“防火墙—访问控制策略”页面配置手册(ReOS2008版本)
文档编号:171
浏览:29505 评分:101
最后更新于:2010-11-19
本节主要讲述防火墙—>访问控制策略的功能及配置方法。
本页面由“访问控制策略配置”和“访问控制信息列表”两大部分组成,可使用“普通视图”和“高级视图”两种视图配置访问控制策略,通过这两种视图配置的访问控制策略均可同时在“访问控制信息列表”中显示。用户自定义的访问控制策略将按配置顺序或预先指定的位置排列在“访问控制信息列表”中。
Internet发展的同时也带来了一些副作用,如出现了赌博、色情等和国家法律法规相悖的网站;宽带网络给大众提供快速冲浪的同时,网络蠕虫病毒也得到快速传播,给电脑使用者带来很大的威胁。各个机构需要连接到Internet,因此也制定了具体的上网规则,如某些地方规定公务员不能在上班时间炒股和通过即时消息聊天,企业不允许电脑使用者操作和工作无关的事情,家长需要能控制孩子的上网时间,蠕虫病毒和黑客攻击充斥网络,需要将它们挡在攻击电脑之前等,不一而足。
UTT产品的访问控制功能就是为解决这个问题而开发的。灵活地运用访问控制功能,不仅能够为不同的用户设置不同的Internet访问权限,还可以控制用户不同时段的Internet访问权限。在实际应用中,可根据各个机构的管理规则,在设备上配置相应的访问控制策略。例如对于学校用户,可通过配置访问控制策略设置学生不能访问游戏网站;而对于家庭用户,可配置只在指定的时间内允许孩子上网;对于企业用户,可配置财务部门的机器不能被互联网访问等。
在设备中配置访问控制策略,可以监测流经设备的每个数据包。默认情况下,设备中没有配置任何访问控制策略,设备将转发接收到的所有合法的数据包。如果在某接口配置了访问控制策略,当数据包到达此接口后,它会取出此数据包的源MAC地址、源地址、目的地址、上层协议、端口号或包内容进行分析,并从策略表的顶端从上至下搜索策略表,查看是否有匹配的策略,并执行匹配的第一个策略所定义的动作:转发或丢弃。并且不再继续比较其余的策略。如果与所有的策略都不匹配,处于安全的考虑,设备将丢弃这个数据包。
使用“普通视图”配置访问控制策略的目的是对进入LAN口的数据包进行控制。在LAN IN方向配置若干访问控制策略,可以控制局域网用户的上网行为,比如限制用户不能访问某些网站,或者只能访问某些网站,限制用户访问一些服务(如只允许访问WWW和电子邮件服务,其他服务如TELNET则禁止),或只允许一些主机访问Internet等等。灵活地运用访问控制功能,不仅能够为不同的用户设置不同的Internet访问权限,还可以控制用户在不同时段的Internet访问权限。
访问控制策略的过滤条件包括:过滤类型、过滤内容、源地址、源端口、目的IP地址、目的端口、协议、时间段等。定义了这些过滤条件以后,就可以利用它们创建访问控制策略,并指定各条访问控制策略的动作(允许或禁止),从而对进入设备的数据包进行控制:转发或丢弃。
通过设置“组选择”可以指定访问控制策略要过滤的数据包的源IP地址,设备提供三种类型的源IP地址对象:工作组,个人用户以及IPSSG组。这三种类型的策略分别被称为工作组策略、个人用户策略及IPSSG组策略。
1. 工作组
一般情况下访问控制策略是针对工作组定义的,该工作组的地址范围即为该策略要过滤数据包的源IP地址。同一个工作组的用户的上网权限完全相同,你只需为工作组定义访问控制策略,而无需为每个用户分别定义访问控制策略。这样的话,不仅方便管理,还可以提高设备的工作效率。当然,你必须首先将上网要求相同的局域网用户定义在同一个工作组中,才能够为他们制定出正确而有效的访问控制策略。
当为某工作组配置了访问控制策略后,系统会自动生成该组的全局策略,默认是禁止该组除定义过的其他业务。工作组全局策略的名称为“grpx_other”,x为阿拉伯数字,按照配置顺序依次为1、2、3……。
2. 个人用户
同时,设备也允许针对个人用户定义访问控制策略,该个人用户的IP地址即为该策略要过滤的数据包的源IP地址。如果某个工作组中大部分用户的上网要求都基本相同,只有一个或几个用户有特别需求;或是某个用户突然有了新的上网要求时,就可以对这个用户单独定义访问控制策略。
注意,如果对某个人用户配置了访问控制策略,且该个人用户属于某个已经配置了访问控制策略的工作组,则该工作组的全局策略也对此个人用户起作用。
3. IPSSG组
系统还提供一个默认工作组:IPSSG组,包括局域网中没有定义访问控制策略的所有用户。允许针对IPSSG组定义访问控制策略,但其起始IP地址和结束IP地址(均为0.0.0.0)均不能修改。
注意,如果配置了某个人用户策略,且该个人用户不属于任何已配置了访问控制策略的工作组,则IPSSG组策略也对该个人用户起作用。
可以通过设置“过滤类型”指定访问控制策略的过滤类型,设备提供三种过滤类型:IP过滤、URL过滤以及关键字过滤。这三种类型的访问控制策略,均支持根据时间段进行过滤。
1. IP过滤
IP过滤指对数据包的包头信息过滤,例如源IP地址和目的IP地址。如果IP头中的协议字段封装协议为TCP或UDP,则再根据TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤。
过滤类型为IP过滤时,可供设置的过滤条件包括:源IP地址、目的IP地址、协议、源端口、目的端口、时间段、动作等。
2. URL过滤
URL过滤指对URL网址过滤,根据URL中的关键字进行过滤,不仅可以控制局域网用户对站点的访问,还可以控制用户对网页的访问。
过滤类型为URL过滤时,可供设置的过滤条件包括:源IP地址、过滤内容(指URL地址)、时间段、动作等。
3. 关键字过滤
关键字过滤指对HTML 页面(网页)中的关键字过滤,它的意思是如果你在某个网页里发表了包含了定义的关键字(如浮云、神马、统一等)的言论,将会提交不成功。设备可同时支持对中、英文关键字的过滤。
过滤类型为关键字过滤时,可供设置的过滤条件包括:源地址、过滤内容(指网页中的关键字)、时间段、动作等。
访问控制策略的动作包括转发和丢弃,对应的“动作”分别为“允许”或“禁止”。当需要处理的数据包与某条已定义的访问控制策略相匹配时,如果该策略的“动作”是“允许”,那么设备将转发该数据包;如果该策略的“动作”是“禁止”,那么设备将丢弃该数据包。
在启用了访问控制策略之后,系统会形成七种访问控制策略:
1. 为使设备正常工作而自动生成的名称为“lan”、“dns”以及“dhcp”的系统缺省访问控制策略,它们分别用来允许访问LAN口、允许DNS、DHCP服务;
2. 自定义的个人用户策略,可能是禁止或允许某个人用户的某项上网业务;
3. 自定义的工作组策略,可能是禁止或者允许某工作组的某项上网业务;
4. 系统自动生成的某工作组的全局策略,默认是禁止该组除定义过的其他业务。当为某工作组定义访问控制策略后,系统会自动生成该组的全局策略,名称为“grpx_other”,x为阿拉伯数字,按照配置顺序依次为1、2、3……;
5. 自定义的系统默认(IPSSG)组策略,可能是禁止或者允许IPSSG组的某项上网业务,但是该组的起止IP地址不能修改;
6. 系统自动生成的IPSSG组的全局策略,默认是允许IPSSG组除定义过的其他业务,该访问控制策略的名称为“pass”;
7. 系统自动生成的全局策略(作用于局域网所有用户),允许所有数据包(包括其他非IP类型的包)通过,该访问控制策略的名称为“generic”。
和“普通视图”相比,“高级视图”提供的功能更全面、更强大。使用“高级视图”配置的访问控制策略可对设备所有物理接口进入和外出的数据包进行控制,而使用“普通视图”配置的访问控制策略只能对流进入LAN口的数据包进行控制。
进入(In)— 当数据包从指定接口进入设备时执行过滤。数据包来自与指定接口相连的网络,希望穿过设备到达另一接口并转发。当指定接口接收到数据包之后,将首先进行访问控制策略的匹配检查,并根据匹配策略定义的动作处理该数据包:转发或丢弃。
外出(Out)— 当数据包从指定接口离开设备时执行过滤。数据包来自与另一接口相连的网络,已经穿过设备到达指定接口,并希望从该接口转发。当指定接口接收到数据包之后,将进行访问控制策略的匹配检查,并根据匹配策略定义的动作处理该数据包:转发或丢弃。
“高级视图”中通过引用地址组和服务组配置访问控制策略,减少了手工配置多条访问控制策略的麻烦,大大减少了管理员的工作量。例如,内网中有多个不连续的IP地址段,而这些IP地址段访问外网的权限又相同,可以配置这些地址段属于同一地址组,然后做一条使用此地址组的访问控制策略即可同时对它们的数据包进行控制。
通过设置访问控制策略的“源地址组”和“目的地址组”来匹配设备接收数据包的源IP地址和目的IP地址。设备中存在两种地址组,用户在防火墙—>地址组中配置的地址组和系统默认地址组。系统默认地址组包括“Inter_all”和“Extern_all”,分别表示内部所有地址和外部所有地址。
通过设置访问控制策略的“服务组”来匹配设备接收数据包的源MAC地址、协议、端口号以及包内容等信息。可在访问控制策略中引用系统预定义的服务,也可引用用户自定义的服务组。您可以针对服务组创建访问控制策略,而无需为服务组包含的每个服务单独创建访问控制策略,大大简化了管理员的工作量。例如,您可以把telnet、pop3以及http等多个服务配置属于同一服务组,这样您就可以通过配置一条访问控制策略控制对这些服务的访问。
访问控制策略的动作包括转发和丢弃,对应的“动作”分别为“允许”或“禁止”。当需要处理的数据包与某条已定义的访问控制策略相匹配时,如果该策略的“动作”是“允许”,那么设备将转发该数据包;如果该策略的“动作”是“禁止”,那么设备将丢弃该数据包。
除了用户自定义的访问控制策略外,设备还会自动生成系统缺省访问控制策略,不同接口和方向上的系统缺省访问控制策略不同。下面将分别介绍这些系统缺省访问控制策略的涵义。
|
接口和方向
|
系统缺省访问控制策略
|
说明
|
|
LAN IN
|
“lan”、“dns”以及“dhcp”
|
始终位于列表的最上方,并且“lan”不在列表中显示。它们分别用来允许访问LAN口、允许DNS、DHCP服务。
|
|
“pass”
|
IP包的全局策略,默认是允许所有的IP包通过,始终显示在“访问控制信息列表”的最后。
|
|
|
“generic”
|
全局策略,允许所有数据包(包括其他非IP类型的包)通过,位于“pass”的后面,但它不在“访问控制信息列表”中显示。
|
|
|
LAN OUT
|
“lanoutpass”
|
IP包的全局策略,默认是允许所有的IP包通过,始终显示在“访问控制信息列表”的最后。
|
|
“lanoutgene”
|
全局策略,允许所有数据包(包括其他非IP类型的包)通过,位于“lanoutpass”的后面,但它不在“访问控制信息列表”中显示。
|
|
|
WANX IN
|
“wanxinpass”
|
IP包的全局策略,默认是允许所有IP包通过,始终显示在“访问控制信息列表”的最后。
|
|
“wanxingene”
|
全局策略,允许所有数据包(包括其他非IP类型的包)通过,位于“wanxinpass”的后面,但它不在“访问控制信息列表”中显示。
|
|
|
WANX OUT
|
“wanxoutpass”
|
IP包的全局策略,默认是允许所有IP包通过,始终显示在“访问控制信息列表”的最后。
|
|
“wanxoutgene”
|
全局策略,允许所有数据包(包括其他非IP类型的包)通过,位于“wanxoutpass”的后面,但它不在“访问控制信息列表”中显示。
|
|
|
备注:“WANX”中的“X”取值范围为1~4,分别表示设备的WAN1~WAN4口。
|
||
系统缺省访问控制策略
注意:所有的系统缺省访问控制策略都不可删除,且只能在列表中编辑其动作。
用户可使用“普通视图”或“高级视图”两种视图模式进行访问控制策略配置。为方便配置,减少管理员工作量,强烈建议您使用“高级视图”配置访问控制策略。
使用“普通视图”配置的访问控制策略只能控制进入LAN口的数据包,而使用“高级视图”配置的访问控制策略可对设备所有物理接口的进入和外出数据包进行控制。
下面将分别介绍如何使用“普通视图”和“高级视图”配置访问控制策略。
使用“普通视图”配置的访问控制策略是对进入LAN口的数据包进行控制的,在创建一条访问控制策略之前,您必须完成以下任务:
进入用户管理—>组管理页面为所要创建的访问控制策略定义工作组;
进入用户管理—>时间段配置页面为所要创建的访问控制策略定义生效的时间段。
下面将分别介绍IP过滤、URL过滤以及关键字过滤这三种不同的过滤类型下,访问控制策略配置中各参数的涵义,以及注意事项。
配置访问控制策略—普通视图
策略名:自定义访问控制策略的名称,不能重复,取值范围:1~11个字符;
普通视图:设备提供“高级视图”和“普通视图”两种视图模式配置访问控制策略,此处选“普通视图”进行配置;
组选择:该访问控制策略控制的局域网用户,即源IP地址范围。提供三种类型的选项:用户自定义的工作组组名、“新个人用户”及“IPSSG”。
组名:为某个工作组配置访问控制策略时,需选择其“组名”,选定后,右边的两个下划线将分别显示其起始IP地址和结束IP地址,禁止修改这两个IP地址;
新个人用户:如果选择“新个人用户”,则可以直接在本页面定义一个新个人用户并为它配置访问控制策略。定义时,需要在右边的第一个下划线中输入该个人用户的IP地址,单击鼠标后,该IP地址将自动填充到第二个下划线;
IPSSG:为系统默认组,配置访问控制策略时,需选择“IPSSG”。该组作用于局域网中的所有用户,右边的两个下划线将都显示为0.0.0.0,禁止修改;
过滤类型:IP过滤、URL过滤、关键字过滤,这里选择“IP过滤”;
协议:该访问控制策略的协议类型。
供选择的协议如下:6(TCP)、17(UDP)、1(ICMP)、2(IGMP)、4(IPINIP)、47(GRE)、50(ESP)、51(AH)、89(OSPF)、9(IGRP)、46(RSVP)以及0(所有)。其中,“0(所有)”表示所有协议。
附录C提供了常用协议号与协议名称的对照表;
常用服务提示:提供使用TCP协议或UDP协议的常用服务端口。其中,选项“所有”表示所有端口:即1~65535端口。
选择某个端口号(服务)后,系统自动将该端口号填充到“目的起始端口”和“目的结束端口”;特别地,若选择“所有”,则“目的起始端口”和“目的结束端口”分别填充为1和65535。
附录D提供了常用服务端口与服务名对照表;
目的起始端口、目的结束端口:该访问控制策略的目的起始端口和结束端口,通过它们可以指定一段范围的目的端口。如果只定义一个目的端口,则将它们设置成同一个值,取值范围均为1~65535;
目的起始地址、目的结束地址:该访问控制策略的目的起始IP地址和结束地址,通过它们可以指定一段范围的目的IP地址。如果只定义一个目的IP地址,则将它们设置成同一个值;
源起始端口、源结束端口:该访问控制策略的源起始端口和结束端口,通过它们可以指定一段范围的源端口。如果只定义一个源端口,则将它们设置为同一个值。取值范围均为1~65535;
插入位置(之前):该访问控制策略的插入位置,选项为已配置访问控制策略的“策略名”及系统缺省策略“pass”。“pass”为IPSSG组的全局策略。
l策略名:选择某“策略名”后,该访问控制策略将插入到选定的策略之前;
lpass:选择“pass”后,该访问控制策略将插入到策略“pass”之前;
动作:该访问控制策略的执行动作,选项为“允许”或“禁止”。
l允许:允许与该访问控制策略匹配的数据包通过,即设备将转发该数据包;
l禁止:禁止与该访问控制策略匹配的数据包通过,即设备将丢弃该数据包;
时间段:该访问控制策略生效的时间,不设置为所有时间。如果配置之后需要删除,可以选择“时间段”下拉框中的空选项。如果该时间段已经过期,系统将认为此条策略没有时间限制。
保存:访问控制策略配置参数生效;
重填:恢复到修改前的配置参数。
访问控制策略配置——URL过滤
“策略名”、“组选择”、“插入位置(之前)”、“动作”、“时间段”这几个参数的涵义同“IP过滤”类型中的相关参数,这里不再重述,请参考相关描述。
过滤类型:IP过滤、URL过滤、关键字过滤,这里选择“URL过滤”;
过滤内容:该访问控制策略欲过滤的URL地址。取值范围:1~31个字符。
URL过滤是根据URL的关键字进行过滤的,当访问的网页的URL中含有与“过滤内容”完全匹配的字段时,就认为是匹配该策略的。这里可输入一个完整的域名,这时,该域名开头的所有网页都被匹配;也可输入域名的子字符串,这时,URL中包含该子字符串的所有网页都被匹配,从而实现对某个站点的所有网页的过滤。下面,举几个例子进行说明:
例1,如果输入www.sina.com.cn,那么以www.sina.com.cn开头的所有网页都将匹配该策略,如www.sina.com.cn/index.jsp,但是tech.sina.com.cn开头的网页却不被匹配。
例2,如果输入www.utt.com.cn/bbs/,则以www.utt.com.cn/bbs/ 开头的所有网页都将匹配该策略,从而控制对utt这个站点中bbs页面的访问。
例3,如果输入sina.com,那么所有出现sina.com和sina.com.cn的网页都被匹配,相当于整个sina站点都被匹配,当然,此时以tech.sina.com.cn开头的网页将被匹配。
保存:访问控制策略配置参数生效;
重填:恢复到修改前的配置参数。
提示:
1. URL地址中,英文字符不区分大小写。输入URL时,请不要包含http://。另外,也不支持使用通配符“*”或者“?”来代表任意字符。
2. URL过滤不能控制用户可以使用网页浏览器访问的其它服务。例如,URL过滤不能控制对ftp://ftp.utt.com.cn的访问。在这种情况下,需通过配置IP过滤类型的访问控制策略来禁止或允许FTP连接。
“策略名”、“组选择”、“插入位置(之前)”、“动作”、“时间段”这几个参数的涵义同“IP过滤”类型中的相关参数,这里不再重述,请参考相关描述。
过滤类型:IP过滤、URL过滤、关键字过滤,这里选择“关键字过滤”;
过滤内容:该访问控制策略欲过滤的关键字,指网页上的关键字。支持中、英文两种输入方式,取值范围:1~31个字符;其中,一个中文汉字由2个字符组成。此外,允许输入含空格的字符串,一个空格为1个字符。注意,一条策略只允许设置一个关键字,因此,当输入的字符串中含有空格时,也当作一个关键字处理。
保存:访问控制策略配置参数生效;
重填:恢复到修改前的配置参数。
提示:
1. 对于过滤类型为“关键字”的访问控制策略,一般情况下,动作都设置为“禁止”,这样,当用户在某网站提交含有已设置的关键字的网页内容时,将不能提交成功;
2. 关键字为英文时,不区分大小写;并且,输入关键字时,不支持使用通配符“*”或者“?”等来代表任意字符。
如果希望对某个人用户定义访问控制策略,有以下两种方法:
方法1——先在用户管理—>组管理中配置只包含一个用户的工作组,然后在本页面的“组选择”中选择其“组名”,即可为该用户配置访问控制策略;
方法2——直接在本页面的“组选择”中选择“新个人用户”,然后在右边的第一个下划线中输入该个人用户的IP地址,即可为该用户配置访问控制策略。
采用方法2时,需注意以下两点:
1. 在本页面配置了新个人用户访问控制策略后,在用户管理—>组管理的“组信息列表”中将增加该用户的信息记录,“组名”为该用户的IP地址。因此,在为该个人用户继续配置其他访问控制策略时,就需要在“组选择”中选择其“组名”(即IP地址);
2. 在本页面可以删除为该个人用户配置的访问控制策略,但无法删除其地址信息,只能在用户管理—>组管理的“组信息列表”中删除。
在使用“高级视图”创建一条访问控制策略前,您必须完成以下任务:
进入防火墙—>地址组页面为所要创建的访问控制策略定义地址组;
进入防火墙—>服务组页面为所要创建的访问控制策略定义服务组;
进入用户管理—>时间段配置页面为所要创建的访问控制策略定义生效的时间段。
下面将介绍 “高级视图”中各配置参数的涵义。
配置访问控制策略—高级视图
策略名:自定义访问控制策略的名称,不能重复,取值范围为1~11个字符;
高级视图:此处选则“高级视图”进行配置;
接口:选择欲配置访问控制策略的物理接口;
方向:选择访问控制策略是对流入(IN)物理接口的数据包进行控制,还是对流出(OUT)物理接口的数据包进行控制;
源地址组:用来匹配设备接收数据包的源IP地址,当方向为“IN”时,显示和接口相关的用户自定义的地址组以及系统默认地址组;当方向为“OUT”时,显示所有地址组;
系统默认地址组“Inter_all”表示内部网络的所有地址;
系统默认地址组“Extern_all”表示外部网络的所有地址;
目的地址组:用来匹配设备接收数据包的目的IP地址。显示所有用户自定义的地址组以及系统默认地址组;
服务组:用来匹配设备接收数据包的源MAC地址、协议、端口号等信息。显示所有用户自定义的服务组以及系统预定义的服务,设备中预定义了telnet、smtp、web、pop3等服务,“All_service”表示所有服务;
插入位置(之前):选择当前访问控制策略的插入位置,选项为用户自定义的访问控制策略和系统缺省访问控制策略;
动作:该访问控制策略的执行动作,选项为“允许”或“禁止”;
l允许:允许与该访问控制策略匹配的数据包通过,即设备将转发该数据包;
l禁止:禁止与该访问控制策略匹配的数据包通过,即设备将丢弃该数据包;
时间段:选择访问控制策略生效的时间,不设置为所有时间。如果配置之后需要删除,可以选择“时间段”下拉列表中的空选项。如果该时间段已经过期,系统将认为此条策略没有时间限制;
保存:单击“保存”按钮,所做的配置生效;
重填:恢复到修改前的配置参数。
使用“普通视图”或“高级视图”配置设备某接口和方向的访问控制策略后,必须在“全局配置”中启用相应的访问控制策略,在此接口和方向上配置的访问控制策略才生效。
全局配置
接口:选择所要启用访问控制策略的物理接口;
方向:选择在指定物理接口的“IN”或“OUT”方向启用访问控制策略;
启用访问控制:打勾表示启用,启用后,在指定接口和方向上配置的访问控制策略才生效;
保存:配置参数生效;
重填:恢复到修改前的配置参数。
在“访问控制信息列表”上方的下拉框中选择某接口和方向后,即可在列表中查看该接口和方向上的访问控制策略信息。
如果某条访问控制策略的“视图”显示为“普通”,则表示此策略是使用“普通视图”配置的,列表中显示的参数“源地址组、目的地址组、服务组”对它没有任何意义。
如果某条访问控制策略的“视图”显示为“高级”,则表示此策略是使用“高级视图”配置的,列表中显示的参数“过滤类型、过滤内容、协议、源起始地址、源结束地址、源起始端口、源结束端口、目的起始地址和目的结束地址”对它没有任何意义。
访问控制信息列表
删除:选中一条或多条访问控制策略,单击右下角的“删除”按钮,即可删除被选中的访问控制策略。
注意:不能删除“访问控制信息列表”中的系统缺省访问控制策略,只能修改其动作。
LAN IN方向
由于使用“普通视图”和“高级视图”均可配置LAN IN方向的访问控制策略,故LAN IN方向的访问控制策略在列表中的排列顺序分三种情况:
一. 只使用“普通视图”配置访问控制策略
访问控制策略类别及排列顺序
一般情况下,所有的访问控制策略将按照如表11-10中的顺序排列在“访问控制信息列表”中,其中,按照从上到下的顺序依次是:最上面为“lan”、“dns”及“dhcp”这3条策略,之后是自定义的个人用户策略,然后是工作组策略,最下面为“pass”和“generic”这2条策略。需要指出的是,“lan”和“generic”这2条系统自动生成的策略未在“访问控制信息列表”中显示。
对于工作组策略来说,缺省情况下,工作组策略将按照配置时的顺序从上到下依次排列,自定义的工作组策略将自动位于该组全局策略上方,但用户可以通过参数“插入位置”指定或调整某工作组策略的位置,并且,只能是在某工作组内部或工作组之间调整。注意,如果将某条自定义的工作组策略插入到该工作组全局策略下方,这条策略将不再起作用。
对于个人用户策略来说,缺省情况下,个人用户策略将按照配置时的顺序从上到下依次排列,但用户可以通过参数“插入位置”指定或调整某个人用户策略的位置,并且,只能在个人用户策略之间调整。
二. 只使用“高级视图”配置访问控制策略
只使用“高级视图”配置LAN IN方向的访问控制策略时,访问控制策略在“访问控制信息列表”中从上到下的排列顺序依次是:最上面是“lan”、“dns”以及“dhcp”这3条系统缺省访问控制策略,之后是自定义的访问控制策略,最下面是“pass”和“generic”这2条系统缺省访问控制策略,需要注意的是:“lan”和“generic”这2条策略未在“访问控制信息列表”中显示。
对于用户自定义的访问控制策略,如果没配置插入位置,它将从列表顶端从上至下比较列表中访问控制策略的源地址组,如果找到第一条相同源地址组的策略,则继续比较下一条策略的源地址组,直到找到一条与自己的源地址组不同的策略后,不再向下比较并排列在此策略的上方。如果在列表中没有找到与自己源地址组相同的策略,此策略将排列在系统缺省策略“pass”的上方。
提示:
1. 用户自定义的服务类型为“DNS”的访问控制策略将自动位于系统缺省访问控制策略“dns”的上方;
2. 用户可以通过参数“插入位置”指定或调整某访问控制策略的位置。
3. 系统缺省访问控制策略“pass”始终排列在列表的最下方,不可调整其位置。
三. 同时使用上述两种策略配置访问控制策略
在列表中即存在使用“普通视图”配置的访问控制策略,又存在使用“高级视图”配置的访问控制策略的情况下,如果用户使用“普通视图”配置了一条访问控制策略,此访问控制策略在查找插入位置时,会认为使用“高级视图”配置的访问控制策略不存在。插入方法同情况一。同样,如果用户使用“高级视图”配置了一条访问控制策略,此访问控制策略在查找插入位置时,如果遇到一条使用“普通视图”配置的访问控制策略,会认为它不存在,跳过去继续比较下一条策略。插入方法同情况二。
对于用户自定义的访问控制策略,如果没有配置插入位置,它将从列表顶端从上至下比较列表中访问控制策略的源地址组,如果找到第一条相同源地址组的策略,则继续比较下一条策略的源地址组,直到找到一条与自己的源地址组不同的策略,不再继续比较并排列在它的前面。如果在列表中没有找到与自己源地址组相同的策略,将按照配置顺序从上往下排列。
提示:
1. 用户可以通过参数“插入位置”指定或调整某条访问控制策略的位置。
2. 系统自动生成的IP包的全局策略始终排列在列表的最后,不可调整其位置。
当某接口接收到一个数据包后,设备将从“访问控制信息列表”的顶端开始向下搜索该列表,查找与数据包的地址、协议、端口、包内容以及接收到数据包请求的时间相匹配的策略。匹配的第一个策略将被应用于此数据包,并且,后面的策略不再检查。如果没有找到匹配的策略,出于安全考虑,该数据包将被丢弃。
由于设备将会对数据包执行第一个匹配的策略所定义的动作,因此,必须按照从特殊到一般的顺序安排、配置策略。举个例子来说,要求禁止局域网用户使用FTP业务,允许其他所有业务。那么就需要先配置禁止FTP业务的策略,再配置允许所有业务的策略。
当配置了某工作组的访问控制策略后,系统会自动添加一个该工作组的全局策略,该策略的动作默认是禁止该工作组的所有服务,它结合该工作组已设置的其他策略形成该工作组完整的策略体系。在“访问控制信息列表”中,该工作组的全局策略将自动位于为该工作组自定义的访问控制策略的下方(可根据起止地址来判断该全局策略属于哪个工作组)。因此对于该工作组来说,当设备的物理接口收到一个数据包时,将优先匹配该工作组自定义的访问控制策略,当这些访问控制策略均不匹配后,才去匹配该工作组的全局访问控制策略。
例如,当一个工作组设置一个允许FTP的策略,并且该工作组的全局策略的动作为禁止,那么,在“访问控制信息列表”中,FTP策略将位于该组全局策略的上方。所有来自该组的FTP连接都将与这个FTP策略匹配,于是被允许通过。而其它任何类型服务的连接请求都不会与此FTP策略匹配,于是,它们将去匹配该组全局策略,由于该组全局策略的动作为禁止,于是设备将禁止这条连接。
工作组的全局策略只允许编辑“动作”及“插入位置”。如果删除工作组的全局策略,IPSSG组策略对该工作组用户也起作用。一般情况下,不要删除工作组的全局策略。
注意,可通过设置“插入位置”将某条自定义的工作组策略插入到该工作组全局策略下方,也可通过设置“插入位置”将某工作组全局策略移到该工作组某条自定义的访问控制策略的上方。上述任何一种情况下,对于某工作组来说,位于该工作组全局策略下方的自定义的访问控制策略将不再起作用。
下面将举例说明不同情况下,如何设置工作组的全局策略的动作。
需要说明的是:以下几个例子中的工作组“Sale”的具体配置可参见用户管理—>组管理中的“工作组配置实例”部分。时间段“worktime”和“freetime”的具体配置可参见用户管理—>时间段配置的“时间段配置实例”部分。
1. 如果要限制某一工作组只允许某些上网业务,那么该工作组的全局策略的动作应该设成禁止。
例如,要求配置只允许“Sale”组的WEB业务,禁止该组其他所有上网业务。
要配置的策略是:
自定义策略1,允许“Sale”组的WEB业务;
系统会自动生成一条该组的全局策略grp1_other,禁止该组用户的所有上网业务,如下图所示。
访问控制信息列表—实例一
2. 如果要限制某一工作组只禁止某些上网业务,那么该工作组的全局策略的动作应该设成允许。
例如,要求:只禁止“Sale”组的用户访问网站http://www.playboy.com(IP地址为209.247.228.201)和网站http://www.cnn.com(IP地址为64.236.24.12),允许该组其他所有上网业务。
1) 方法1,过滤类型选择“IP过滤”
要配置的策略是:
自定义策略1,禁止“Sale”组访问目的地址:209.247.228.201;
自定义策略2,禁止“Sale”组访问目的地址:64.236.24.12;
系统会自动生成一条该组的全局策略grp1_other,这时需将其动作修改成“允许”,如下图所示。
访问控制信息列表——实例二
2) 方法2,过滤类型选择“URL过滤”
要配置的策略是:
自定义策略1,禁止“Sale”组访问目的网站:www.playboy.com;
自定义策略2,禁止“Sale”组访问目的网站:www.cnn.com;
系统会自动生成一条该组的全局策略grp1_other,这时需将其动作修改成“允许”,如下图所示。
访问控制信息列表——实例二(2)
3. 如果要限制某一工作组的某些上网业务在不同时间段有不同的权限,那么该工作组的全局策略的动作应该设成禁止。
例如,要求:时间段“worktime”(工作时间)内只允许“Sale”组的WEB业务,时间段“freetime”(业余时间)开放Sale组的所有业务。
要配置的策略是:
自定义策略1,允许“Sale”组用户在时间段“worktime”的WEB业务;
自定义策略2,允许“Sale”组用户在时间段“freetime”的所有业务;
系统会自动生成一条该组的全局策略grp1_other,禁止该组其他所有上网业务,如下图所示。
访问控制信息列表——实例三
如前所述,如果某个工作组中大部分用户的上网需求都基本相同,但同时也有少数用户有特别需求;或是某个用户突然有了新的上网需求时,就需要对这个用户单独定义访问控制策略。
例如,要求:允许“Sale”组(配置同上一节)的WEB业务,禁止该组的其他所有上网业务。特别地,允许该组IP地址为192.168.16.66的用户在时间段“freetime”的所有上网业务。
要配置的策略是:
自定义策略1,允许“Sale”组的WEB业务;系统会自动生成一条该组的全局策略grp1_other,禁止所有业务;
自定义策略2,允许IP地址为192.168.16.66的用户的所有上网业务;该策略将自动位于策略1的上方。
当然,也可以先配置策略2,再配置策略1。不管配置顺序如何,在“访问控制信息列表”中,如表11-18、11-19、11-20所示,该个人用户的访问控制策略将始终位于“Sale”组的访问控制策略的上方。
访问控制策略信息列表——实例四
一般情况下,访问控制策略是为了控制局域网主机的上网行为,因此无需设置参数“源起始端口”和“源结束端口”,设备将自动开放所有源端口。上述两节中所提供的工作组和个人用户策略配置实例均是用来控制局域网主机的上网行为的。
但是,如果访问控制策略是为了限制Internet上的外网主机对局域网内部主机(比如某台服务器)的访问,就需要在该策略中指定“源起始端口”和“源结束端口”。
例如,要求:某网吧有一台游戏服务器(IP地址为192.168.16.200/24),现希望该服务器对外只提供某游戏服务(端口号为7000、7100和7200,协议使用TCP),并且只对它的另外两个连锁网吧开放(公网IP分别为:201.222.5.121/29和201.222.5.122/29);同时,禁止该服务器的其他所有上网业务。要配置的相关策略是:
自定义策略1,允许该服务器的源端口7000对指定目的IP地址(即201.222.5.121/29和201.222.5.122/29)开放;
自定义策略2,允许该服务器的源端口7100对指定目的IP地址(即201.222.5.121/29和201.222.5.122/29)开放;
自定义策略3,允许该服务器的源端口7200对指定目的IP地址(即201.222.5.121/29和201.222.5.122/29)开放;
自定义策略4,禁止该服务器的所有上网业务。
策略1、2、3的配置步骤类似,下面以策略1的配置步骤为例进行说明,如下图所示:
源端口的应用实例
第一步,在“策略名”中填入“1”;
第二步,在“组选择”中选择“新个人用户”,并在第一个下划线上填入“192.168.16.200”;
第三步,在“过滤类型”中选择“IP过滤”;
第四步,“协议”选择“6(TCP)”,“常用服务提示”选择“所有”;
第五步,在“目的起始地址”和“目的结束地址”中分别填入“201.222.5.121”、“201.222.5.122”;
第六步,在“源起始端口”和“源结束端口”中均填入“7000”;
第七步,“动作”选择“允许”;
第八步,单击“保存”按钮,该策略配置完成。
注意,在配置策略2和策略3时,在“组选择”中只需直接选择“192.168.16.200”即可。
策略4的配置步骤如下:
第一步,在“策略名”中填入“4”;
第二步,在“组选择”中选择“192.168.16.200”;
第三步,“协议”选择“所有”;
第四步,“动作”选择“禁止”;
第五步,单击“保存”按钮,该策略配置完成。
提示:还必须在高级配置—>NAT和DMZ配置的“NAT静态映射”中为该服务器配置相关的NAT静态映射,该游戏服务器才能对外提供相关服务。
使用“高级视图”可在设备所有物理接口的IN和OUT方向配置访问控制策略。一般情况下,在LAN IN方向配置访问控制策略来控制内网用户的上网访问权限(也可通过配置WAN OUT方向的访问控制策略来实现);在WAN IN方向配置访问控制策略来控制外网用户对内网用户的访问(也可通过配置LAN OUT方向的访问控制策略来实现)。
为了减轻设备对数据包的处理负担,建议在接口的IN方向配置访问控制策略,即数据包一进入设备就进行策略检查,不符合策略的数据包将丢弃,而设备无需再对这些数据包进行路由、NAT处理等操作,减轻了CPU的处理负担,提高了设备的效率。
某公司内部有研发、客服、财务、销售4个部门,这4个部门的员工所使用的IP地址段分别为192.168.16.2~192.168.16.30、192.168.16.31~192.168.16.60、192.168.16.61~192.168.16.70、192.168.16.71~192.168.16.100。
要求:(1)只允许研发部员工和财务部员工在上班时间的WEB和FTP业务,禁止其他业务,下班时间允许所有业务。
可通过自定义两条访问控制策略和系统自动生成的策略“pass”共同实现要求,“pass”始终位于列表的最后,默认是允许所有的IP包。
自定义策略1; 允许研发部和财务部员工在上班时间的WEB和FTP业务;
自定义策略2:禁止上班时间的其他业务。
a) 配置策略1
第一步:在用户管理—>时间段配置中配置上班时间“worktime”;
第二步:在防火墙—>地址组中配置地址组“yfcw”,包括研发部(192.168.16.2~192.168.16.30)和财务部(192.168.16.61~192.168.16.70)的地址,如下图所示:
第三步:在防火墙—>服务组中配置服务组“web*ftp”,包括WEB和FTP服务;
配置服务组“web*ftp”
第四步:进入防火墙—>访问控制策略页面,输入策略号“1”,选择源地址组为 “yfcw”,目的地址组为“Extern_all”,服务组为 “web*ftp”,动作选择为“允许”,时间段选择为“worktime”,最后单击“保存”按钮。
配置策略1
b) 配置策略2
在防火墙—>访问控制策略页面,输入策略号“2”,选择源地址组为“yfcw”,目的地址组为“Extern_all”,服务组为“All_service”,动作选择为“禁止”,时间段选择“worktime”, 最后单击“保存”按钮。
配置策略2
c) 全局配置
必须启用设备LAN口 IN方向的访问控制策略后,在LAN IN方向配置的访问控制策略才生效。
启用访问控制策略
某公司使用艾泰公司设备作为网络接入设备,内网用户通过WAN1口上网,IP地址为200.200.200.251。要求:(1)禁止外部某一非法IP地址(202.106.11.22)对内网用户的恶意攻击;(2)并且禁止内网用户访问带有“神马”、“浮云”、“统一”等非法内容的网页。
可通过在WAN1 IN方向配置访问控制策略“1”,禁止来自攻击IP地址的所有IP包来防止外部攻击。配置访问控制策略“2”,禁止内网用户访问带有“神马”、“浮云”、“统一”等内容的网页。
自定义策略1:防外部攻击;
自定义策略2:禁止内网用户访问带有“浮云”、“神马”、“统一”等内容的网页。
a) 配置策略1
第一步:进入防火墙—>地址组页面,配置名称为“a”和“b”的地址组,所属区域均选择“WAN1”,地址组“a”包含设备WAN1口的IP地址, 地址组“b”包含攻击IP地址202.106.11.22;
配置地址组“a”
配置地址组“b”
第二步:进入防火墙—>访问控制策略页面,输入策略号“1”,选择接口为“WAN1”,方向为“IN”,选择源地址组为“b”,目的地址组为“a”,服务组选择“All_service”,动作选择为“禁止”,最后单击“保存”按钮。
配置访问控制策略—实例二
b) 配置策略2
第一步:进入防火墙—>服务组页面,自定义服务组名称为“Key”,服务类型选择为“关键字”,输入过滤内容为“神马”、“浮云”、“统一”;
配置服务组“Key”
第二步:进入防火墙—>访问控制策略页面,自定义策略号为“2”,选择接口为“WAN1”,方向为“IN”,选择源地址组为“Extern_all”,目的地址组为“a”,服务组为“Key”,动作为“禁止”,单击“保存”按钮,如下图所示。
.GIF)
配置策略2
c) 全局配置
启用设备WAN1口 IN方向的访问控制功能后,在该接口和方向上配置的访问控制策略才生效。
启用访问控制策略
2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1
沪公网安备 31011702003579号