通常,防火墙规则中的默认规则就是对数据包采取拒绝的处理操作,拒绝的过程是这样的:包过滤在对数据包进行过滤时,将数据包中的信息与规则列表中的每一条规则进行比较,如果比较得到的信息与规则表中其中任意一条相符合,即防火墙会按照包过滤中定义好的内容接受、拒绝数据包的通过或者重定向到其他端口,采取这三种操作的哪一种会严格按照规则中的规则要求进行处理。那么如果查询到没有一条规则符合,防火墙将使用默认规则拒绝对数据包的处理。
正因为防火墙会使用默认规则拒绝接受数据包,有人也许会认为规则中就不需要特殊定制拒绝数据包的操作了。其实不然,对于特殊的拒绝规则,我们仍然需要定制。因为按照前面所讲的,当防火墙使用默认规则拒绝对数据包进行处理时,已经依次使用过前面定制好的规则,在这些规则中,可能就会有符合数据包中的某些信息的规则,而依据规则可以对此数据包进行处理,这些处理可能会是接受或是重定向到其他端口,这样实际上,数据包没有被拒绝而是被接受了。这可能就会给系统带来不安全隐患。
这也是我们在包过滤的特点中提到的包过滤的次序是相当关键的。所以制定拒绝对数据包处理的包过滤规则也很重要,而且对于拒绝数据包的规则是比较特殊的,应该把其放在接受、重定向这些不特殊规则的前面。
需求示例
拒绝对数据包处理的情况有很多种。例如:
外部非安全网络不允许访问内部安全网络lan。翻译成规则即为:lan网段(192.168.1.0)拒绝来自外部网络(0.0.0.0因为外部网络地址是不定的,多样的,用0.0.0.0可以代表任意)。
定制规则
下面将对需求示例中的例子制定相应规则。
示例中,请注意其访问的过程与图7-8的箭头正好相反。过程同样分为两步,以下详细进行说明:
- 首先在东方龙马防火墙的配置管理主界面导航目录中双击“包过滤”图标下的“规则设置”项,弹出“包过滤规则设置”窗口,如图7-1所示,在窗口中点击‘添加’按钮,将弹出如图7-2所示的添加规则控制块窗口。
- 在添加控制块窗口中填写名称,尽量可读性好,可以定义为deny wan。
- 填写对名称的描述:可以为deny wan to access 192.168.1.0.
- 填写规则使用的协议,为tcp协议。
- 这样添加窗口中的内容如图7-16所示。
图7-16 添加规则控制块示例-a
b.添加由外部网络来的数据包穿过防火墙的规则。
在如图7-16窗口中单击其中的‘添加’按钮,则弹出如图7-3所示的窗口用来添加规则中各项详细的属性,填写其中的项:
- 名称,定义此条规则的名称,可以为inbound。
- 描述,对规则更详细的名称描述,可以定义为ip packet inbound firewall。
- 源地址、源地址掩码:数据包是由外部网络发送的,所以此处用0.0.0.0作为源地址,其地址掩码也为0.0.0.0。
- 源端口:因为源地址为任意,这里源端口也为任意端口,用0表示。
- 源端口操作:选择!=(不等于),与源端口配合,表示任意不等于0的端口。
- 目的地址与目的地址掩码:此规则最终的目的地址为网段192.168.1.0,所以应该目的地址应该填写192.168.1.0,地址掩码用255.255.255.0用来表示是一个网段。
- 目的端口:因为外部网络访问lan,可以访问其任意端口,所以目的端口为任意端口,用0表示。
- 目的端口操作:选择!=(不等于),与目的端口配合,表示任意不等于0的端口。
