引言：一般情況下將防火墻安裝到網(wǎng)絡中后，對于其防護策略等功能只是采用其默認配置，雖然這可以滿足一般的使用需要，不過這其實并沒有發(fā)揮出防火墻的潛力。因此，就需要根據(jù)網(wǎng)絡的實際需求，對防火墻進行靈活的配置，充分發(fā)揮其功能。

為了提高網(wǎng)絡安全性，很多單位都使用了硬件防火墻來防護黑客入侵。但一般情況下將防火墻安裝到網(wǎng)絡中后，對于其防護策略等功能只是采用其默認配置，并沒有發(fā)揮出防火墻的潛力。因此，需要根據(jù)網(wǎng)絡的實際需求，對防火墻進行靈活的配置，充分發(fā)揮其功能。這里以常用的某款HillStone防火墻為例從不同方面介紹。

使用策略阻斷特定服務

出于安全性考慮，有時希望對內(nèi)網(wǎng)主機進行合理的控制，禁止其訪問某些服務。因為阻斷服務是和應用特征庫緊密相關的，所以需要對其進行及時更新。登錄到防火墻管理界面，在左側(cè)點擊“網(wǎng)絡”、“網(wǎng)絡連接”項，在右側(cè)點擊“DNS列表”項，在打開窗口中確保域名服務器處于可用狀態(tài)，否則點擊“新建”按鈕，添加合適的DNS服務器。在左側(cè)點擊“主頁”項，在右側(cè)的“應用特征庫”的右側(cè)點擊“升級”進行升級。

圖1 URL過濾規(guī)則配置

這里需要禁止IP為192.168.1.100的主機執(zhí)行P2P下載服務，所以在右上角點擊菜單“對象用戶”、“地址簿”項，在地址簿中點擊“新建”按鈕，輸入其名稱（例如“zhuji100”），輸入其地址192.168.1.100，掩碼為32位，點擊“添加”按鈕，為其添加地址簿項目。點擊菜單“對象用戶”、“服務簿”項，在打開窗口左側(cè)選擇“預定義應 用”、“網(wǎng) 絡軟件”項，顯示常用的網(wǎng)絡軟件類型，這里選 擇“P2P軟件”項，在列表中選擇大量的P2P類型的軟件。在主界面左側(cè)選擇“安全”、“策略”項，新建一條策略，在“源安全域”列表中選擇“trust”項，在“目的安全域”列表中選擇“untrust”項，在“源地址”列表中選擇“zhuji100”項，在“服務薄”列表中選擇“P2P軟件”，選擇“拒絕”項，點擊“確定”按鈕保存配置。

URL過濾功能配置

在實際的網(wǎng)絡管理中，有時需要對內(nèi)網(wǎng)用戶訪問的網(wǎng)頁地址進行控制，防止因訪問惡意網(wǎng)站導致的安全風險。HillStone防火墻可實現(xiàn)基于URL庫類別和黑白名單類別的過濾機制。如圖1，在防火墻管理界面左側(cè)選擇“控制”、“URL過濾”項，在右側(cè)點擊“預定義URL庫”項，在打開窗口中點擊“在線升級”按鈕來升級該庫。在URL過濾界面中點擊“新建”按鈕，在URL過濾規(guī)則配置窗口中輸入其名稱（例如“urlgl”），在“目的安全域”列表中選擇“untrust”項，在URL類別列表中預設了大量的網(wǎng)站類別。

例如在“門戶網(wǎng)站與搜索引擎”類別中選擇“阻止訪問”和“記錄日志”項，這樣可以封鎖針對該類網(wǎng)站的訪問。點擊確定按鈕保存配置。當然，如果想單獨放行禁止范圍中的某個網(wǎng)站，可以在URL過濾界面右側(cè)點擊“自定義URL庫”項，點擊“新建”按鈕，輸入需要放行類別名稱（例如“fangxing”）和具體的網(wǎng)站，點擊“添加”按鈕，將其添加進來。這樣，選擇上述禁用的URL項目，在其編輯窗口中的URL即可顯示上述自定義的網(wǎng)站類別，而且自定義類別網(wǎng)站是優(yōu)先放行的。

在管理界面左側(cè)選擇“控制”、“應用行為控制”項，在右側(cè)點擊“新建”項，在應用行為控制規(guī)則配置窗口中輸入其名稱（例如“mingdan”），在“目的安全域”列表中選擇“untrust”項，打開“HTTP控制”面板，在“GET”欄右側(cè)輸入允許訪問的網(wǎng)站，控制行為選擇“允許”項，點擊“添加”按鈕。同理，可以添加多個許可訪問的網(wǎng)站。對應的，添加一個內(nèi)容為空的，控制類型為“阻止”的條目。這樣，就實現(xiàn)可黑白名單控制功能，即只允許規(guī)定的網(wǎng)站可以訪問，其余的將被拒絕。比較兩種URL控制機制，可以看出對于前者來說，域名必須是確定和明確的，而后者可以采用正則表達式來實現(xiàn)模糊匹配。

探測NAT地址有效性

對于內(nèi)網(wǎng)用戶來說，因為單位擁有的外網(wǎng)地址是有限的，因此就需要利用多對一等NAT映射機制來正常訪問外網(wǎng)。如單位獲得公網(wǎng)地址為xxx.x.x.x/29，實際上就擁有5個可用的公網(wǎng)IP。除xxx.x.x..1作為網(wǎng)關使用外，還有xxx.x.x..2到xxx.x.x..5地址范圍可供NAT轉(zhuǎn)換之用。但實際的網(wǎng)絡管理可能會出現(xiàn)可用公網(wǎng)IP被占用或阻斷等情況，導致內(nèi)網(wǎng)用戶無法上網(wǎng)。

因為當某內(nèi)網(wǎng)主機通過NAT機制使用某個公網(wǎng)IP上網(wǎng)后，會一直使用該IP訪問外網(wǎng)，如果該IP被阻斷，該內(nèi)網(wǎng)主機自然無法訪問外網(wǎng)。利用防火墻提供的Track功能可以對SNAT轉(zhuǎn)換地址進行探測，即通過對指定外網(wǎng)目標進行探測監(jiān)控，如果發(fā)現(xiàn)某個IP不可用，則進行NAT轉(zhuǎn)換時就不使用該IP。當然，如果受阻斷的IP恢復到可用狀態(tài)，防火墻的Track機制同樣可以檢測到，可以恢復其正常轉(zhuǎn)換功能。

在防火墻管理界面右側(cè)點擊菜單“對象用戶”、“地址簿”項，在地址簿窗口中點擊“新建”按鈕，在配置地址簿窗口中輸入其名稱（例如“dzc”），設置其地址范圍從xxx.x.x..2到xxx.x.x..5。為了實現(xiàn)動態(tài)監(jiān)控，點擊右上角的菜單“對象用戶”、“監(jiān)測對象”項，點擊“新建”按鈕。在監(jiān)測對象配置窗口中點擊“添加”、“HTTP”項，在打開面板中設置其名稱（例如“tance”），警戒值為 255，檢測類型選擇“HTTP Ping ARP DNS TCP”，點擊“添加”按鈕，輸入IP/主機名，權值設置為255，重試次數(shù)設置為3，發(fā)送報文間隔設置為30秒，設置合適的發(fā)送和接收報文接口（例如Ethernet 0/2），其余設置保持默認，點擊確定按鈕保存配置。

在管理界面左側(cè)選擇“網(wǎng)絡”、“NAT”項，在右側(cè)的“源NAT”面板中選擇默認的NAT映射項目，點擊“編輯”按鈕，在源NAT配置窗口（如圖2）中的“轉(zhuǎn)換為”選擇“指定IP”項，在“地址條目”列表中選擇“dzc”項，在“模式”欄中選擇“動態(tài)端口”項。在“Track”欄中選擇“啟用”項，并選擇上述動態(tài)監(jiān)測項目，點擊確定按鈕，就啟用了Track功能。這樣，防火墻就可以對目標網(wǎng)站進行動態(tài)監(jiān)測，如發(fā)現(xiàn)某個公網(wǎng)IP處于不可用狀態(tài)，就分配別的可用IP用來實現(xiàn)NAT轉(zhuǎn)換，保證內(nèi)網(wǎng)主機可以正常上網(wǎng)。

實現(xiàn)P2P引流

有些單位為緩解上網(wǎng)壓力，會安裝兩條上網(wǎng)鏈路，由不同的運行商提供服務。例如防火墻的Ethernet 0/1口連接上網(wǎng)鏈路1，Ethernet 0/2口連接上網(wǎng)鏈路2。但在內(nèi)網(wǎng)中會有一些用戶使用基于P2P技術的軟件來下載數(shù)據(jù)，其在運行時會隨機占用兩條上網(wǎng)鏈路。為了其他業(yè)務流量的正常上網(wǎng)，最好將P2P下載指定專門的鏈路，例如鏈路2的帶寬較大，供正常的業(yè)務流量使用，鏈路1帶寬較小，供P2P下載之用。

圖2 源NAT配置窗口

在防火墻管理界面首先為這兩個接口分別設置NAT和默認路由，使其可以正常使用。在左側(cè)點擊“網(wǎng)絡”、“路由”項，在右側(cè)點擊菜單“新建”、“策略路由”項，在策略路由配置窗口中的“基本”面板中輸入其名稱（例如“branch”），選擇“設置下一跳”項，在“IP地址”欄中輸入線路1提供的網(wǎng)關IP，在“綁定到”列表中選擇內(nèi)網(wǎng)接口（例 如“Ethernet 0/0”）。在“源地址”面板中選擇“IP地址”項，輸入內(nèi)網(wǎng)的IP范圍，例如IP為192.168.1.0，網(wǎng)絡掩碼為24。點擊“添加”按鈕，將其添加進來。

在“目的地址”面板中選擇“地址條目”項，在“地址條目”列表中選擇“Any”項，點擊“添加”按鈕。在“服務”面板左側(cè)選擇“典型配置”、“引流組”項，在其中包含了大量使用P2P技術的軟件。點擊“增加”按鈕，將其添加進來。點擊確定按鈕，添加該策略路由項目。這樣，內(nèi)網(wǎng)中的所有P2P流量就只能使用線路1傳輸數(shù)據(jù)。

防止用戶隨意更改地址

有些內(nèi)網(wǎng)用戶為了擺脫限制，會采用私自更改IP來避開管理員的監(jiān)管，這給網(wǎng)絡管理帶來了隱患。使用防火墻提供的IP-MAC綁定功能，可以有效解決該問題。在防火墻管理界面左側(cè)選擇“安全”、“ARP防護”項，在右側(cè)點擊“新建”按鈕，在添加IP-MAC綁定窗口中輸入目標MAC和 IP，選擇“IP-MAC綁定”項，點擊確定按鈕將其綁定。也可以點擊菜單“綁定配置”、“掃描添加IP-MAC綁定”項，設置起始和結(jié)束IP，對內(nèi)網(wǎng)主機進行掃描，來獲取MAC和IP的對應關系。

實際上，當內(nèi)網(wǎng)主機通過防火墻上網(wǎng)時，其IP和MAC信息會自動顯 示。 雙擊選定的IP和MAC關聯(lián)項目，選擇“ARP認證”和“IPMAC綁定”項，即可將其綁定起來。如果點擊菜單“綁定配置”、“所有所有配置”項，可以將所有的IP和MAC均綁定起來。當然，對于外網(wǎng)接口則無需綁定。注意，為了進一步提高安全性，在防火墻管理界面左側(cè)選擇“網(wǎng)絡”、“網(wǎng)絡連接”項，在右側(cè)雙擊內(nèi)網(wǎng)接口（例如“Ethernet 0/0”），在接口配置中的“屬性”面板中的“ARP學習”欄中取消“啟動”功能。這樣即使內(nèi)網(wǎng)用戶修改了IP，也是無法正常上網(wǎng)的。

實際上，上述方法還可以和DHCP關聯(lián)，為內(nèi)網(wǎng)用戶設置固定的IP。在網(wǎng)絡連接界面右側(cè)點擊“DHCP列表”項，在DHCP列表中雙擊和內(nèi)網(wǎng)接口相關的DHCP服務項，在打開窗口中的“地址綁定”面板中輸入對應的IP和MAC地址，點擊“添加”按鈕添加到列表中。之后將其選中即可。同理可以添加多個IP和MAC的綁定關系。這樣，當擁有該MAC地址的客戶端使用地址自動分配功能后，就可以得到指定的IP。