 源地址、源地址掩码:数据包是由192.168.1.2地址发送的,所以此处192.168.1.2的地址作为源地址,因为是标识一台主机,所以其地址掩码为255.255.255.255。
- 源端口:源端主机可以使用任何端口访问目的主机的21端口,所以这里填写任意端口,用0表示。
- 源端口操作:选择!=(不等于),与源端口配合,表示任意不等于0的端口。
- 目的地址与目的地址掩码:尽管此条规则表明数据包是到达防火墙的过程,但其最终的目的地址为192.168.112.8,所以目的地址应该填写192.168.112.8,地址掩码仍然用255.255.255.255用来表示是一台主机。
- 目的端口:规则中已详细说明,此规则描述了访问目的地址192.168.112.8的FTP端口,所以应该填写21。
- 目的端口操作:它与目的端口共同限制端口,因为这里使用的端口明确,FTP端口是确定的,为‘=21’,所以这里源端口操作的运算符是‘=’。
- 接口名:如图7-8的箭头所示,此规则定义的步骤数据包是通过网络接口卡eth1的,所以这里填写eth1。
- 网卡安全标志:此项参数和接口名相匹配,指明网卡的安全标识,因为eth1处于安全网卡中的LAN区域,所以这里填写LAN。
- 路由设定:数据包是穿过防火墙,而不是只发送到防火墙,防火墙这时起到路由的作用,所以选择Route。
- 方向:数据包传送到防火墙,其方向是进入防火墙,所以为Inbound。
- 隧道标识:可以不填。
- 记录日志:选择记录日志,这里从下拉菜单中选中Yes
-