防火墙应用指南(三)——企业典型应用.doc

1、防火墙应用指南（三）——企业典型应用 在您继续了解本文档下面的内容之前，我们建议您能够先了解参考一下我们的《防火墙应用指南》系列文档之《防火墙应用指南（一）——基本配置指导思想》和《防火墙应用指南（二）——虚拟服务器的搭建》。 下面通过一些详细的例子，来进一步说明通过TL-FR5300的配置，如何实现企业的网络管理需求。 1，公司销售部因为业务需求，上班时间要具备“浏览网页”的权限，但是个别网站禁止访问，除“浏览网站”以外没有其他上网权限，其他时间不进行任何上网限制。在实现上面需求的基础上，要防止IP地址盗用。 分析：要实现上面的目的，在配置TL-FR5300的策略的时候，涉及的“对

2、象”有销售部员工的IP地址、外部网站、除了访问网站以外别的上网操作等等，这些“对象”我们会在下面的配置过程中一一体现出来。 配置： （1）“IP地址”：关于这个对象的描述和详细的举例，请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南——基本配置指导思想》，我们这里就直入主题开始配置了。 在TL-FR5300“对象”-“IP地址”页面，选择“区域”LAN，点击“新增”按钮： 在TL-FR5300“对象”-“IP地址”页面，选择“区域”LAN，点击“新增”按钮： 按照上图的办法将销售部所有员工的IP地址都添加到“IP地址”这个对象里面，下图： （2）“IP地址组”：接下

3、来把销售部所有成员都加入到一个组，取名“销售部”，如下图： （3）“服务”：要访问Internet上的网站，也就是内网电脑要有访问Internet上80端口的HTTP服务的权限。同时，登录网站前内网电脑还有个向Internet上DNS服务器请求域名解析的过程，所以还需要DNS权限，这些服务在TL-FR5300的“预定义服务”这个对象中都已经存在了，不需要设置。可以在“对象”-“服务组”里面定义一个新的服务组，包含“DNS”和“HTTP”两项服务，取名“WEB服务”，如下图所示： 备注：有关“服务”这个对象的详细应用，请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南（二）——

4、虚拟服务器的搭建》。 （4）“时间表”：上班时间需要控制，其他时间整个公司都可以随便上网，不需要控制；我们需要建立两个时间表：“上班时间表”、“非上班时间表”； 备注：有关“时间表”这个对象的详细应用，请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南（一）——基本配置指导思想》。 （5）“URL过滤”：个别网站禁止访问，可以通过“URL过滤”这个功能实现。假设我们要禁止访问的网站域名为。 如下图先在“对象”-“URL模式表”里面，将准备禁止访问的网站域名体现出来，配置如下图所示： 给“模式表”栏自定义一个black的名字含义是要禁止，在“URL模式”栏填入想要禁止访问

5、的网站域名。然后点击“添加”按钮。 然后在“对象”-“URL过滤配置”界面“新增”一个黑白名单选择，如下图： 如上图： “URL过滤配置名字”这一栏输入一个名字，后面配置策略的时候就通过这个名字来引用的。 “黑名单”里选择前面我们定义的black那张表，它里面包含了想要禁止的这个网站的域名。如果还要禁止别的网站，只需要将那些网站域名添加到前面black那张表里面就可以了，这里不需要改动。 “白名单”保持默认的不改动即可。 “缺省动作”默认允许不作改动。 然后点击“确定”按钮即可。 （6）“用户”：为了防止其他没有上网权限的用户盗用销售部的IP地址来上网，就需要通过这里的设置

6、来实现。 先在“对象”-“用户”界面里为销售部所有员工每人设置一个用户名和密码。如下图： 如上图给销售部员工张三设定了用户名和密码，当给张三分配IP地址的时候连同这里的用户名和密码一起分配给张三。同样给销售部员工李四、王五等等都设置用户名和密码。 设置好以后再进入TL-FR5300“对象”-“用户组”界面，将上面设置的销售部的多位员工归并到一组如下图： 如上图设置好以后，当配置“策略”的时候引用“销售部用户”这个组，那么符合本策略的所有“源地址”的主机在登录互联网的时候都需要先通过认证，通过这种方式达到防止IP地址盗用的目的。 （7）好了，经过上面6步准备工作，到此为止配置“

7、策略”所需要涉及到的“对象”基本设置完成。 看过我司网站“技术支持”——“网络教室”栏目文档《路由器如何限制内网电脑使用QQ》一文的用户都知道，腾讯公司的即时聊天软件QQ也使用了80端口。上面第（3）步定义“服务”对象的时候，开启了HTTP服务也就是80端口，这样一来允许80端口通过QQ也就可以成功登录了，这显然是不符合一开始提到的网络控制需求，那么我们需要回头再做一些设置准备： 在“对象”-“IP地址”页面选择WAN “区域”，将腾讯公司提供的所有QQ服务器的IP地址全部“新增”到WAN区域，如下图： 备注：上图页面中QQ服务器IP地址是我们通过QQ2006这个版本，在深圳电信AD

8、SL线路上寻找到的提供80端口服务的地址，不代表您那里的情况，所以建议您在自己实际应用的线路上亲自寻找一下看是否是别的IP地址。 因为我们这里的事例只是说开放了HTTP 80端口的权限后，通过80端口登录成功QQ连接的服务器IP地址，所以没有涉及QQ使用其他比如8000、443端口连接的时候，连接的服务器IP地址是多少。 然后在“对象”-“IP地址组”页面，选择WAN区域然后“新增”条目，对上面设定的单个QQ服务器进行归并，如下图： 设置完成后点击确定按钮，完成准备工作。 （8）开始“策略”的设置，选择区域从“LAN”到“WAN”，点击“新增”按钮（注意配置前先删除默认的any-

9、any-any的策略）： 如上图“服务”保持默认ANY意思是：发往QQ服务器任何端口的数据包都被禁止。设定完成后点击“确定”按钮。然后继续设置销售部只开放“浏览网页”权限的“策略”，如下图所示： 上图设置好之后，再添加一条下班时间不限制上网的“策略”：“销售部－any―any－允许－非上班时间表”就可以让销售部在非上班时间拥有所有上网权限了。上图中有红字“用户认证”注解“认证”这一部分，上面第（6）步的准备，先设定用户在设定用户组，然后上图“认证”部分选择了前面设定好的“销售部用户”这个组，这样凡是使用销售部IP地址上网的，都需要提供用户名和密码通过认证，然后才可以上网。在电脑端具

10、体的认证步骤请参考TL-FR5300的《用户手册》。 “策略”设置完成后如下图所示： 注意：策略的匹配原则 在上面第1部分设置了三条策略，从上往下分别是：销售部上班时间禁止登录QQ 、销售部上班时间允许浏览网页（限制个别网站）、销售部下班时间不进行上网限制。策略的顺序如下图： 上图每条策略所处的位置是非常重要的！如果上图中ID2和ID3这两条策略的位置变为下面图片中的位置，那么结果是什么呢？ 对比上面这两幅图片，策略的位置不同，结果也是不同的！如果是第二幅图片中的顺序，那么就无法限制QQ了。 策略匹配的原则是：从上往下逐条匹配（图中红线的方向）！而不是按照“ID”号码

11、大小来匹配的！如果是上面第二副图片的位置顺序，那么销售部电脑发往80端口的QQ服务器的数据包将满足第一条策略设置的条件，第一条策略允许销售部电脑发往任何80端口数据包通过TL-FR5300 。从而使发往80端口的QQ服务器的数据包也通过TL-FR5300被转发（“目的地址”一栏ANY包含了QQ服务器组，“服务”一栏WEB服务也包含了80端口）。 所以在设置多条策略的时候，一定要注意设置的策略所处的位置是否合适？当存在包含关系的多条策略存在，一定要合理调整策略的上下位置，上图中红色方框勾勒的“移动”选项可以实现我们灵活移动策略位置的需求。 2，公司需要对网络进一步管理，员工能否收发邮件以及邮

12、件附件的大小都是需要管理的对象，通过TL-FR5300如何实现？ 分析： 对邮件的收发分两种情况： 第一种：使用邮件软件比如：Outlook或Foxmail收发。利用客户端软件收发邮件分别使用的SMTP协议和POP3协议，使用的端口是25和110，所以只要开启了25、53、110三个端口的权限就可以收发邮件（开启53端口是因为邮件软件在配置的过程中“邮件服务器”选项允许填写邮件服务器的域名，如果填写了域名则邮件软件在联系邮件服务器之前，先有一个通过服务器域名解析服务器IP地址的过程，这个过程使用到53端口）。 对上面描述的“对邮件附件大小进行管理”的问题，我们可以利用TL-FR5300

13、的邮件深层检测的功能来实现。下面我们以“研发部收发邮件的权限”为例来说明如何在TL-FR5300 “策略”里面对邮件进行管理？ 设置：对于研发部门的IP地址规划以及如何在“对象”-“IP地址/IP地址组”里面进行设置，在这里就不重复了，有需要的话就请熟悉一下上面第1步的内容，或者我们的《防火墙应用指南》系列文档之《防火墙应用指南——（二）虚拟服务器的搭建》。 新增一条LAN—>WAN的策略，源地址“研发部”目的地址“ANY”，服务就是DNS、SMTP和POP3 。界面如下图： 上图以SMTP“服务”为例，在“深层检测”这一栏选择“SMTP”然后点击右面的“设置”按钮如下图： 如

14、上图设置后，发送的邮件不能带有附件，且邮件的总大小是不能超过100KB的。同样对接收邮件可以设置POP3的深层检测，POP3的深层检测可以对邮件的总大小进行限制。设置完后点击“确定”按钮返回上一级“策略”设置的界面。 针对DNS和POP3服务的“策略”都添加后，对邮件进行管理的“策略”就设置完成了，如下图所示： 如上图，ID8、ID9、ID10三条策略就可以实现：“研发部门可以发送不带附件的邮件，收邮件没有任何限制。” 分析： 第二种：除了上面描述的通过邮件软件收发邮件的方法以外，还有一种方法就是利用WEB站点收发邮件，也就是电脑通过IE浏览器登录到网站上收发邮件，比如个人经常使用

15、163信箱、Yahoo、Sohu等网站提供的免费信箱。这种类型的操作使用的是WEB技术。假设研发部有进行WEB访问（/浏览网站）的权限，那么通过前面第一种对SMTP和POP3进行管理的办法仅仅只能控制收发邮件中的一部分。对以WEB方式收发邮件的操作要进行管理的话我们就需要“策略”里面的“（HTTP）深层检测”来实现。 设置： 对HTTP深层检测的前提是给单位内部某个工作组开放了WEB访问权限的时候才会用到，如果某个工作组没有WEB访问权限，当然也就不可能通过WEB方式收发邮件里。下面的设置是针对：开启了WEB访问权限同时又需要对通过WEB方式收发邮件进行管理。如下图是参数的设置： 在“服务”栏选择HTTP服务表示WEB权限（浏览网站），在“深层检测”这一栏选择“HTTP”并点击后面的“设置”按钮如下图： 对上面的POST方法的大小进行限制（单位是字节），在网站上发帖、登陆一个论坛或邮箱、WEB界面发送一个邮件，都使用了POST方法，所以这个大小的设置可能需要多次动态调整，上图设置的500字节登陆一般的论坛和邮箱都是没有问题的，但文字稍多的邮件也可能发送不出去，推荐设置到1000字节。如下图，通过HTTP深层检测来控制发送大小超过限制的邮件。