定制规则
下面以定制http服务为例,其使用的重定向端口同样为http,定制规则过程如下:
a.首先在东方龙马防火墙的配置管理主界面导航目录中双击“包过滤”图标下的“规则设置”项,弹出“包过滤规则设置”窗口,如图7-1所示,在窗口中点击‘添加’按钮,将弹出如图7-2所示的添加规则控制块窗口。
- 在添加控制块窗口中填写名称,尽量可读性好,可以定义为http。
- 填写对名称的描述:可以为allow all http traffic
- 填写规则使用的协议,为tcp协议。
- 这样添加窗口中的内容如图7-21所示。
图7-21 添加规则控制块示例-a
b. 在如图7-21窗口中单击其中的‘添加’按钮,则弹出如图7-3所示的窗口用来添加规则中各项详细的属性,填写其中的项:
- 名称,定义此条规则的名称,可以为inbound。
- 描述,对规则更详细的名称描述,可以定义为allow inbound traffic。
- 源地址、源地址掩码:在网络拓扑结构中,内部网络(lan)有使用http代理服务的需要,因此内部网络的网段地址作为源地址,分别为192.168.1.0,255.255.255.0。
- 源端口:这里源端口可为任意端口,用0表示。
- 源端口操作:选择!=(不等于),与源端口配合,表示任意不等于0的端口。
- 目的地址与目的地址掩码:此条规则是用作内部网络访问外部网络,即上网使用的,所以其外部网络的地址是不确定的,因此为0.0.0.0,地址掩码也为0.0.0.0。
- 目的端口:使用http服务,只访问其特定端口,所以这里填写80。
- 目的端口操作:选择=(等于),与目的端口配合,表示等于80的端口。
- 接口名:此子规则定义的步骤是通过安全网络接口卡eth1访问防火墙的,所以这里填写eth1。
- 网卡安全标志:eth1是安全网卡,所以其安全标识为lan。
- 路由设定:数据包穿过防火墙,选择route。
- 方向:数据包传送到防火墙,方向是进入防火墙,所以为inbound。
- 隧道标识:可以不填。
- 记录日志:选择记录日志,这里从下拉菜单中选中yes即可。
- 源路由:选择reject,拒绝数据包选择源路由。这是系统默认的参数,建议使用。
- 允许片报:选择frag_no,同样是系统默认值。
- 操作:选择重定向(divert),即将符合上述条件的数据包进行重定向。
