包过滤规则配置示例[7]|中文方案文档站(提供各类方案下载,WORD文档下载,范文,案例等)

目的端口：因为外部网络访问lan，可以访问其任意端口，所以目的端口为任意端口，用0表示。

目的端口操作：选择！=（不等于），与目的端口配合，表示任意不等于0的端口。

接口名：此子规则定义的步骤数据包是通过安全网络接口卡eth1的，所以这里填写eth1。

网卡安全标志：eth1是安全网卡的lan区域，所以其安全标识为lan。

路由设定：数据包由防火墙发出，通过防火墙主机传送数据包，并且要传送到其他主机，其目的地为远端，所以选择route。

方向：数据包从防火墙传送到lan，其方向是由防火墙流出，所以为outbound。

隧道标识：仍然可以不填，留做vpn使用。

记录日志：选择记录日志，这里从下拉菜单中选中yes即可。

源路由：选择reject，拒绝数据包选择源路由。这是系统默认的参数，建议使用。

允许片报：选择frag_no，同样是系统默认值。

操作：选择拒绝（deny），即拒绝符合上述个条件的数据包通过。

重定向端口：选择了deny的操作，不需要重新定向端口，所以这个参数将变灰而不起作用。

全部参数定义完成，如下图7-19所示。

图7-19 配置包过滤规则的各项参数示例-c

单击‘确定’按钮，则一条规则添加成功。将会弹出如图7-20所示窗口，名称为outbound。

图7-20 规则控制块中新添加两条规则

小结：单击图7-20窗口中的‘确定’按钮，即完成示例1中的规则定制（名称为deny）：拒绝外部网络任何主机访问网段192.168.1.0。因为定制规则分为两个步骤，所以规则包含有两条子规则（分别为inbound和outbound）。

上面对配置拒绝数据包的操作规则作出简单介绍。

配置重定向（divert）数据包的规则示例

使用对数据包进行重定向，主要应用在代理中。东方龙马防火墙的设计规划中，特意在安全网络中设定dmz（非军事化区）区域来隔离特定的服务器，可以在dmz区域中放置各种服务器，如www服务器、ftp服务器、smtp等各种服务器。这些服务器分别提供http、telnet、ftp、smtp、pop3代理服务，在使用这些服务时，只需指明重定向端口，数据包将根据此重定向端口继续进行传输和处理。

使用对数据包重定向，也同样需要对所有使用这些代理服务的主机定制规则。定制这样的规则即表明凡使用这些代理服务的主机或是网段防火墙将会重定向到相应的服务端口，由代理服务器进行访问。那么就需要依次定义http、telnet、ftp、smtp、pop3这些服务的规则。

包过滤规则配置示例[7]

[入库：2005年8月18日] [更新：2007年3月25日]