2022年防火墙的设置 .pdf

《2022年防火墙的设置 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙的设置 .pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙的设置在防火墙中使用过程中，为了使防火墙产生隔离，屏蔽，转发的功能，常常需要做相应的配置从而使防火墙生效，主要有如下三个设置：一端口转发：可以设定外部机器对橙色区域服务器的访问，实现端口/ip 转发，使橙色区域的服务可以为外网提供服务，如web，mail 的服务，被外网访问。图1 端口转发防火墙通过阻止外部的访问请求来保护内部网络系统。但企业需要对外提供服务，为客户或合作伙伴提供必要的信息。对于外部的这些服务访问请求，防火墙必须允许通过。为了解决这个问题，端口转发功能就应运而生。端口转发允许外部用户访问防火墙内部网络对外提供的服务。通常企业对外提供的服务都放在非军事化区（ DMZ 内）

2、。SMBWall 防火墙端口转发的工作原理；假如SMBWall 互联网红色接口的地址为202.99.8.1，橙色接口为 192.168.5.1，企业对外提供Web服务的地址为 192.168.5.2（位于橙色区）。外部用户通过http:/202.99.8.1访问企业提供的Web 服务。当SMBWall 接收到外部用户的请求时， 将红色接口 202.99.8.1上接收到的所有 80端口（HTTP）请求全部转发到Web 服务器192.168.5.2上，由企业的 Web 服务器为外部客户提供服务。这样既保证外部的用户可以访问内部网络提供的服务，又保证外部用户只能有限地访问内部网络（例子中外部用户只能

3、访问Web 服务提供的服务，即 192.168.5.2 的80端口） 。新增规则添加新的端口转发规则，参数说明：“ 协议 ” ：从下拉列表中选择端口转发服务使用的协议。绝大部分服务使用TCP 协议，一些视频或游戏服务会使用UDP 协议。“IP 别名 ” ：别名的定义请参阅 4.4.3节。 “DEFAULT IP” 指 SMBWall 防火墙红色接口的 IP 地址。 下拉列表中的其他IP 地址是在 4.4.3节中定义的别名。比如， SMBWall防火墙红色接口地址是 202.99.8.1， 那么“DEFAULT IP ” 指的是 202.99.8.1 。 如果 4.4.3节中定义一个 202.9

4、9.8.2别名，在下拉列表中会出现这个别名。如果外部用户通过202.99.8.2访问您内部网络提供的服务，在此您需要选择202.99.8.2别名，而不是“DEFAULT IP”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 6 页 - - - - - - - - - “ 源端口 ” ：外部访问请求使用的端口。“ 目的 IP 地址 ” ：内部服务器提供服务使用的IP 地址。“ 目标端口 ” ：内部服务器提供服务使用的端口。“ 备注 ” ：描述信息，可选。“ 源 IP 或网

5、络（不填写表示所有网络）” ：允许从外部进行访问的IP 地址或网络地址，不填表示所有的外部用户都可以访问。“ 启用 ” ：选中 “ 启用 ” 复选框将打开新的端口转发规则。“ 新增 ” ：点击 “ 新增 ” 将保存新的端口转发规则。“ 复位 ” ：点击 “ 复位 ” 按钮清空已填写的内容。注：界面上红色部分表示外部网络信息当前规则显示当前端口转发规则列表，可以对这些规则进行如下操作：? 单击 ：关闭该端口转发规则? 单击 ：启用该端口转发规则? 单击 ：修改该端口转发规则? 单击 ：删除该端口转发规则? 单击 ：在该规则基础上增加额外的外部访问地址其他需要注意的事情使用端口转发时要注意的其他事

6、项：端口转发支持 GRE 协议可以使用端口范围和通配符，有效的通配符是：? *，为1-65535 ? 85-*，为85-65535 ? *-500，为1-500 分开一个端口范围的有效字符为“: ”或“ -” 。注意 “ -” 将被修改为 “: ”，即使它在屏幕上被显示为 “ -” 。点击 编辑规则时，编辑完成后需要点击“ 更新” 按钮，否则不会有任何变化。当您编辑一个规则时，您可以看到该规则以黄色高亮显示。保留端口： SMBWall 防火墙红色区地址（ DEFAULT IP）里，一些端口被保留作为自用，它们是 67, 68, 222, 和2443。您不能对这些端口进行转发配置。当您编辑一条端

7、口转发规则时，会出现一个标有“ 允许所有外部访问 ” 的复选框。如果选中该复选框，这个端口就变成了对所有外部地址都开放，小心使用。二外部访问防火墙 =外部转发选项，这个外部访问选项主要是外部机器对防火墙的访问与名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 6 页 - - - - - - - - - 控制，不会对内部网络产生影响，也不能通过此设置来访问内网。如果要用SSH从外部访问防火墙，必须启用此功能，SSH使用访问端口 222。图2 外部访问在默认情况下， SMBWa

8、ll 防火墙拒绝从外部访问SMBWall 防火墙自身的请求。如果您需要从外部来管理SMBWall 防火墙，您就要使用外部访问功能。 通过外部访问功能，将SMBWall 某些管理端口对外开放。管理员可以从外部远程管理SMBWall 防火墙。如果您不需要从外部管理SMBWall 防火墙，请不要在此设置任何规则。新增规则添加新的外部访问规则，参数说明：“ 协议 ” ：从下拉列表中选择外部访问使用的协议。“ 源 IP 或网络（不填写表示所有网络）” ：允许从外部进行访问的IP 地址或网络地址，不填表示所有的外部用户都可以访问。“ 目的 IP 地址 ” ：“DEFAULT IP”指 SMBWall 防火

9、墙红色接口的IP 地址。下拉列表中的其他 IP 地址是在 4.4.3节中定义的别名。您可以控制从外访问SMBWall 防火墙使用的 IP 地址。“ 目标端口 ” ： 允许从外部访问 SMBWall 防火墙的端口，一般为 2443端口 （SMBWall防火墙的 Web管理端口）。“ 启用 ” ：选中 “ 启用 ” 复选框将打开新的外部访问规则。“ 新增 ” ：点击 “ 新增 ” 将保存新的外部访问规则。当前规则显示当前外部访问规则列表，可以对这些规则进行如下操作：? 单击 ：关闭该外部访问规则? 单击 ：启用该外部访问规则? 单击 ：修改该外部访问规则? 单击 ：删除该外部访问规则注：点击编辑规

10、则时，编辑完成后需要点击“ 更新 ” 按钮，否则不会有任何变化。当您编辑一个规则时，您可以看到该规则以黄色高亮显示。如果您得外部访问设置好后从远程无法连接,请查看您通信得网络中是否有节点禁止2443端口,如果 2443端口被禁止了 ,但您又需要进行远程管理,建议您更换网络接入方式。三互联网访问控制防火墙 =互联网访问控制， 新增规则里设定对外网的访问规则，注意使用规则时，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 6 页 - - - - - - - - - 地址（IP

11、）里的输入方式为： IP 地址/掩码位数，例如： 192.168.0.1/24。另外要注意的是当有多条规则时，以规则层次的优先级决定规则的有效性，这里可以屏蔽需要屏蔽的端口和协议。图3互联网访问控制在默认情况下， SMBWall 防火墙允许所有绿色区和橙色区的用户访问互联网。如果您要控制绿色区和橙色区用户对互联网的访问，需要在此设置互联网访问控制规则。互联网访问控制属性在激活互联网控制功以前，首先需要配置互联网控制的属性。点击“ 属性 ” 按钮配置互联网访问控制属性，? 点击“ 激活互联网访问控制 ” 按钮将激活互联网访问控制功能，点击“ 关闭互联网访问控制 ” 按钮将关闭互联网访问控制功能?

12、 点击“ 激活橙色区案绿色区对待功能” 按钮，橙色区对互联网的访问将采用绿色区访问控制规则，点击“ 关闭橙色区案绿色区对待功能” 按钮，橙色区对互联网的访问将不采用绿色区访问控制规则互联网访问控制的基本属性显示在上图中，点击 “ 编辑” 按钮可以编辑互联网访问控制的基本属性注：在编辑基本属性前，请关闭互联网访问控制功能，否则无法编辑基本属性配置选项说明如下：? “管理 MAC ” ：管理员的机器MAC 地址，必填内容。? “HTTPS 端口（默认 2443）” ：SMBWall 防火墙的 HTTPS 端口，如果管理员没有修改端口，请填写 2443，必填内容。“ 工作模式 ” ：互联网访问控制默

13、认工作模式，从下面三种模式选择一个：? 阻断绿色区 /橙色区到互联网的访问? 阻断绿色区 /橙色区到互联网的访问+ 阻断绿色区对 SMBWall 绿色接口的访问? 阻断绿色区对 SMBWall 绿色接口的访问“ 连接处理 ” ：如果选中复选框 “ 已建立的和相关连的连接允许通过” ，对已建立的连接互联网访问控制直接允许通过，不再检测控制规则。这有利于提供防火墙的速度，建议管理员打开该功能。“ 日志 ” ：如果选中复选框“ 记录不匹配互联网访问控制规则的数据包” ，SMBWall防火墙将记录不匹配互联网访问控制规则的所有数据包，以便检查。选中该项会名师资料总结 - - -精品资料欢迎下载 - -

14、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 6 页 - - - - - - - - - 在一定程度上降低SMBWall 的效率。“ 默认的阻断动作 ” ：不匹配互联网访问控制规则的数据包处理情况：DROP：不匹配规则的情况下将包丢弃。REJECT：不匹配规则的情况下返回被拒绝的通知“ 保存 ” ：点击 “ 保存 ” 按钮保存基本配置“ 复位 ” ：点击 “ 复位 ” 按钮，将基本配置信息恢复到上次保存的值注：工作模式选择为第二或第三模式时, 如果 MAC 地址不是管理员主机的MAC地址, 或 HTTPS 端口不是

15、SMBWall 防火墙的管理端口，当激活互联网访问控制时，管理员将无法访问SMBWall 防火墙。互联网访问控制规则SMBWall 防火墙通过上面的界面增加新的互联网访问控制规则，其中“ 源” 部分的信息是绿色区或橙色区的地址信息，“ 目的 ” 部分的信息是要访问的互联网地址协议信息：“ 网络 ” 选择绿色区或橙色区“ 地址类型 ” 可以选择 MAC 地址或 IP 来控制源网络地址类型“ 地址（ MAC 或 IP）” ：依据 “ 地址类型 ” 的选择，输入 MAC 地址或 IP 地址“ 规则动作 ” ：控制规则，有四种：? 接受? 接受 + 日志? 阻断? 阻断 + 日志“ 启用 ” ：选择启

16、用，该规则可生效“ 目的 IP 或网络（不添表示所有网络） ：要访问的互联网网络地址“ 启用 ” ：选择启用，后面的协议类型和端口控制生效“ 协议类型可以选择 ” ：要访问的网络协议类型TCP UDP ICMP GRE ? “端口” ：要访问的网络端口? “新增” ：点击 “ 新增 ” 按钮保存新的规则? “复位” ：点击 “ 复位 ” 可以清除填写的内容显示当前互联网访问控制规则，可以对这些规则进行如下操作：点击 ：目前状态为记录日志，点击该按钮将不记录日志名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

17、- - - - - 第 5 页，共 6 页 - - - - - - - - - “ 点击 ” ：目前状态为不记录日志，点击该按钮将记录日志“ ”：目前状态为允许访问“ ”：目前状态为拒绝访问? 点击 ：关闭该规则? 点击 ：打开该规则? 单击 ：修改该规则? 单击 ：删除该规则? 点击 ：将该规则上移? 点击 ：将该规则下移注：点击编辑规则时，编辑完成后需要点击“ 更新 ” 按钮，否则不会有任何变化。当您编辑一个规则时，您可以看到该规则以黄色高亮显示。另外，在 fireWall 中的日志文件不可手动删除，自动维持至多58天记录。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 6 页 - - - - - - - - -