天融信版本防火墙常用功能配置手册v

天融信版本防火墙常用功能配置手册v内容摘要：

； ETH1接口为 “ 外网 ”区域；添加 ETH2接口为 “ 服务器 ” 区域；） ? 提示：有几个安全等级就需要创建几个区域，即如果网络之间需要配置访问规则，那就需要配置不同的区域。 9 防火墙管理权限设置（定义希望从哪个区域管理防火墙） ? 默认只能从 ETH0接口对防火墙进行管理 “ 内网 ” 区域添加对防火墙的管理权限（当然也可以对 “ 外网 ” 区域添加），点击 “ 系统管理 ” — “ 配置 ” — “ 开放服务 ” ，点击添加 ，常用服务有 WEBUI(即WEB管理 )、 ping、 Tel等 （ 请 根据管理需要添加相应管理服务） 10 路由表配置 添加静态路由， 在 “ 网络管理 ” － “ 路由 ” － “ 静态路由 ” ，点击 添加 ? 添加缺省路由时，目的地址和目的掩码都为 ，网关为下一条地址 ，其他选项为空。 11 ? 如果防火墙和客户端之间有三层设备（比如三层交换机或者路由器），请注意添加相应静态路由。 定义 对象 （包括地址对象、服务对象、时间对象） ? 提示 ：防火墙所有需要引用对象 (如地址转换策略、访问控制策略等 )的配置，请先定义对象，才能引用。 1定义地址对象 添加单个主机对象 点击 ”资源管理 “－ “地址 ”－ “主机 ”， 点击右上角 “添加配置 ” 添加地址范围 点击 ”资源管理 “－ “地址 ”－ “范围 ”， 点击右上角 “添加配置 ” 12 添加子网 点击 ”资源管理 “－ “地址 ”－ “子网 ”， 点击右上角 “添加配置 ” 添加地址组 点 击 ”资源管理 “－ “地址 ”－ “地址组 ”， 点击右上角 “添加配置 ” 13 2定义服务对象 防火墙内置一些标准服务端口，但有时用户的系统没有使用某些服务的标准端口，用户在端口引用时 ，需要 我们通过自定义方式加以定义。 点击 “资源管理” － “服务” － “自定义服务” ，点击 “添加” ，可以添加单个端口或范围。 注意 单个端口只填起始端口 14 3定义时间对象 点击 “资源管理” － “ 时间 ” ，点击 “ 添加 ” ， 可以设置单次和多次 地址转换策略 1内网可以访问互联网，需要配置源转换 在 “ 防火墙 ” － “ 地址转换 ” ，点击 “ 添加 ” 选择 “源转换” ， 点击 “高级” ， 源选择源区域 “ 内网 ” ，目的选择目的区 15 域 “ 外网 ” ，源转换为 Eth1接口（即转换为 Eth1接口 IP地址）或者转换。 16 17 ? 如果需要源地址转换为一段地址，则首先需要创建一段地址范围，且该地址范围不能设置排除 IP地址。 18 2Web 服务器发布，需要配置目的转换 首先需要添加 Web服务器地址对象（ ，服务器真实地址 ）、外网访问的地址对象（ ，合法地址 ） ，具体配置见 定义对象 章节。 ? 目的转换有两种方式：地址转换、端口转换。 地址转 换： 从一个 IP 地址到另一个 IP 地址的映射。 安全网关设备将到达映射地址 （合法 IP） 的所有信息流中的目标 IP 地址转换成主机 IP 地址（即服务器真实地址 ）。 地址转换建议在映射地址资源充裕时、服务器使用端口较多且端口不连续、服务器端口不是固定端口时使用。 端口转换： 从一个 IP 地址到基于目标端口号的多个 IP 地址的映射， 即单个 IP 地址可以托管从若干服务 ( 使用不同的目标端口号标识 ) 到同样多主机的映射。 端口转换建议在映射地址资源 短缺且服务器端口为固定端口时使用。 ? 配置 Web服务器映射有两种方式 ： （Ⅰ）端口转换 19 在 “ 防火墙 ” － “ 地址转换 ” ，点击 “ 添加 ” 选择 “目的 转换” ，点击 “高级” ， 源选择源区域 “ 外 网 ” ，目的选择 “ 外网访问的地址对象（ ） ” ， 服务选择 “ HTTP” 服务，目的地址转换为 选择“ Web服务器地址对象（ ） ，即服务器真实地址 ” ， 目的端口转换为 “ HTTP” 服务。 20 21 （Ⅱ）地址映射 在 “ 防火墙 ” － “ 地址转换 ” ，点击 “ 添加 ” 选择 “目的 转换” ，点击 “高级 ” ， 源选择源区域 “ 外网 ” ，目的选择 “ 外网访问的地址对象（ ） ”，目的地址 转换为 选择“ Web服务器地址对象（ ） ，即服务器真实地址 ”。 22 23 第一条为内网访问外网做 源转换 ； 第二条为外网访问 WEB服务器的映射地址，防火墙把包转发给服务器的真实IP。 24 ? 地址转换需要注意的问题： 天融信防火墙先匹配目的转换规则，再对其他的地址转换规则按照从上往下的顺序。