1.6 项目2：防火墙设备配置

1.6.1 任务1：防火墙基本配置

为能更深入地结合防火墙产品，实际学习防火墙的配置，本章采用天融信的NGFWARES防火墙进行实践操作，通过对该设备的配置，达到1.5.2节方案设计中对产品及技术的要求。为此，先来了解一下天融信防火墙的基本配置方法。

天融信防火墙产品目前采用的是TopsecOS专用安全系统，目前的最新稳定版本为3.3.005.066，其具备完善的路由功能，全面的2～7层的访问控制功能及详细的日志功能，特别是在某些特殊应用下的支持，如金融机构网络上常用的长连接等。天融信防火墙在产品的配置方面，同时支持命令行模式和图形界面下的配置方式，命令模式下同时支持Console、Telnet、ssh，图形界面同时支持GUI集中管理及Web浏览器的管理方式。目前在实际使用中，使用最多的是Web浏览器下的管理方式，在天融信产品手册与介绍中，这种管理方式称为WebUI管理方式，虽然在一些环境下，命令行下的操作会比图形界面操作更快，但为了避免录入错误，一般建议均采用WebUI管理方式，本章的防火墙配置实例，也均采用的是这种管理模式。

在一般的防火墙的配置里，常见配置步骤为：防火墙策略设计→防火墙配置→防火墙规则检测→防火墙上线测试→防火墙运行维护。那么在防火墙实际配置中，一般步骤为：防火墙初始化配置→网络接口配置→路由配置→安全区域与对象（资源）定义→地址转换配置→访问控制规则配置→日志设置→防火墙管理员权限配置→配置保存及备份。以下分别对防火墙配置的几个步骤分别进行说明。

天融信的防火墙在出厂时已经有过初始化配置，但考虑各种因素，根据网络及应用情况，一般建议至少对防火墙的“TCP连接超时”和“系统时间”进行初始化，“TCP连接超时”根据网络及应用情况调整，一般可以调整为600s。“系统时间”主要是要校对准确，避免日志记录不准的问题。而对于某些品牌的防火墙，还可能需要通过串口，为防火墙的接口配置IP地址，以便进行管理。

1.网络接口配置

根据已经确定的防火墙的策略，配置需要使用的防火墙接口模式，如果采用透明模式，则配置为交换模式（透明模式），如果采用路由模式，则为接口配置相应的IP地址。对于采用透明模式部署时，天融信防火墙采用了灵活的VLAN方式。例如，如果需要将Eth2和Eth3设置为一个网桥，那么仅需要在相应的接口上配置为交换模式，VLAN ID选择一个相同的数值即可，在多网桥配置实现时，这种配置方式更加灵活、便利。图1-11是防火墙配置-接口配置界面截图。

2.路由配置

在防火墙路由模式部署或混合模式部署时，需要配置防火墙的路由，一般至少需要添加一条默认路由，这里不做过多说明。需要注意一点，就是天融信的防火墙同时支持静态路由和策略路由。在路由的优先级上，策略路由优先于静态路由；而在同种路由下，路由ID号越小越优先。

3.安全区域与对象定义

安全区域和对象的管理方式，在大的网络环境下，网络调整会带来极大的便利，某些情况下，只需要调整需要调整的地址即可，而不会涉及防火墙访问控制策略、NAT策略等主要策略的调整，为此目前主流防火墙、IPS等产品，均采用了安全区域和对象的管理方式。在配置好区域和资源对象后，就可以在后续的访问控制策略、NAT策略里直接引用这些资源了。图1-12是天融信防火墙的一个资源管理配置界面。

4.地址转换配置

在地址转换中，涉及源地址转换、目的地址转换、双向地址转换，在某些特殊的应用下，还会涉及“不做转换”的特殊配置。

源地址转换即内网地址向外访问时，发起访问的内网IP地址转换为指定的IP地址（可指定具体的服务及相应的端口或端口范围），这可以使内网中使用保留IP地址的主机访问外部网络，即内网的多部主机可以通过一个有效的公网IP地址访问外部网络。同理，目的地址转换一般是将某个公网地址转换为一个内网的私有地址，使公网用户访问这台主机。而双向地址转换，则是将目的地址与源地址同时进行转换，这种应用方式下，可以同时保护目的地址及源地址，并可以最大限度地减少因地址转换带来的业务系统地址的变化。不做转换就是对某些类型地址不做转换。因为地址转换规则具有优先权，在某些重叠的地址转换规则中，可以通过“不做转换”的规则，使某些应用区别开。

5.访问控制规则配置

对于防火墙来说，访问控制规则是最核心的配置，但其也完全依赖于此前的规则配置是否正确，如路由、地址配置不正确，访问控制规则显然是没有任何意义的。访问控制规则，可以控制通过防火墙网络数据的源、目的、协议、端口，并可以根据时间设置生效，天融信防火墙还具备长连接/普通连接、深度内容过滤等配置。如下是天融信防火墙访问控制规则配置界面，如图1-13所示。

6.日志设置

对于需要防火墙进行日志记录的，需要启用防火墙的日志记录功能。因为防火墙作为网络接入设备，需要能高性能、安全的发挥作用，所以目前主流防火墙产品的存储系统均采用的是专用芯片，而没有再使用硬盘。为此防火墙日志记录及存储也就相应地需要放置到其他空间上，一般是需要一台用于存储防火墙日志的服务器。天融信防火墙为便于用户临时查看日志，除了可以将日志实时传输到指定服务器外，自身还提供了数兆的临时存储芯片，用于日志临时查看和存储。

7.管理员权限配置

防火墙产品本身就是安全产品，对其自身的安全要求也是必须考虑的。所以在完成防火墙的主要配置后，需要修改防火墙的管理员口令或权限。

8.配置保存及备份

大多数防火墙的规则设置，是实时生效，但生效的配置并没有存储到存储单元，一旦设备断电或重启，新增加的未保存的配置就会丢失，所以需要在确认配置正确后在防火墙上保存配置。而对于防火墙配置备份，则是出于冗余考虑，在防火墙出现故障时，可以及时恢复正确的配置是非常必要的。

以下将参照1.5.2节的方案设计，采用本节描述的防火墙配置方法，来对所设计的防火墙进行部署和配置。

1.6.2 任务2：防火墙的配置策略设计

要设计防火墙的配置策略，需要了解具体的现场情况，根据需求分析及方案设计，并进一步了解客户网络结构，得到并确认如下信息：

● 服务器区域IP段：192.168.2.0/24，网关指向192.168.2.1；

● 内网区域IP段：192.168.100.0/24，网关指向192.168.100.1；

● 运营商分配的互联网地址：202.202.67.23/27，网关指向202.202.67.30。

为此，规划防火墙的接口地址分配如表1-1所示。

因为服务器交换机及内网交换机的默认网关均已经指向防火墙，并且防火墙的接口地址与它们均在一个地址段内，所以路由方面仅需要增加指向互联网运营商提供的网关地址即可，即防火墙的默认网关需要指向202.202.67.30。

因为用户内网使用的是私有地址，所以当访问互联网时，防火墙需要为其进行地址转换，即内网访问互联网时源地址转换为202.202.67.23，同时互联网用户通过访问该地址，可以访问到部署在服务器区域的192.168.2.119网站，这样就需要一个目的地址转换规则。地址转换规则规划如表1-2所示。

对于服务器区域与内网区域间的互访，通过路由实现，不需要做地址转换。另外，根据访问需求，用户需要内部网络包括服务器区域均可以访问互联网，同时互联网用户（不确定）可以访问服务器区域内部署的公司网站，地址是192.168.2.119，互联网用户直接访问202.202.67.23地址来访问这个网站，该网站对互联网开放http服务，内网用户可以对该服务器的TCP 3389端口进行访问，以便远程维护管理该服务器。为此，得到安全策略设计如表1-3所示。

根据上述情况，为方便配置设备，我们对方案设计的网络简图进行了进一步标记，如图1-14所示。

以上策略配置设计中，完成了对防火墙部署位置、接口地址、路由指向、地址转换规则及访问控制规则的设计，如下为在任务2中开始安装设计的策略配置防火墙。

1.6.3 任务3：防火墙配置

使用交叉网线连接防火墙的默认管理接口Eth0，在浏览器里输入https://192.168.1.254，登录防火墙的WebUI管理界面，开始进行配置。

1.设置接口地址

选择“网络管理”→“接口”→“物理接口”命令，在Eth1接口上单击“设置”图标，打开Eth1接口的设置选项卡，并输入接口地址202.202.67.23，然后单击“添加”按钮。

以此配置Eth2、Eth3接口，并在“描述”信息内注明接口，接口配置完成后如图1-15和图1-16所示。（其他接口，暂不使用，可以不做任何配置）。

2.配置路由指向

选择“网络管理”→“路由”→“静态路由”命令，单击“添加”按钮，在新的选项卡内输入默认网关地址202.202.67.30，并单击“确定”按钮，如图1-17所示。

默认路由，即目的地址是任何地址的路由条目，同时天融信防火墙支持自动接口选择，所以“接口”上可以不用选择。

3.配置安全区域

选择“资源管理”→“区域”命令，单击“添加”按钮，在“名称”处输入“内网区域”，并选择该区域所绑定的接口Eth3，如图1-18所示。

然后，依次配置添加服务器区域、互联网区域名称，配置完毕后如图1-19所示。

区域中的权限选择是指本区域被其他区域访问的默认访问权限，此处可以不用配置，在配置访问控制规则时再做配置。

4.主机对象地址

选择“资源管理”→“地址”→“主机”命令，添加“主机对象”，分别添加Web服务器的内网地址，如图1-20所示。

然后，依次添加Web服务器映射后的互联网地址，添加完成后如图1-21所示。

5.配置地址转换规则

（1）选择“防火墙”→“地址转换”命令，单击“添加”按钮，使用“源转换”在“源”处展开高级选项卡，选择“内网区域”和“服务器区域”，如图1-22所示。

（2）单击“目的”选项卡，并展开“高级”选项卡，选择目的区域为“互联网区域”，如图1-23所示。

（3）单击“服务”选项卡，因为这一步要做使内网和服务器区域访问互联网的源地址转换，所以“服务”不做任何选择，然后单击“源地址转换为”并选择Eth1属性并单击“确定”按钮，即当内网区域和服务器区域访问互联网时，其源地址转换为Eth1的接口地址202.202.67.23，如图1-24所示。

（4）添加使互联网用户可以访问Web网站的目的地址转换规则，单击“添加”按钮后，选择“目的转换”，在“源”选项卡内选择any，如图1-25所示。

（5）单击“目的”选项卡，选择“Web服务器-映射后的地址（主机）”对象，如图1-26所示。

（6）选择“服务”选项卡，并选择“HTTP”服务，同时在“目的地址转换为”内选择“Web服务器-实际地址（主机）”对象，并单击“确定”按钮，如图1-27所示。

添加了两条地址转换规则，添加完成后的截图如图1-28所示。

6.配置访问控制规则

选择“防火墙”→“访问控制”命令，首先添加一条允许互联网用户访问Web网站的控制规则，在“添加策略”里，“源”选择“any”，“目的”选择“Web服务器-实际地址”对象，“服务”选择“HTTP”服务对象，其他不选，配置完成后的界面如1-29所示。

然后，再依次添加内网用户访问互联网及服务器区域的规则，添加完成后如图1-30所示。

最后，添加一条默认全禁止访问的规则，即除了上述允许访问的规则外，其他访问流量均被防火墙禁止，这条规则中的“访问权限”要选择“禁止”，如图1-31所示。

访问控制规则至此全部添加完成，整体如图1-32所示。

7.配置管理权限

为便于内网管理员对防火墙进行WebUI管理，需要在内网区域上开放WebUI管理权限。选择“系统管理”→“配置”→“开放服务”命令，添加1条规则，“服务名称”输入“WEBUI”，“控制区域”输入“内网区域”，“控制地址”输入“any[范围]”，如图1-33所示。

然后，对保存本次配置，单击浏览器右上角的“保存配置”按钮，如图1-34所示。

最后，对本次配置进行导出备份，以防万一。选择“系统管理”→“维护”命令，在“配置维护”下单击“保存配置”，并在蓝色字体上单击鼠标右键保存配置文件，如图1-35所示。

说明

天融信防火墙提供命令行模式及图形界面配置方式，其中在图形界面下同时可支持基于专用软件客户端的GUI程序和基于通用浏览器的WebUI管理方式，其中WebUI管理方式最为常用。

1.6.4 任务4：上线测试

设备配置完成后接入实际环境并检查和测试配置是否正确，这是防火墙设备完全投入使用前的最后一步。

（1）线路连接，防火墙的Eth1接口连接运营商提供的光纤收发器内接口，Eth2接口连接服务器区域交换机，Eth3接口连接内网区域核心交换机，在连接线路正常的情况下，防火墙的各网口正常连接其他设备接口，网口灯会根据协商情况亮起来，如果不亮，则需要检查网线是否完好，或对端设备是否已经正常运行；

（2）测试内网是否可以访问互联网，通过ping一个互联网允许被ping的IP地址或直接访问互联网页面测试，如访问www.baidu.com等；

（3）测试互联网用户是否在浏览器里输入Web服务器互联网地址（202.202.67.23）或域名时，可以正常打开网站页面；

（4）测试内网是否可以访问Web服务器的HTTP和TCP 3389服务，并确认其他服务是否已经被禁止访问，可以尝试访问服务器的135、137等提供共享服务的端口等；

（5）在防火墙上检查当前连接情况，连接是否有收、发数据，如图1-36所示。

经过以上多个步骤的检查后，确认防火墙在接入后，用户网络应用一切正常，并且被禁止的访问也已经测试，确认已经被禁止，至此该设备即可完全投入实际使用，并进入设备的运行维护阶段。