全方位讲解硬件防火墙的选择（3）

　　 
　　全方位讲解硬件防火墙的选择
　　 三、防火墙的基本配置

　　 下面我以国内防火墙第一品牌天融信NGFW 4000为例给各位讲解一下在一个典型的网络环境中应该如何来配置防火墙。

　　 图5：网络拓扑结构　

　　 NGFW4000有3个标准端口，其中一个接外网（Internet网），一个接内网，一个接DMZ区，在DMZ区中有网络服务器。安装防火墙所要达到的效果是：内网区的电脑可以任意访问外网，可以访问DMZ中指定的网络服务器，Internet网和DMZ的电脑不能访问内网；Internet网可以访问DMZ中的服务器。　

　　 1、配置管理端口

　　 天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的，管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下，3个口都不是管理端口，所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来，给防火墙指定一个管理端口，以后对防火墙的设置就可以通过远程来实现了。　　

　　 使用一条串口线把电脑的串口（COM1）与NGFW4000防火墙的console口连接起来，启动电脑的"超级终端"，端口选择COM1，通信参数设置为每秒位数9600，数据位8，奇偶校验无，停止位1，数据流控制无。进入超级终端的界面，输入防火墙的密码进入命令行格式。　　

　　 定义管理口：if eth1 XXX.XXX.XXX.XXX 255.255.255.0

　　 修改管理口的GUI登录权限： fire client add to ps ec -t gui -a 外网 -i 0.0.0.0-255.255.255.255。

　　 2、使用GUI管理 软件 配置防火墙　　

　　 安装天融信防火墙GUI管理软件"TOPSEC集中管理器"，并建立NGFW4000管理项目，输入防火墙管理端口的IP地址与说明。然后登录进入管理界面。　

　　 （1）定义网络区域

　　 Internet（外网）：接在eth0上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping、GUI、telnet。　　

　　 Intranet（内网）：接在eth1上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，允许ping、GUI、telnet。

　　 DMZ区：接在eth2上， 缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，禁止ping、GUI、telnet。　　

　　 （2）定义网络对象　　

　　 一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的，也可以作为通信策略中的源和目的。网络节点同时可以作为地址映射的地址池使用，表示地址映射的实际机器，详细描述见通信策略。

　　 图6　　

　　 子网表示一段连续的IP地址。可以作为策略的源或目的，还可以作为NAT的地址池使用。如果子网段中有已经被其他部门使用的IP，为了避免使用三个子网来描述技术部使用的IP地址，可以将这两个被其他部门占用的地址在例外地址中说明。

　　 图7　　

　　 为了配置访问策略，先定义特殊的节点与子网：　　

　　 FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

　　 HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

　　 MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。 　

　　 V_SERVER：代表外网访问的虚拟服务器，区域=Internet，IP=防火墙IP地址。

　　 inside：表示内网上的所有机器，区域=Intranet，起始地址=0.0.0.0，结束地址=255.255.255.255。　

　　 outside：表示外网上的所有机器，区域=Internet，起始地址=0.0.0.0，结束地址=255.255.255.255。

　　 （3）配置访问策略　　

　　 在DMZ区域中增加三条访问策略：　　

　　 A、访问目的=FTP_SERVER，目的端口=TCP 21。源=inside，访问权限=读、写。源=outside，访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。

　　 B、访问目的=HTTP_SERVER，目的端口=TCP 80。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。

　　 C、访问目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。　　

　　 （4）通信策略

　　 由于内网的机器没有合法的IP地址，它们访问外网需要进行地址转换。当内部机器访问外部机器时，可以将其地址转换为防火墙的地址，也可以转换成某个地址池中的地址。增加一条通信策略，目的=outside，源=inside，方式=NAT，目的端口=所有端口。如果需要转换成某个地址池中的地址，则必须先在Internet中定义一个子网，地址范围就是地址池的范围，然后在通信策略中选择NAT方式，在地址池类型中选择刚才定义的地址池。

　　 服务器也没有合法的IP地址，必须依靠防火墙做地址映射来提供对外服务。增加通信策略。　　

　　 A、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射21->21，目标机器=FTP_SERVER。

　　 B、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射80->80，目标机器=HTTP_SERVER。

　　 C、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射25->25，目标机器=MAIL_SERVER。

　　 D、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射110->110，目标机器=MAIL_SERVER。

原文转自：http://www.ltesting.net