包过滤规则配置示例 在东方龙马防火墙用户手册中第七章包过滤技术中,我们对包过滤规则中的各个参数进行了介绍,由于包过滤规则作为防火墙控制内外访问的一项重要依据,所以定制包过滤规则成为防火墙中比较关键的一个环节,下面对包过滤规则的各种配置情况做示例说明。 定制包过滤规则根据不同的需要会有很多种不同的情况,各条规则有其相似的地方,又有其特殊的不同,所以定制规则的方法,可以从大同中求小异,是不难掌握的。
本节将定制规则的各种情况进行归类,根据规则对数据包采取的操作可分成三种不同的配置情况,分别为:接受(accept)、拒绝(deny)和重定向(divert)。下面将提供这三种配置举例:
接受数据包(即允许数据包通过)是定制规则时对数据包的一种处理操作。因为规则中默认规则是要求防火墙拒绝数据包的请求,如果需要对数据包采取接受的操作,必须对其进行规则设定,否则将会使用默认规则即拒绝传送该数据包。
这里同样采用用户手册中提到的图2-2网络规划配置拓扑示例图进行举例,如图7-8所示。定制规则来接受数据包,在实际应用中有很多这样的情况,例如:
- 允许网络中的某台主机(192.168.1.2)使用ftp访问另一网段中的主机(192.168.112.8)。
- 同1,使用其他端口进行访问,如http、pop3、telnet、smtp。
- 允许网络中的一个网段(192.168.1.0)中的任意主机telnet到主机(192.168.2.2)上。
图7-8 网络规划配置示例图
定制规则
我们将如上示例分别进行规则的定制,定制过程如下:
- 示例1中,定制规则时将需求翻译为:192.168.112.8 的21端口接受来自192.168.1.2的数据包请求。其访问过程如图7-8中的箭头所示,这个过程是分为大致两个步骤:由主机192.168.1.2发送的数据包穿过防火墙;穿过防火墙的数据包发送到主机192.168.112.8的21端口。这两个步骤则需要两条规则,下面将分别进行说明:
- 首先在东方龙马防火墙的配置管理主界面导航目录中双击“包过滤”图标下的“规则设置”项,弹出“包过滤规则设置”窗口,如图7-1,在窗口中点击‘添加’按钮,将弹出如图7-2所示的添加规则控制块窗口。
图7-1 规则设置窗口
- 在添加控制块窗口中填写名称,尽量可读性好,可以定义为192.168.1.2 to192.168.112.8。
图7-2 添加规则控制块
