防火墙应用指南(一)——基本配置指导思想
注:阅读本文前,请先详细阅读本文最后的红色部分的提示内容。
一 概要介绍
新上市的 TL-FR5300 防火墙产品,主要有两大功能特点:“攻击防护”和“策略”。
它还有其他很多功能,在这篇文档里,我们将侧重表述“策略”这一块,其他功能我们另有
专门的表述文档。当您在看这篇文档之前,我们希望您能够先了解一下 TL-FR5300 的《用户
手册》,对 TL-FR5300使用过程中涉及的诸多概念有一定的了解。
一般情况下用户购买了 TL-FR5300,将其置于本单位网络的出口处, 作为内部网络所
有主机登录互联网的网关设备,内网主机所有去往互联网的数据都需要流经 TL-FR5300,我
们对 TL-FR5300进行适当配置,就可以对内网主机的上网操作进行灵活的管理。
TL-FR5300 处于整个内部网络的出口,默认内部网络( LAN)和外部互联网( WAN)是
互通的,但建议将这一条默认策略删除。当内部网络中某一部分主机需要某上网权限时,网
络管理员只需要在 TL-FR5300上面给这一部分主机打开相应的上网权限,当内部网络另一部
分主机需要另外的上网权限时,管理员只需要在 TL-FR5300上打开另一部分上网权限即可。
这就是我们配置 TL-FR5300这款防火墙产品时候的基本指导思想——“有需求才开放”。
在使用 TL-FR5300 的过程中,为了顺利实施上面“有需求才开放”的思想, 我们极力
建议您的网络是经过规划的——特别是“ IP 地址”这一部分, 因为“ IP 地址”是互联网中每
台主机标示自己的唯一标志, TL-FR5300也是通过“ IP 地址”实现对主机权限的控制。具体
地说,网络里具备相同网络权限的主机应该从属于一个组,适应不同网络权限的主机从属于
不同的组,而我们在规划“ IP 地址”的时候,既要考虑现有各个组的规模,也要考虑到以后
网络的增长,不同网络权限的主机组使用不同的 IP 地址段,比如下面不同的组使用不同 IP
地址段:
管理团队: ~ 0(/27)
市场部门: 5 ~4(4/27)
销售部门: 29 ~58(28/27)
当配置 TL-FR5300 时给不同的 IP 地址段不同的网络权限,那么网络中某台主机使用
了什么 IP 地址就具备了什么网络权限,这就是网络经过规划的好处:
上班时间限制内部网络某台主机只能登录互联网某个网站服务器。
要实现上面的目的, 网络管理员通过设置 TL-FR5300 的“策略”,将上面这个想要实
现的目的体现出来就可以。 在这条“策略 / 规则”设置的过程当中, “内网某主机、互联网某
网站服务器、可以登录”这些都属于“策略 / 规则”的基本组成部分, “上班时间”属于“策
略/ 规则”的可选组成部分。
“策略”可分为基本组成部分和可选组成部分。 基本组成部分有: 信息流的方向、 信
息流的源地址、信息流的目的地址、禁止 / 允许通过。可选组成部分有:时间、安全认证、流
量控制、深层检测、日志等。
可编辑修改
精品资料
在 TL-FR5300里面将“策略”的组成部分称之为“对象”, 当需要设置一条“策略”
的时候,要考虑一下即将设置的“策略”都包含哪些“对象”?
