NGFW4000有3个标准端口,其中一个接外网(Internet网),一个接内网,一个接DMZ区,在DMZ区中有网络服务器。安装防火墙所要达到的效果是:内网区的电脑可以任意访问外网,可以访问DMZ中指定的网络服务器,Internet网和DMZ的电脑不能访问内网;Internet网可以访问DMZ中的服务器。
1、配置管理端口
天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的,管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下,3个口都不是管理端口,所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来,给防火墙指定一个管理端口,以后对防火墙的设置就可以通过远程来实现了。
使用一条串口线把电脑的串口(COM1)与NGFW4000防火墙的console口连接起来,启动电脑的"超级终端",端口选择COM1,通信参数设置为每秒位数9600,数据位8,奇偶校验无,停止位1,数据流控制无。进入超级终端的界面,输入防火墙的密码进入命令行格式。
定义管理口:if eth1 XXX.XXX.XXX.XXX 255.255.255.0
修改管理口的GUI登录权限: fire client add topsec -t gui -a 外网 -i 0.0.0.0-255.255.255.255
2、使用GUI管理软件配置防火墙
安装天融信防火墙GUI管理软件"TOPSEC集中管理器",并建立NGFW4000管理项目,输入防火墙管理端口的IP地址与说明。然后登录进入管理界面。
(1)定义网络区域
Internet(外网):接在eth0上,缺省访问策略为any(即缺省可读、可写),日志选项为空,禁止ping、GUI、telnet。
Intranet(内网):接在eth1上,缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,允许ping、GUI、telnet。
DMZ区:接在eth2上, 缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,禁止ping、GUI、telnet。
(2)定义网络对象
一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的,也可以作为通信策略中的源和目的。网络节点同时可以作为地址映射的地址池使用,表示地址映射的实际机器,详细描述见通信策略。
图6
子网表示一段连续的IP地址。可以作为策略的源或目的,还可以作为NAT的地址池使用。如果子网段中有已经被其他部门使用的IP,为了避免使用三个子网来描述技术部使用的IP地址,可以将这两个被其他部门占用的地址在例外地址中说明。
图7
为了配置访问策略,先定义特殊的节点与子网:
FTP_SERVER:代表FTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。
HTTP_SERVER:代表HTTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。
MAIL_SERVER:代表邮件服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。
V_SERVER:代表外网访问的虚拟服务器,区域=Internet,IP=防火墙IP地址。
inside:表示内网上的所有机器,区域=Intranet,起始地址=0.0.0.0,结束地址=255.255.255.255。
outside:表示外网上的所有机器,区域=Internet,起始地址=0.0.0.0,结束地址=255.255.255.255。
(3)配置访问策略
在DMZ区域中增加三条访问策略:
A、访问目的=FTP_SERVER,目的端口=TCP 21。源=inside,访问权限=读、写。源=outside,访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件,而外网的用户只能读文件,不能写文件。
B、访问目的=HTTP_SERVER,目的端口=TCP 80。源=inside+outside,访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。
C、访问目的=MAIL_SERVER,目的端口=TCP 25,TCP 110。源=inside+outside,访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。
(4)通信策略
由于内网的机器没有合法的IP地址,它们访问外网需要进行地址转换。当内部机器访问外部机器时,可以将其地址转换为防火墙的地址,也可以转换成某个地址池中的地址。增加一条通信策略,目的=outside,源=inside,方式=NAT,目的端口=所有端口。如果需要转换成某个地址池中的地址,则必须先在Internet中定义一个子网,地址范围就是地址池的范围,然后在通信策略中选择NAT方式,在地址池类型中选择刚才定义的地址池。
服务器也没有合法的IP地址,必须依靠防火墙做地址映射来提供对外服务。增加通信策略。
A、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射21->21,目标机器=FTP_SERVER。
B、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射80->80,目标机器=HTTP_SERVER。
C、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射25->25,目标机器=MAIL_SERVER。
D、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射110->110,目标机器=MAIL_SERVER。
(5)特殊端口
在防火墙默认的端口定义中没有我们所要用到的特殊端口,就需要我们手工的添加这些特殊端口了。在防火墙集中管理器中选择"高级管理">"特殊对象">"特殊端口",将弹出特殊端口的定义界面,点"定义新对象",输入特殊端口号与定义区域即可。
(6)其他配置
最后进入"工具"选项,定义防火墙的管理员、权限以及与IDS的联动等。(图8)
图8
四、防火墙对比
在了解了防火墙的工作原理及基本配置之后,下面给大家介绍一下NetScreen 208、Cisco PIX 515E、NGFW 4000-S、NetEye 4032这四款市场上最常见的硬件防火墙在基本性能、操作管理与市场价格上的比较。
|
防火墙 |
NetScreen208 |
CiscoPIX515E |
NGFW4000-S |
NetEye4032 |
|
核心技术 |
状态检测 |
状态检测 |
核检测 |
状态检测 |
|
产品类型 |
ASIC硬件 |
硬件设备 |
硬件设备 |
硬件设备 |
|
工作模式(路由模式、桥模式、混合模式) |
路由模式、桥模式 |
路由模式、桥模式 |
路由模式、桥模式、
混合模式 |
路由模式、桥模式 |
|
并发连接数 |
130000 |
130000 |
600000 |
300000 |
|
网络吞吐量 |
550M |
170M |
100M |
200M |
|
最大支持网络接口 |
8个 |
6个 |
12个 |
8个 |
|
操作系统 |
ScreenOS |
专用操作系统 |
专用操作系统 |
专用操作系统 |
|
管理方式 |
串口、CLI、Telnet、Web、GUI |
串口、Telnet、Web、GUI |
串口、Telnet、Web、GUI |
串口、Telnet、GUI |
|
市场报价 |
142,000RMB |
80,000RMB |
138,000RMB |
148,000RMB |
