研发服务中心
二十一、 访问控制的实现
防火墙的访问控制是依靠防火墙的访问控制策略(Policy)实现的;所有的访问控制由防火墙的访问列表中的策略实现。
1. 访问控制策略包括六个最基本的必要信息:
1. 2. 3. 4. 5. 6.
2. 其它非必要信息:
日志、流量控制、认证、实时流量记录、 策略的方向 源地址信息 目标地址信息 网络服务信息 策略动作信息 策略的排列位置
二十二、 策略设置
研发服务中心
关于策略设置的建议
1. 关于防火墙策略设置的建议;
1. 合理安排策略顺序:
具体策略在上,非具体策略在下; 拒绝策略在上,允许策略在下; VPN策略在上,非VPN策略在下;
2. 优化策略内容:
合理利用地址组、服务组功能
二十三、 自定义服务
在访问策略的定制过程中,个别的用户会使用到非标准的自定义服务,对于这些特殊的服务,就需要进行自定义服务的设置。 设置的位置为:
Objects > Services > Custom
1. 自定义服务的设置
2. 自定义服务组
研发服务中心
1) 在通过防火墙的访问中,通常会出现,内部对外的访问不止一种的情况,如:普通的上
网应用,除了需要打开HTTP应用之外,还要开放DNS服务,否则,对于网络域名的解析就无法实现。
2) 在上面的情况中,我们可以通过两种方法解决问题:第一种是,针对每种具体的应用,
设置单独的策略。第二种是,针对几个应用同时使用的情况,定制一组应用,再针对这一组应用设置一条策略。
服务组的定义位置:
Objects > services > groups >configuration
3. 服务组的设置
二十四、 安全域的设置和自定义
1. 安全域的概念,由NetScreen首先提出
1) NetScreen认为:对于接入防火墙设备的每个网络,它们全部都是非信任的,针对
每个安全域,全部可以自定义它的安全检测项目,即:安全级别。
2) 最常用的安全域为:trust、dmz、untrust三层的安全域;V1-trust、V1-dmz、
V1-untrust二层的安全域;以上的名称都是防火墙的保留字。
2. 安全域的自定义
为什么需要新定义安全域?
1) 防火墙的多端口特征,如:NS-208有8个物理端口,默认的保留域不足以保证每
个端口都是一个安全域。 2) 管理员需要个性化的安全域。
设置的位置:Network > zones > New
研发服务中心
3. 基于二层协议的安全域
1) 在Network > Zones > New 2) 设置名称:L2-任意 3) 选择协议层为第二层
4. 基于三层的安全域
1) 在Network > Zones > New 2) 设置名称:任意 3) 选择协议层为第三层
4) 选择该安全域所在的虚拟路由
5. 防火墙的安全区域
研发服务中心
二十五、 特殊应用的实现MIP
1. 一对一的地址映射,是在防火墙三层的工作模式下实现的。 2. 通常这种设置的需求是:
防火墙内部有一台或几台服务器对inernet的计算机网络用户提供网络服务。同时,网络内部又拥有大量的一般用户;注册地址的数量超过不能满足内部用户的要求。
1. 特殊的应用MIP(图)
2. 特殊的应用MIP
设置位置:
Network =>interface =>ethernet3 =>edit =>MIP =>new
3. MIP定义