【TL-FW6300】防火墻配置指南——三層路由網(wǎng)關(guān)實例設(shè)置

潛龍哥 2022-03-28

展開全文

網(wǎng)絡(luò)場景

某公司使用需求需求需求www.；

n4：出差員工可以通過互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)的WEB服務器；

n5：內(nèi)部各個部門以及訪客區(qū)域之間禁止互相訪問；

n6：管理接口僅用于管理防火墻自身。

審計需求

n1：對所有流經(jīng)防火墻的數(shù)據(jù)進行審計，并記錄到審計日志；

n2：將防火墻的審計日志、系統(tǒng)日志、操作日志、流量日志、策略命中日志全部上傳至安裝了配置接口參數(shù)。

點擊”——“接口設(shè)置1）設(shè)置IP聯(lián)網(wǎng)方式為例。

按照運營商提供的聯(lián)網(wǎng)參數(shù)進行填寫即可。

（GE2連接服務器區(qū)

服務器區(qū)域網(wǎng)段是連接方式：設(shè)置接口“靜態(tài) IP地址，本例中為子網(wǎng)掩碼：設(shè)置接口的子網(wǎng)掩碼，本例中為網(wǎng)關(guān)地址：設(shè)置接口的網(wǎng)關(guān)地址，本例中不填。

l 下行帶寬：設(shè)置接口的下行帶寬值，本例中保持默認。

lMTU：設(shè)置接口的首選DNS服務器備用DNS服務器 MAC地址，本例中保持默認。

l“服務器1.“確定3）設(shè)置設(shè)置NAPT

配置各個網(wǎng)段通過NAT聯(lián)網(wǎng)。如下圖所示。

l“GE1”。

l“172.16.0.0/16”。

3.IP地址。如下圖所示。

為每個網(wǎng)段添加一個設(shè)置安全區(qū)域

為每個接口定義所屬的安全區(qū)域。打開”——“安全區(qū)域GE3-GE7以及MGMT添加到trust區(qū)域的編輯圖標，如下圖所示。

l“內(nèi)網(wǎng) 接口：選擇屬于“GE3-GE7以及MGMT”。點擊”，添加完成，如下圖所示。

相同設(shè)置方法將untrust安全區(qū)域，將dmz安全區(qū)域，添加完成，如下圖所示。

5.(1)IP地址段。打開”——“地址”頁面，點擊”，如下圖所示。

以服務器區(qū) 地址名稱：自定義，本例中為 IP/Mask，設(shè)置“172.16.0.0/24”。

l“服務器區(qū)“對象”——“地址組“新增組名稱：自定義，本例中為地址名稱：選擇已經(jīng)定義的地址名稱，本例中選擇服務器地址段備注：添加備注方便后期維護，本例中為IP地址段Internal。添加完畢如下如所示。

時間段

本例中無特定時間限制，所以使用默認的所有時間條目(3)WEB服務器服務條目，首先新增服務，打開”——“服務”，點擊”，如下圖所示。

l“WEB_Server”。

l“TCP”。

l“0-65535”。

l8080，即.

l“內(nèi)部”。

點擊”，添加完畢。如下圖所示。

接下來新增服務組，打開”——“服務”，點擊”，如下圖所示。

l“WEB_Server”。

l“內(nèi)部”。

點擊”，添加完成，如下圖所示。

網(wǎng)站

設(shè)置內(nèi)部網(wǎng)絡(luò)可以訪問的公司官網(wǎng)網(wǎng)址，打開”——“網(wǎng)站”，點擊”，如下圖所示。

l“公司官網(wǎng) 組成員：設(shè)置公司官網(wǎng)的網(wǎng)址，本例為備注：添加備注，方便后期維護，本例為”。

l“確定(5)“對象”——“應用組“新增名稱：設(shè)置應用組名稱，本例為軟件：選擇需要控制的軟件，本例中選擇”軟件。

l“游戲、視頻、炒股“確定(6)URL過濾條目。打開”——“安全配置文件”，點擊”，如下圖所示。

lURL過濾條目的名稱，本例為策略類型：本例中選擇URL”。

l“網(wǎng)站分組網(wǎng)站分組：選擇已經(jīng)添加的網(wǎng)站分組，本例中選擇”。

l“允許訪問公司官網(wǎng)“確定設(shè)置安全策略

打開”——“安全策略 需求需求需求www.；

n4：出差員工可以通過互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)的WEB服務器；

n5：）內(nèi)部各個部門以及訪客區(qū)域之間禁止互相訪問；

n6：管理接口僅用于管理防火墻自身。

設(shè)置第“新增 規(guī)則名稱：自定義，本例為描述：自定義，本例為”。

l“trust”。

l“untrust”。

lIP地址范圍，本例中選擇目的地址：選擇IP地址范圍，本例中選擇服務組：選擇服務組，本例中選擇應用組：選擇應用組，本例中選擇時間段：選擇時間段，本例中選擇動作：選擇命中規(guī)則后的處理動作，本例中選擇”。

lURL過濾和文件過濾配置文件，本例中留空，不選擇。

l 狀態(tài)：選擇”。

l“確定(2)2條需求，點擊”，如下圖所示。

相同方法設(shè)置銷售部允許上互聯(lián)網(wǎng)。

設(shè)置銷售部允許訪問服務器網(wǎng)段。點擊”，如下圖所示。

關(guān)鍵設(shè)置如下：

l“trust”。

l“dmz”。

lIP地址范圍，本例中選擇目的地址：選擇服務器“Servers”。

l“確定“新增源安全區(qū)域：選擇銷售部網(wǎng)絡(luò)所在區(qū)域，本例中選擇目的安全區(qū)域：選擇互聯(lián)網(wǎng)所在區(qū)域，本例中選擇源地址：選擇銷售部“Sales”。

lInternet網(wǎng)絡(luò)“IPGROUP_ANY”。

l“2”。

設(shè)置完畢，點擊”，添加完成。如下圖所示。

銷售部規(guī)則添加完畢。

設(shè)置第www.。

相同設(shè)置方法設(shè)置研發(fā)部、財務部、行政部可以訪問內(nèi)部服務器網(wǎng)絡(luò)。如下圖所示。

設(shè)置研發(fā)部、財務部、行政部允許訪問公司外部官方網(wǎng)站“新增源安全區(qū)域：選擇研發(fā)部、財務部、行政部網(wǎng)絡(luò)所在區(qū)域，本例中選擇目的安全區(qū)域：選擇官方網(wǎng)站服務器所在區(qū)域，本例中選擇源地址：選擇研發(fā)部、財務部、行政部“Internal”。

lInternet網(wǎng)絡(luò)“IPGROUP_ANY”。

lURL過濾：選擇已設(shè)定的官方網(wǎng)站條目“確定8080端口的“新增源安全區(qū)域：選擇互聯(lián)網(wǎng)所在區(qū)域，本例中選擇目的安全區(qū)域：選擇服務器所在區(qū)域，本例中選擇源地址：選擇互聯(lián)網(wǎng)“IPGROUP_ANY”。

lIP地址范圍，本例中選擇服務組：選擇已設(shè)定的內(nèi)部“WEB_Server”。

設(shè)置完畢，點擊”，添加完成。如下圖所示。

第6條需求默認已經(jīng)如此，無需專門設(shè)置。至此所有安全策略設(shè)置完畢。

7.“對象”，點擊”，設(shè)置需要審計的IM行為：

l“audit_all”。

l“審計所有網(wǎng)站 QQ上下線，本例中設(shè)置為”。

lHTTP行為審計（URL，本例中設(shè)置為URL”

lURL時，可選擇要記錄的“記錄所有“確定“策略”，如下圖所示：

可以看到系統(tǒng)默認有一條不審計的策略。下面我們根據(jù)審計需求設(shè)置審計策略，之前的需求為：對所有流經(jīng)防火墻的數(shù)據(jù)進行審計。故設(shè)置如下圖所示：

l“audit_all_data”。

l“審計所有流量源安全區(qū)域：選擇源安全區(qū)域，本例中選擇目的安全區(qū)域：選擇目的安全區(qū)域，本例中選擇源地址：選擇源地址，本例中選擇目的地址：選擇目的地址，本例中選擇服務組：選擇服務組，本例中選擇應用組：選擇應用組，本例中選擇時間段：選擇時間段，本例中選擇動作：選擇命中規(guī)則后的處理動作，本例中選擇”。