1.6 項目2：防火墻設備配置

1.6.1 任務1：防火墻基本配置

為能更深入地結合防火墻產品，實際學習防火墻的配置，本章采用天融信的NGFWARES防火墻進行實踐操作，通過對該設備的配置，達到1.5.2節方案設計中對產品及技術的要求。為此，先來了解一下天融信防火墻的基本配置方法。

天融信防火墻產品目前采用的是TopsecOS專用安全系統，目前的最新穩定版本為3.3.005.066，其具備完善的路由功能，全面的2～7層的訪問控制功能及詳細的日志功能，特別是在某些特殊應用下的支持，如金融機構網絡上常用的長連接等。天融信防火墻在產品的配置方面，同時支持命令行模式和圖形界面下的配置方式，命令模式下同時支持Console、Telnet、ssh，圖形界面同時支持GUI集中管理及Web瀏覽器的管理方式。目前在實際使用中，使用最多的是Web瀏覽器下的管理方式，在天融信產品手冊與介紹中，這種管理方式稱為WebUI管理方式，雖然在一些環境下，命令行下的操作會比圖形界面操作更快，但為了避免錄入錯誤，一般建議均采用WebUI管理方式，本章的防火墻配置實例，也均采用的是這種管理模式。

在一般的防火墻的配置里，常見配置步驟為：防火墻策略設計→防火墻配置→防火墻規則檢測→防火墻上線測試→防火墻運行維護。那么在防火墻實際配置中，一般步驟為：防火墻初始化配置→網絡接口配置→路由配置→安全區域與對象（資源）定義→地址轉換配置→訪問控制規則配置→日志設置→防火墻管理員權限配置→配置保存及備份。以下分別對防火墻配置的幾個步驟分別進行說明。

天融信的防火墻在出廠時已經有過初始化配置，但考慮各種因素，根據網絡及應用情況，一般建議至少對防火墻的“TCP連接超時”和“系統時間”進行初始化，“TCP連接超時”根據網絡及應用情況調整，一般可以調整為600s。“系統時間”主要是要校對準確，避免日志記錄不準的問題。而對于某些品牌的防火墻，還可能需要通過串口，為防火墻的接口配置IP地址，以便進行管理。

1.網絡接口配置

根據已經確定的防火墻的策略，配置需要使用的防火墻接口模式，如果采用透明模式，則配置為交換模式（透明模式），如果采用路由模式，則為接口配置相應的IP地址。對于采用透明模式部署時，天融信防火墻采用了靈活的VLAN方式。例如，如果需要將Eth2和Eth3設置為一個網橋，那么僅需要在相應的接口上配置為交換模式，VLAN ID選擇一個相同的數值即可，在多網橋配置實現時，這種配置方式更加靈活、便利。圖1-11是防火墻配置-接口配置界面截圖。

2.路由配置

在防火墻路由模式部署或混合模式部署時，需要配置防火墻的路由，一般至少需要添加一條默認路由，這里不做過多說明。需要注意一點，就是天融信的防火墻同時支持靜態路由和策略路由。在路由的優先級上，策略路由優先于靜態路由；而在同種路由下，路由ID號越小越優先。

3.安全區域與對象定義

安全區域和對象的管理方式，在大的網絡環境下，網絡調整會帶來極大的便利，某些情況下，只需要調整需要調整的地址即可，而不會涉及防火墻訪問控制策略、NAT策略等主要策略的調整，為此目前主流防火墻、IPS等產品，均采用了安全區域和對象的管理方式。在配置好區域和資源對象后，就可以在后續的訪問控制策略、NAT策略里直接引用這些資源了。圖1-12是天融信防火墻的一個資源管理配置界面。

4.地址轉換配置

在地址轉換中，涉及源地址轉換、目的地址轉換、雙向地址轉換，在某些特殊的應用下，還會涉及“不做轉換”的特殊配置。

源地址轉換即內網地址向外訪問時，發起訪問的內網IP地址轉換為指定的IP地址（可指定具體的服務及相應的端口或端口范圍），這可以使內網中使用保留IP地址的主機訪問外部網絡，即內網的多部主機可以通過一個有效的公網IP地址訪問外部網絡。同理，目的地址轉換一般是將某個公網地址轉換為一個內網的私有地址，使公網用戶訪問這臺主機。而雙向地址轉換，則是將目的地址與源地址同時進行轉換，這種應用方式下，可以同時保護目的地址及源地址，并可以最大限度地減少因地址轉換帶來的業務系統地址的變化。不做轉換就是對某些類型地址不做轉換。因為地址轉換規則具有優先權，在某些重疊的地址轉換規則中，可以通過“不做轉換”的規則，使某些應用區別開。

5.訪問控制規則配置

對于防火墻來說，訪問控制規則是最核心的配置，但其也完全依賴于此前的規則配置是否正確，如路由、地址配置不正確，訪問控制規則顯然是沒有任何意義的。訪問控制規則，可以控制通過防火墻網絡數據的源、目的、協議、端口，并可以根據時間設置生效，天融信防火墻還具備長連接/普通連接、深度內容過濾等配置。如下是天融信防火墻訪問控制規則配置界面，如圖1-13所示。

6.日志設置

對于需要防火墻進行日志記錄的，需要啟用防火墻的日志記錄功能。因為防火墻作為網絡接入設備，需要能高性能、安全的發揮作用，所以目前主流防火墻產品的存儲系統均采用的是專用芯片，而沒有再使用硬盤。為此防火墻日志記錄及存儲也就相應地需要放置到其他空間上，一般是需要一臺用于存儲防火墻日志的服務器。天融信防火墻為便于用戶臨時查看日志，除了可以將日志實時傳輸到指定服務器外，自身還提供了數兆的臨時存儲芯片，用于日志臨時查看和存儲。

7.管理員權限配置

防火墻產品本身就是安全產品，對其自身的安全要求也是必須考慮的。所以在完成防火墻的主要配置后，需要修改防火墻的管理員口令或權限。

8.配置保存及備份

大多數防火墻的規則設置，是實時生效，但生效的配置并沒有存儲到存儲單元，一旦設備斷電或重啟，新增加的未保存的配置就會丟失，所以需要在確認配置正確后在防火墻上保存配置。而對于防火墻配置備份，則是出于冗余考慮，在防火墻出現故障時，可以及時恢復正確的配置是非常必要的。

以下將參照1.5.2節的方案設計，采用本節描述的防火墻配置方法，來對所設計的防火墻進行部署和配置。

1.6.2 任務2：防火墻的配置策略設計

要設計防火墻的配置策略，需要了解具體的現場情況，根據需求分析及方案設計，并進一步了解客戶網絡結構，得到并確認如下信息：

● 服務器區域IP段：192.168.2.0/24，網關指向192.168.2.1；

● 內網區域IP段：192.168.100.0/24，網關指向192.168.100.1；

● 運營商分配的互聯網地址：202.202.67.23/27，網關指向202.202.67.30。

為此，規劃防火墻的接口地址分配如表1-1所示。

因為服務器交換機及內網交換機的默認網關均已經指向防火墻，并且防火墻的接口地址與它們均在一個地址段內，所以路由方面僅需要增加指向互聯網運營商提供的網關地址即可，即防火墻的默認網關需要指向202.202.67.30。

因為用戶內網使用的是私有地址，所以當訪問互聯網時，防火墻需要為其進行地址轉換，即內網訪問互聯網時源地址轉換為202.202.67.23，同時互聯網用戶通過訪問該地址，可以訪問到部署在服務器區域的192.168.2.119網站，這樣就需要一個目的地址轉換規則。地址轉換規則規劃如表1-2所示。

對于服務器區域與內網區域間的互訪，通過路由實現，不需要做地址轉換。另外，根據訪問需求，用戶需要內部網絡包括服務器區域均可以訪問互聯網，同時互聯網用戶（不確定）可以訪問服務器區域內部署的公司網站，地址是192.168.2.119，互聯網用戶直接訪問202.202.67.23地址來訪問這個網站，該網站對互聯網開放http服務，內網用戶可以對該服務器的TCP 3389端口進行訪問，以便遠程維護管理該服務器。為此，得到安全策略設計如表1-3所示。

根據上述情況，為方便配置設備，我們對方案設計的網絡簡圖進行了進一步標記，如圖1-14所示。

以上策略配置設計中，完成了對防火墻部署位置、接口地址、路由指向、地址轉換規則及訪問控制規則的設計，如下為在任務2中開始安裝設計的策略配置防火墻。

1.6.3 任務3：防火墻配置

使用交叉網線連接防火墻的默認管理接口Eth0，在瀏覽器里輸入https://192.168.1.254，登錄防火墻的WebUI管理界面，開始進行配置。

1.設置接口地址

選擇“網絡管理”→“接口”→“物理接口”命令，在Eth1接口上單擊“設置”圖標，打開Eth1接口的設置選項卡，并輸入接口地址202.202.67.23，然后單擊“添加”按鈕。

以此配置Eth2、Eth3接口，并在“描述”信息內注明接口，接口配置完成后如圖1-15和圖1-16所示。（其他接口，暫不使用，可以不做任何配置）。

2.配置路由指向

選擇“網絡管理”→“路由”→“靜態路由”命令，單擊“添加”按鈕，在新的選項卡內輸入默認網關地址202.202.67.30，并單擊“確定”按鈕，如圖1-17所示。

默認路由，即目的地址是任何地址的路由條目，同時天融信防火墻支持自動接口選擇，所以“接口”上可以不用選擇。

3.配置安全區域

選擇“資源管理”→“區域”命令，單擊“添加”按鈕，在“名稱”處輸入“內網區域”，并選擇該區域所綁定的接口Eth3，如圖1-18所示。

然后，依次配置添加服務器區域、互聯網區域名稱，配置完畢后如圖1-19所示。

區域中的權限選擇是指本區域被其他區域訪問的默認訪問權限，此處可以不用配置，在配置訪問控制規則時再做配置。

4.主機對象地址

選擇“資源管理”→“地址”→“主機”命令，添加“主機對象”，分別添加Web服務器的內網地址，如圖1-20所示。

然后，依次添加Web服務器映射后的互聯網地址，添加完成后如圖1-21所示。

5.配置地址轉換規則

（1）選擇“防火墻”→“地址轉換”命令，單擊“添加”按鈕，使用“源轉換”在“源”處展開高級選項卡，選擇“內網區域”和“服務器區域”，如圖1-22所示。

（2）單擊“目的”選項卡，并展開“高級”選項卡，選擇目的區域為“互聯網區域”，如圖1-23所示。

（3）單擊“服務”選項卡，因為這一步要做使內網和服務器區域訪問互聯網的源地址轉換，所以“服務”不做任何選擇，然后單擊“源地址轉換為”并選擇Eth1屬性并單擊“確定”按鈕，即當內網區域和服務器區域訪問互聯網時，其源地址轉換為Eth1的接口地址202.202.67.23，如圖1-24所示。

（4）添加使互聯網用戶可以訪問Web網站的目的地址轉換規則，單擊“添加”按鈕后，選擇“目的轉換”，在“源”選項卡內選擇any，如圖1-25所示。

（5）單擊“目的”選項卡，選擇“Web服務器-映射后的地址（主機）”對象，如圖1-26所示。

（6）選擇“服務”選項卡，并選擇“HTTP”服務，同時在“目的地址轉換為”內選擇“Web服務器-實際地址（主機）”對象，并單擊“確定”按鈕，如圖1-27所示。

添加了兩條地址轉換規則，添加完成后的截圖如圖1-28所示。

6.配置訪問控制規則

選擇“防火墻”→“訪問控制”命令，首先添加一條允許互聯網用戶訪問Web網站的控制規則，在“添加策略”里，“源”選擇“any”，“目的”選擇“Web服務器-實際地址”對象，“服務”選擇“HTTP”服務對象，其他不選，配置完成后的界面如1-29所示。

然后，再依次添加內網用戶訪問互聯網及服務器區域的規則，添加完成后如圖1-30所示。

最后，添加一條默認全禁止訪問的規則，即除了上述允許訪問的規則外，其他訪問流量均被防火墻禁止，這條規則中的“訪問權限”要選擇“禁止”，如圖1-31所示。

訪問控制規則至此全部添加完成，整體如圖1-32所示。

7.配置管理權限

為便于內網管理員對防火墻進行WebUI管理，需要在內網區域上開放WebUI管理權限。選擇“系統管理”→“配置”→“開放服務”命令，添加1條規則，“服務名稱”輸入“WEBUI”，“控制區域”輸入“內網區域”，“控制地址”輸入“any[范圍]”，如圖1-33所示。

然后，對保存本次配置，單擊瀏覽器右上角的“保存配置”按鈕，如圖1-34所示。

最后，對本次配置進行導出備份，以防萬一。選擇“系統管理”→“維護”命令，在“配置維護”下單擊“保存配置”，并在藍色字體上單擊鼠標右鍵保存配置文件，如圖1-35所示。

說明

天融信防火墻提供命令行模式及圖形界面配置方式，其中在圖形界面下同時可支持基于專用軟件客戶端的GUI程序和基于通用瀏覽器的WebUI管理方式，其中WebUI管理方式最為常用。

1.6.4 任務4：上線測試

設備配置完成后接入實際環境并檢查和測試配置是否正確，這是防火墻設備完全投入使用前的最后一步。

（1）線路連接，防火墻的Eth1接口連接運營商提供的光纖收發器內接口，Eth2接口連接服務器區域交換機，Eth3接口連接內網區域核心交換機，在連接線路正常的情況下，防火墻的各網口正常連接其他設備接口，網口燈會根據協商情況亮起來，如果不亮，則需要檢查網線是否完好，或對端設備是否已經正常運行；

（2）測試內網是否可以訪問互聯網，通過ping一個互聯網允許被ping的IP地址或直接訪問互聯網頁面測試，如訪問www.baidu.com等；

（3）測試互聯網用戶是否在瀏覽器里輸入Web服務器互聯網地址（202.202.67.23）或域名時，可以正常打開網站頁面；

（4）測試內網是否可以訪問Web服務器的HTTP和TCP 3389服務，并確認其他服務是否已經被禁止訪問，可以嘗試訪問服務器的135、137等提供共享服務的端口等；

（5）在防火墻上檢查當前連接情況，連接是否有收、發數據，如圖1-36所示。

經過以上多個步驟的檢查后，確認防火墻在接入后，用戶網絡應用一切正常，并且被禁止的訪問也已經測試，確認已經被禁止，至此該設備即可完全投入實際使用，并進入設備的運行維護階段。