■

我們單位是一家規(guī)模不大的小型公司，有70余臺電腦，建有自己的網(wǎng)站，公司員工能夠通過單位接入的專線訪問互聯(lián)網(wǎng)。由于公司成本所限，一直使用著一臺簡易的低端路由器實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接。由于其性能有限，吞吐能力較低，缺乏有效的網(wǎng)管手段，員工同時(shí)上網(wǎng)后，網(wǎng)速很慢。若有員工悄悄使用BT軟件下載電影之類的軟件，網(wǎng)絡(luò)立即就陷入了癱瘓狀態(tài)，極度地影響了辦公效率。一次偶然機(jī)會，我們從其它公司得到了一臺天融信網(wǎng)絡(luò)防火墻（NGWF4000）。這臺設(shè)備具備網(wǎng)絡(luò)控制功能和路由功能，能夠?qū)?nèi)網(wǎng)計(jì)算機(jī)進(jìn)行有效的安全防護(hù)。因此，我們決定就把它作為我們公司的網(wǎng)絡(luò)“交通警察”來使用了。公司網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 公司網(wǎng)絡(luò)拓?fù)?/p>

圖2 設(shè)定物理接口

因該防火墻為別人使用過的，使用前應(yīng)清除掉原有的參數(shù)設(shè)置，重新進(jìn)行定義。天融信防火墻的默認(rèn)管理網(wǎng)口是eth0。默認(rèn)管理地址是https://192.168.1.254。 默認(rèn)用戶名為superman，密碼是talent。連好網(wǎng)線后，通過瀏覽器進(jìn)入防火墻的管理界面。先恢復(fù)出廠設(shè)置（系統(tǒng)→恢復(fù)出廠→恢復(fù)配置），清除原先的配置，恢復(fù)默認(rèn)狀態(tài)。

接下來，我們要對接入網(wǎng)絡(luò)的物理接口進(jìn)行設(shè)置。這樣遠(yuǎn)端的路由器或計(jì)算機(jī)就能通過IP地址找到我們的網(wǎng)絡(luò)了。進(jìn)入網(wǎng)絡(luò)→物理接口，把eth1定義為與互聯(lián)網(wǎng)連接的接口，設(shè)定路由，添加接口的配置。定義eth1的IP地址為218.26.5.195，掩碼為255.255.255.0。把eth3定義為與內(nèi)網(wǎng)連接的地址，eth3的IP地址設(shè)置為192.168.100.1，掩 碼 為255.255.255.0。把eth4定義為連接服務(wù)器的地址，eth4的IP地址設(shè)置為172.16.12.21。如圖2所示。

聯(lián)通公司給我們提供的上聯(lián)地址為218.26.5.193，這是路由默認(rèn)下一條的地址，為使從內(nèi)網(wǎng)能夠訪問到互聯(lián)網(wǎng)，需要設(shè)定一條默認(rèn)靜態(tài)路由，接口須設(shè)定為與互聯(lián)網(wǎng)連接的接口eth1。這樣所有流出防火墻的數(shù)據(jù)包均會流向聯(lián)通公司的路由器，如圖3所示。

防火墻的路由設(shè)置不同于普通路由器，這時(shí)內(nèi)外網(wǎng)還是不能互通的，還需要在防護(hù)墻上設(shè)定有關(guān)對象參數(shù)。接下來定義對象，通過設(shè)定地址對象來限定可以訪問互聯(lián)網(wǎng)的用戶，通過設(shè)定地址組來區(qū)分訪問互聯(lián)網(wǎng)用戶的類型，通過設(shè)定區(qū)域?qū)ο髞韰^(qū)分不同功能區(qū)域計(jì)算機(jī)，這樣就把服務(wù)器（DMZ區(qū)）、普通辦公用區(qū)以及其他特定計(jì)算機(jī)區(qū)清晰的區(qū)分出來了，以方便對全網(wǎng)實(shí)施有效地網(wǎng)絡(luò)管理及特定安全防護(hù)策略，如圖4所示。

DMZ區(qū)域又稱武裝緩沖區(qū)，利用防火墻的多個(gè)網(wǎng)卡功能將這一區(qū)域與普通客戶機(jī)及外網(wǎng)進(jìn)行了隔離?？蛻魴C(jī)及外網(wǎng)不能直接訪問服務(wù)器，病毒木馬也不可能直接攻擊到服務(wù)器，所有的訪問請求都要經(jīng)過訪火墻的判別，符合規(guī)則的請求才可能傳遞到服務(wù)器。利用多個(gè)網(wǎng)卡(eth),可以將不同的服務(wù)器同樣進(jìn)行隔離,即使服務(wù)器區(qū)一的某一個(gè)服務(wù)器中了毒或木馬，也不可能直接感染到服務(wù)器區(qū)二的主機(jī)。這臺天融信防火墻提供了6個(gè)網(wǎng)絡(luò)接口(從eth0-eth5)，我們可以充分利用這些接口來采取有效的隔離措施。防火墻處理的基本策略只有兩種：一是先全開放，再對相應(yīng)的進(jìn)行關(guān)閉；二是先全關(guān)閉，再有選擇的進(jìn)行開放。通常的也是推薦的做法是先全關(guān)閉再開放。因此在定義區(qū)域的時(shí)候，應(yīng)全部選禁止，然后在有關(guān)設(shè)置中有選擇的開放。

圖3 設(shè)定默認(rèn)路由

圖4 設(shè)定主機(jī)對象

圖5 設(shè)置地址轉(zhuǎn)換

設(shè)定對象完成后，通過設(shè)定地址轉(zhuǎn)換，實(shí)現(xiàn)源地址和目的地址的轉(zhuǎn)換，這樣所有辦公用計(jì)算機(jī)和服務(wù)器訪問互聯(lián)網(wǎng)，將使用218.26.5.195的地址。如圖5所示。

因?yàn)橐试S外網(wǎng)用戶訪問服務(wù)器，還需要對服務(wù)器進(jìn)行目的地址的設(shè)定，實(shí)現(xiàn)目的地址的轉(zhuǎn)換。在源AREA中選外網(wǎng)口eth1，目的中選Web服務(wù)器，目的地址轉(zhuǎn)換為連接服務(wù)器的網(wǎng)口eth4，服務(wù)列表中選擇服務(wù)端口，如HTTP（TCP：80）等，從而實(shí)現(xiàn)目標(biāo)地址的轉(zhuǎn)換。

因?yàn)榍懊娑x區(qū)域時(shí)對訪問權(quán)限的設(shè)定均為禁止，所以還要在訪問控制中增加規(guī)則，對辦公用計(jì)算機(jī)、Web服務(wù)器等計(jì)算機(jī)設(shè)定訪問規(guī)則，開放有關(guān)權(quán)限，這樣內(nèi)網(wǎng)計(jì)算機(jī)就可以訪問互聯(lián)網(wǎng)了。相應(yīng)的，外網(wǎng)用戶也可以訪問公司的網(wǎng)站進(jìn)行有關(guān)商務(wù)活動了。通過設(shè)定規(guī)則，就可以對出入網(wǎng)絡(luò)的用戶進(jìn)行控制，如通過時(shí)間控制可以限定用戶訪問互聯(lián)網(wǎng)時(shí)間；通過流量控制可以防止用戶無限制的占用網(wǎng)絡(luò)帶寬資源；通過設(shè)置禁止訪問某些端口，可以有效防止各種病毒木馬的掃描式入侵等。這樣就能使網(wǎng)管人員方便有效地管理網(wǎng)絡(luò)，增強(qiáng)網(wǎng)絡(luò)的防護(hù)功能了。把這臺天融信防火墻作為公司內(nèi)外網(wǎng)連接的路由器后，公司用戶訪問互聯(lián)網(wǎng)的就順暢多了。