有默认规则。也就是说,如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话,系统将根据目的接口所在区域的缺省属性(允许访问或禁止访问)处理该报文。
定义访问规则,操作步骤如下:
1) 选择 防火墙引擎 > 访问控制,点击“添加配置”,进入访问控制规则定义界面。
表中“ID”为每项规则的编号,在移动规则顺序时将会使用。“控制”中的图标规则是否启用。
2)定义是否启用该访问控制规则(默认为启用该规则),以及访问权限。
和
,分别表示该项
访问权限定义了是否允许访问由规则源到规则目的所指定的服务。 3)定义规则的源
规则的源既可以是一个已经定义好的 VLAN 或区域,也可以细化到一个或多个地址 对象以及用户组对象,如下图所示。
图中“选择源”右侧的
按钮为正序排列和倒序排列,用户可以方便的按序查
找项目。
另外,用户还可以选择相应的服务,即设置源端口,如下图所示。
4)定义规则的目的
规则的目的既可以是一个已经定义好的 VLAN 或区域,也可以细化到一个或多个地 址对象以及用户组对象,如下图所示。
另外,用户还可以设置进行地址转换前的目的地址,如下图所示。
5)定义服务
选择访问规则包含的服务,如果用户需要制定的服务没有包含在服务列表中,可以通过 添加自定义服务添加所需服务。如果没有选择任何服务,则系统默认为选择全部服务。
6)定义辅助选项
各项参数说明如下:
7)点击“提交设定”完成该条访问控制规则的设定。
8)用户可以点击 “修改”按钮,对现有规则进行编辑。可以点击 “插入”按钮,在现有规则间插入一条新规则。
8)点击“清空配置”,可以清除所有的访问控制规则,便于重新配置。
9)需要更改规则的匹配顺序时点击该规则右侧 “移动”按钮,如下图所示。
用户可以选择相应 ID、位置,移动策略。完成后点击“提交设定”保存或“取消 返回”放弃移动。 5. 高可用性配置
配置网络卫士防火墙双机热备的步骤如下:
1)选择 系统 > 高可用性,进入高可用性设置页面,如下图所示。
2) 设置主/从设备参数,参数说明请参见下表。
3)点击“提交设定”,完成双机热备设置。
四、 透明模式配置示例
拓补结构:
1. 用串口管理方式进入命令行
用WINDOWS自带的超级终端或者SecureCRT软件,使用9600的速率,用串口线连接到防火墙,用户名是superman,密码是talent。(具体方法见第一节),下面是具体配置,加粗显示的为命令行。 2. 配置接口属性
将ETH0口配置为交换模式:
network interface eth0 switchport
配置ETH0口的METRIC值,用于计算双机热备的权值: network interface eth0 ha-metric 100 将ETH1口配置为交换模式:
network interface eth1 switchport
配置ETH1口的METRIC值,用于计算双机热备的权值: network interface eth1 ha-metric 100
配置ETH2口的METRIC值,用于计算双机热备的权值: network interface eth2 ha-metric 100 将没有使用的ETH2口关闭: network interface eth2 shutdown
配置同步接口ETH3的IP地址和HA标记:
network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0 配置ETH3口的METRIC值,用于计算双机热备的权值: network interface eth3 ha-metric 100
3. 配置VLAN 添加VLAN1:
network vlan add id 1
为VLAN1添加IP地址:
network interface vlan.0001 ip add 192.168.1.250 mask 255.255.255.0 label 0
4. 配置区域属性
将区域缺省访问权限为禁止
define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off
5. 定义对象
定义主机地址对象
define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1f define host add name 192.168.1.20 ipaddr '192.168.1.20 ' 定义时间对象