|
sinfor s5100 硬件网关集成了高性能的企业级状态检测防护墙,能有效保护内部网络免受来自包括internet、vpn 连接的其它局域网等多方面的攻击、同时,内置的防dos 攻击功能,不仅可以有效防范来自外部网络的dos 攻击,对于内网计算机发起的dos 攻击,sinfor s5100 硬件网关也可以进行防御。
例如:需要在sinfor s5100 硬件网关上对sql server 服务数据的传输设置规则,首先需要对sql server 服务所使用的协议和端口进行定义,点击『新增』,出现『防火墙信息编辑』对话框,如下图:
『名称』可自定义(本例中可设置为:sql server);『协议』选择tcp;再点击『新增』,『端口号』填写1433,点『确定』保存即可完成对sql server 服务的定义。 2、过滤规则设置 sinfor s5100 硬件网关防火墙采用状态检测包过滤技术,可在多个数据传输方向上结合时间计划实现基于协议类型、源ip、目的ip的数据包过滤。 『过滤规则设置』包括了lan﹤-﹥dmz、dmz﹤-﹥wan、wan﹤-﹥lan、vpn﹤-﹥lan、vpn﹤-﹥wan、vpn﹤-﹥dmz,四个网络接口,十二个方向的规则设置。 所有的vpn 数据都会经由vpn 接口传输(例如:本端设备lan 接口下的计算机与vpn 对端计算机的数据通信是经由设备lan接口与vpn 接口传输),因此防火墙的过滤规则可以对vpn 数据进行控制。 『lan﹤-﹥dmz』用于设置s5100 设备的lan 接口与dmz 接口之间双向数据传输的防火墙过滤规则; 『dmz﹤-﹥wan』用于设置s5100 设备的dmz 接口与wan接口之间双向数据传输的防火墙过滤规则; 『wan﹤-﹥lan』用于设置s5100 设备的wan 接口与lan接口之间双向数据传输的防火墙过滤规则; 『vpn﹤-﹥lan』用于设置s5100 设备的vpn 接口与lan 接口之间双向数据传输的防火墙过滤规则; 『vpn﹤-﹥wan』用于设置sinfor s5100 设备的vpn 接口与wan 接口之间双向数据传输的防火墙过滤规则(如果vpn 连接对端在『隧道间路由设置』中设置了以本端作为『目的路由用户』并启用『通过目的路由用户上网』,则在本端可通过设置vpn﹤-﹥wan的过滤规则实现对分支上网数据的控制); 『vpn﹤-﹥dmz』用于设置s5100 设备的vpn 接口与dmz接口之间双向数据传输的防火墙过滤规则; 下面以lan﹤-﹥dmz、vpn﹤-﹥lan 为例介绍过滤规则设置的一般步骤: 1、lan﹤-﹥dmz 此界面用于设置lan 口与dmz 口之间数据传输的防火墙过滤规则,可根据实际环境设置放行某类服务数据、或拒绝某类服务数据;例如要使lan 与dmz 口之间完全互通并且能够使用ping 命令进行测试,则需要在两个方向上开放所有的tcp udp 以及icmp 过滤规则。规则设置方法,见下图:
『名称』自定义规则名称; 『方向』设置此规则对那个方向的数据生效; 『动作』设置数据匹配此规则后的执行动作; 『服务』设置规则要匹配的服务类型; 『源ip』设置规则要匹配的源ip 地址; 『目的ip』设置规则要匹配的目的ip 地址; 『时间』设置规则生效的时间; 勾选『启用规则』选项,则此规则设置完成后立即生效; 勾选『启用日志』选项,则所有匹配此规则的数据包经过设备时日志系统都将记录 日志,一般情况下请不要启用,以免系统产生大量日志; 2、vpn﹤-﹥lan 此界面用于设置vpn 接口与lan 接口之间数据传输的防火墙过滤规则,默认规则已放行了双向的所有tcp、udp、icmp 数据,如下图:
例如:需要允许接入总部的vpn 分支(172.16.1.0/24) 的部分ip(172.16.1.100-172.16.1.200)访问总部内网服务器(192.168.1.20)的web 服务但禁止访问sql server 服务,首先新建web 服务过滤规则,如下图:
『名称』自定义规则名称; 『方向』设置为vpn-]lan; 『动作』设置为对此类数据允许; 『服务』设置为http; 『源ip』设置为分支内网的部分ip地址172.16.1.100-172.16.1.200; 『目的ip』设置为总部内网的服务器ip192.168.1.20; 『时间』设置规则生效的时间; 勾选『启用规则』选项,确定完成,再设置sql server 服务过滤规则,如下图:
『名称』自定义为sql server; 『方向』设置为vpn-]lan; 『动作』设置对此类数据拒绝; 『服务』设置为sql server; 『源ip』设置为分支内网的部分ip 地址172.16.1.100-172.16.1.200; 『目的ip』设置为总部内网的服务器ip192.168.1.20; 『时间』设置规则全天生效; 勾选『启用规则』选项,确认完成; 完成上述设置后,即可实现对vpn 数据的有效过滤 其他如限制总部访问分支服务、限制分支通过总部上网的数据等需求都可以通过在相应接口之间设置过滤规则实现。 3、nat 设置 nat 设置包括代理上网设置、端口映射设置、ip/mac 绑定设置、url 组设置外部服务组设置、用户上网权限设置等内容。 1)代理上网设置 『代理上网设置』用于设置防火墙代理局域网上网的规则,sinfor s5100 硬件网关不仅有基本的nat 代理上网功能,还可通过与过滤规则进行配合对内网的上网服务进行控制。 设备缺省设置中不包含代理信息,需要手动添加,点击『新增』,『名称』可自定义,填写代理网段,并点击『确定』,如下图:
如需要分支上网,需添加『内网接口』为vpn 的代理规则并添加分支的内网ip 段,如下图:
2)端口映射设置 『端口映射设置』用于设置防火墙的dnat 规则,如果局域网内的服务器需要向外网提供服务,则需要添加『端口映射设置』,如下图:
例如,内网有一台ip 为192.168.1.20 的电脑要对外网提供web服务,所使用的端口为80,则步骤如下: 1、在『过滤规则设置』的wan﹤-﹥lan 中『新增』一条放行规则,允许从任意外网ip 访问本地内网ip 192.168.100.20 的80 端口。见下图:
2、在『端口映射设置』中『新增』一条映射规则。见下图:
点击『确定』后规则生效,则外网可通过端口映射访问到内网提供的web 服务。 通过sinfor s5100 硬件设备设置端口映射向外网提供服务的内网服务器,必须是以s5100 硬件设备作为nat 代理上网出口(网关指向s5100 或上网路由最终指向s5100),否则端口映射将无法生效。 3)ip mac 绑定设置 sinfor s5100 系列产品提供了“ip/mac 绑定”功能,通过功能可很方便地得到内网某个ip 地址所对应的mac 地址并将它们绑定在一起,当局域网内部有未知设备接入时,由于在ip/mac 绑定表中没有它的记录,未知设置就无法通过s5100 网关上网。当某个ip 所对应的mac 地址与记录不符时s5100 网关也将拒绝此ip 的上网请求,因此ip mac 绑定还可用于限制内部电脑ip 被人为改动,如下图:
勾选『启用ip mac 绑定』即启用“ip/mac 绑定功能”; 点击『自动搜索』,设置搜索范围,系统将自动在所设置的ip 范围内搜索存在的计算机的ip/mac 信息; 点击『新增』,填写ip 和mac 信息,也可点击『自动获取』以获取对应计算机的mac 地址信息;
『ip 不在表中的行为』可选为“拒绝”和“通过”,用于设置不匹配ip/mac 记录后的操作。 “拒绝”即对不匹配ip mac 记录或ip 信息在ip mac 表中无记录的计算机禁止上网;“通过”即允许不匹配ip mac 记录的计算机上网但如果不匹配ip mac 记录则仍然禁止上网。 4)http 端口设置 『http 端口设置』用于定义http 服务的端口,默认设置为80。这里定义http 端口为80 后,当启用『用户上网权限』-]『启用url』记录功能时,s5100 硬件网关会记录通过80 端口访问的url 信息并可对通过80 端口发出url 信息进行过滤,如果需要记录/过滤通过其它端口访问的url 信息,则需将相应的端口添加到『http 端口设置』中,如下图:
点击『新增』,设置『名称』、『描述』、『端口』,勾选『启用』完成设置。 5)url 组设置 s5100 硬件网关的企业级状态检测防火墙具有“网页地址过滤”功能,可与防火墙配合对局域网用户上网进行管理,使用该功能之前需要先在『url 组设置』中添加所需的url 信息,如下图:
点击上图中『新增』按钮,显示『url 组编辑』对话框,设置url组『名称』、描述;在点击下图中『新增』,将url 信息添加到中『url列表』中(第一个字段支持使用*号匹配),如有需要可添加多个url,确定后完成设置,如下图:
6)外部服务组设置 默认情况下,内网用户可以访问外网的所有服务,如需在『上网权限设置』中设置内网用户访问外网服务的权限,则需先在『外部服务组设置』中定义相应的服务,如下图:
默认配置了pop3、smtp、web、dns 四类服务,可自定义其他服务;例如:添加internet 上ip 为202.96.137.75 的服务器提供的ftp(具体端口号根据软件所使用端口而定),设置方法如下: 点击『新建』,显示『外部服务组编辑』对话框,如下图:
再点击『新增』,设置外网服务器的『起始ip』、『终止ip』、『端口号』、『描述』,如下图:
也点击『自动解析』按钮出现以下对话框,可以自动解析域名对应的ip,方便定义外网服务。
7)用户上网权限设置 『用户上网权限设置』是防火墙中用于对局域网用户访问外网的权限进行控制采用的最常用的方法,虽然通过防火墙的过滤规则也可实现,但这两者仍有区别。『过滤规则』是基于对某些ip 地址和端口的访问控制来实现上网服务的控制,它更注重的是整个网络的安全性。而在控制内网用户上网时,使用『用户上网权限设置』进行控制时会更为方便。设置界面如下:
要启用“url 过滤”及『访问记录』功能,必须勾选『启用url』; 点击『新增』,出现『上网权限编辑』对话框,在『ip 组』选项卡下点击『新增』,即可在对话框中输入这条规则所要匹配的内网ip 范围,如下图:
点击『服务组』选项卡,则可设定该内网ip 范围内,可以访问外网的哪些服务,见下图:
在此对当前ip 组能够访问的外网服务进行设置,默认设置是『缺省允许』,此时局域网用户可访问外网的所有服务,但在本例中限制了用户只能访问外网的pop3、smtp、web、dns、ftp 服务,对其他服务访问将被防火墙拒绝(缺省拒绝);相应的服务请在『外部服务组设置』中添加。 防火墙将按所设置的服务顺序依次匹配相应规则,『缺省动作』表示没有匹配任何一条服务规则的访问请求被(拒绝或允许)。 点击『url 组』选项卡,如下图:
在此可以对当前ip 组访问的url 地址进行设置,默认设置是『缺省允许』,如果要对某个url 组进行拦截只需要把它右移并勾选拒绝即可,本例中限制了用户对游戏类网站的访问,相应url 信息请在『url 组设置』中添加。 1、访问监控 防火墙对访问监控 (1)流量排名 通过『流量排名』可以直观地查看当前局域网中用户对带宽的使用情况,可分别查看上行和上行流量,如下图;
(2)访问记录 『访问记录』用于查看当前局域网用户的url 访问记录,点击『刷新状态』可实时刷新访问记录,如下图:
必须在『用户上网权限设置』中的勾选『启用url』,此处才能看到url 访问记录。 2、防dos 设置 防火墙不仅肩负着阻隔internet 上的用户对局域网非法攻击的任务,很多时候由于局域网内有电脑中毒,会向网关发送大量的数据包,这样有可能会造成带宽阻塞或者网关死机。ssl vpn 内部集成了『防dos 攻击』功能,可以监测单位时间内某个ip 向网关发送了多少数据量,当超过一定值时则ssl vpn 会认为受到此ip 的dos 攻击,并会阻断此ip 一断时间从而保护自己。配置界面见下图:
在『内网网段列表』中添加局域网所包含的网段,当这里为空的时候即表示不启用防dos 攻击功能。当添加了内网网段后,所以源ip不属于『内网网段列表』所列网段时,则该数据包会被直接丢弃。属于『内网网段列表』范围时,则会进行下面防dos 攻击各项设置的计算和探测,以进行相应的处理。 同理,『内网路由器列表』的功能和『内网网段列表』功能类似。 其它选项可根据情况来进行相应设置,包括『最大tcp 连结数』,『最大syn 包数』及『防dos 攻击的封锁时间』等。 3、qos 级别设置 qos (quality of service,服务品质保证)在网络带宽不足的情况下,通过qos 设定来保证一些重要的服务能获得充足的网络带宽。可以设定各优先级能够得到的带宽比例,在网络繁忙时将按照设定的比例来分配网络带宽,保证整个出口线路上,通过防火墙的重要服务能够顺畅进行。
『qos 优先级别设置』可以设定四个级别占用的带宽比例,以百分比来表示。 『启用qos 功能』是整个防火墙qos 功能的开关,勾选即启用了防火墙的qos 功能。 4、qos 上传规则设置 qos 上传规则设置是用来把数据业务进行分类,根据qos 规则设置所选定的数据投递优先级进行投递,以保证重要数据的及时传输
设备内置了一项缺省服务定义,只需点击『编辑』按钮,即可设置默认服务的优先等级信息。 点击『新增』按钮,会出现以下『新增qos 规则』对话框:
『服务名称』和『描述』可根据喜好填写。 『服务优先级』用于设置该qos 规则应用的“优先级”,除了前面『qos 等级设置』定义的四个等级外,还有一个“特权级”,特权级别可以占用所有带宽。 勾选『启用该服务』即可激活这条qos 上传规则。 『ip 地址』用于设置qos 规则应用的源及目标ip,可以设定为“所有ip 地址”或“指定ip 地址”。 『协议』用于设置qos 规则所对应的服务提供的端口及协议等。 5、『qos 下载规则设置』 qos 下载规则设置是用来把数据业务进行分类,根据qos 规则设置所设定的不同服务优先级进行投递,以保证重要数据的及时传输。 和qos 上传规则相类似,点击『新增』按钮出现如下对话框,以下仅举一例子说明:
以上规则保证了内网访问公网ftp 的21 端口通讯设定qos 级别为优先级别1。 (责任编辑:admin) |
