靈活配置 發揮防火墻效能

引言：一般情況下將防火墻安裝到網絡中后，對于其防護策略等功能只是采用其默認配置，雖然這可以滿足一般的使用需要，不過這其實并沒有發揮出防火墻的潛力。因此，就需要根據網絡的實際需求，對防火墻進行靈活的配置，充分發揮其功能。

為了提高網絡安全性，很多單位都使用了硬件防火墻來防護黑客入侵。但一般情況下將防火墻安裝到網絡中后，對于其防護策略等功能只是采用其默認配置，并沒有發揮出防火墻的潛力。因此，需要根據網絡的實際需求，對防火墻進行靈活的配置，充分發揮其功能。這里以常用的某款HillStone防火墻為例從不同方面介紹。

使用策略阻斷特定服務

出于安全性考慮，有時希望對內網主機進行合理的控制，禁止其訪問某些服務。因為阻斷服務是和應用特征庫緊密相關的，所以需要對其進行及時更新。登錄到防火墻管理界面，在左側點擊“網絡”、“網絡連接”項，在右側點擊“DNS列表”項，在打開窗口中確保域名服務器處于可用狀態，否則點擊“新建”按鈕，添加合適的DNS服務器。在左側點擊“主頁”項，在右側的“應用特征庫”的右側點擊“升級”進行升級。

圖1 URL過濾規則配置

這里需要禁止IP為192.168.1.100的主機執行P2P下載服務，所以在右上角點擊菜單“對象用戶”、“地址簿”項，在地址簿中點擊“新建”按鈕，輸入其名稱（例如“zhuji100”），輸入其地址192.168.1.100，掩碼為32位，點擊“添加”按鈕，為其添加地址簿項目。點擊菜單“對象用戶”、“服務簿”項，在打開窗口左側選擇“預定義應 用”、“網 絡軟件”項，顯示常用的網絡軟件類型，這里選 擇“P2P軟件”項，在列表中選擇大量的P2P類型的軟件。在主界面左側選擇“安全”、“策略”項，新建一條策略，在“源安全域”列表中選擇“trust”項，在“目的安全域”列表中選擇“untrust”項，在“源地址”列表中選擇“zhuji100”項，在“服務薄”列表中選擇“P2P軟件”，選擇“拒絕”項，點擊“確定”按鈕保存配置。

URL過濾功能配置

在實際的網絡管理中，有時需要對內網用戶訪問的網頁地址進行控制，防止因訪問惡意網站導致的安全風險。HillStone防火墻可實現基于URL庫類別和黑白名單類別的過濾機制。如圖1，在防火墻管理界面左側選擇“控制”、“URL過濾”項，在右側點擊“預定義URL庫”項，在打開窗口中點擊“在線升級”按鈕來升級該庫。在URL過濾界面中點擊“新建”按鈕，在URL過濾規則配置窗口中輸入其名稱（例如“urlgl”），在“目的安全域”列表中選擇“untrust”項，在URL類別列表中預設了大量的網站類別。

例如在“門戶網站與搜索引擎”類別中選擇“阻止訪問”和“記錄日志”項，這樣可以封鎖針對該類網站的訪問。點擊確定按鈕保存配置。當然，如果想單獨放行禁止范圍中的某個網站，可以在URL過濾界面右側點擊“自定義URL庫”項，點擊“新建”按鈕，輸入需要放行類別名稱（例如“fangxing”）和具體的網站，點擊“添加”按鈕，將其添加進來。這樣，選擇上述禁用的URL項目，在其編輯窗口中的URL即可顯示上述自定義的網站類別，而且自定義類別網站是優先放行的。

在管理界面左側選擇“控制”、“應用行為控制”項，在右側點擊“新建”項，在應用行為控制規則配置窗口中輸入其名稱（例如“mingdan”），在“目的安全域”列表中選擇“untrust”項，打開“HTTP控制”面板，在“GET”欄右側輸入允許訪問的網站，控制行為選擇“允許”項，點擊“添加”按鈕。同理，可以添加多個許可訪問的網站。對應的，添加一個內容為空的，控制類型為“阻止”的條目。這樣，就實現可黑白名單控制功能，即只允許規定的網站可以訪問，其余的將被拒絕。比較兩種URL控制機制，可以看出對于前者來說，域名必須是確定和明確的，而后者可以采用正則表達式來實現模糊匹配。

探測NAT地址有效性

對于內網用戶來說，因為單位擁有的外網地址是有限的，因此就需要利用多對一等NAT映射機制來正常訪問外網。如單位獲得公網地址為xxx.x.x.x/29，實際上就擁有5個可用的公網IP。除xxx.x.x..1作為網關使用外，還有xxx.x.x..2到xxx.x.x..5地址范圍可供NAT轉換之用。但實際的網絡管理可能會出現可用公網IP被占用或阻斷等情況，導致內網用戶無法上網。

因為當某內網主機通過NAT機制使用某個公網IP上網后，會一直使用該IP訪問外網，如果該IP被阻斷，該內網主機自然無法訪問外網。利用防火墻提供的Track功能可以對SNAT轉換地址進行探測，即通過對指定外網目標進行探測監控，如果發現某個IP不可用，則進行NAT轉換時就不使用該IP。當然，如果受阻斷的IP恢復到可用狀態，防火墻的Track機制同樣可以檢測到，可以恢復其正常轉換功能。

在防火墻管理界面右側點擊菜單“對象用戶”、“地址簿”項，在地址簿窗口中點擊“新建”按鈕，在配置地址簿窗口中輸入其名稱（例如“dzc”），設置其地址范圍從xxx.x.x..2到xxx.x.x..5。為了實現動態監控，點擊右上角的菜單“對象用戶”、“監測對象”項，點擊“新建”按鈕。在監測對象配置窗口中點擊“添加”、“HTTP”項，在打開面板中設置其名稱（例如“tance”），警戒值為 255，檢測類型選擇“HTTP Ping ARP DNS TCP”，點擊“添加”按鈕，輸入IP/主機名，權值設置為255，重試次數設置為3，發送報文間隔設置為30秒，設置合適的發送和接收報文接口（例如Ethernet 0/2），其余設置保持默認，點擊確定按鈕保存配置。

在管理界面左側選擇“網絡”、“NAT”項，在右側的“源NAT”面板中選擇默認的NAT映射項目，點擊“編輯”按鈕，在源NAT配置窗口（如圖2）中的“轉換為”選擇“指定IP”項，在“地址條目”列表中選擇“dzc”項，在“模式”欄中選擇“動態端口”項。在“Track”欄中選擇“啟用”項，并選擇上述動態監測項目，點擊確定按鈕，就啟用了Track功能。這樣，防火墻就可以對目標網站進行動態監測，如發現某個公網IP處于不可用狀態，就分配別的可用IP用來實現NAT轉換，保證內網主機可以正常上網。

實現P2P引流

有些單位為緩解上網壓力，會安裝兩條上網鏈路，由不同的運行商提供服務。例如防火墻的Ethernet 0/1口連接上網鏈路1，Ethernet 0/2口連接上網鏈路2。但在內網中會有一些用戶使用基于P2P技術的軟件來下載數據，其在運行時會隨機占用兩條上網鏈路。為了其他業務流量的正常上網，最好將P2P下載指定專門的鏈路，例如鏈路2的帶寬較大，供正常的業務流量使用，鏈路1帶寬較小，供P2P下載之用。

圖2 源NAT配置窗口

在防火墻管理界面首先為這兩個接口分別設置NAT和默認路由，使其可以正常使用。在左側點擊“網絡”、“路由”項，在右側點擊菜單“新建”、“策略路由”項，在策略路由配置窗口中的“基本”面板中輸入其名稱（例如“branch”），選擇“設置下一跳”項，在“IP地址”欄中輸入線路1提供的網關IP，在“綁定到”列表中選擇內網接口（例 如“Ethernet 0/0”）。在“源地址”面板中選擇“IP地址”項，輸入內網的IP范圍，例如IP為192.168.1.0，網絡掩碼為24。點擊“添加”按鈕，將其添加進來。

在“目的地址”面板中選擇“地址條目”項，在“地址條目”列表中選擇“Any”項，點擊“添加”按鈕。在“服務”面板左側選擇“典型配置”、“引流組”項，在其中包含了大量使用P2P技術的軟件。點擊“增加”按鈕，將其添加進來。點擊確定按鈕，添加該策略路由項目。這樣，內網中的所有P2P流量就只能使用線路1傳輸數據。

防止用戶隨意更改地址

有些內網用戶為了擺脫限制，會采用私自更改IP來避開管理員的監管，這給網絡管理帶來了隱患。使用防火墻提供的IP-MAC綁定功能，可以有效解決該問題。在防火墻管理界面左側選擇“安全”、“ARP防護”項，在右側點擊“新建”按鈕，在添加IP-MAC綁定窗口中輸入目標MAC和 IP，選擇“IP-MAC綁定”項，點擊確定按鈕將其綁定。也可以點擊菜單“綁定配置”、“掃描添加IP-MAC綁定”項，設置起始和結束IP，對內網主機進行掃描，來獲取MAC和IP的對應關系。

實際上，當內網主機通過防火墻上網時，其IP和MAC信息會自動顯 示。 雙擊選定的IP和MAC關聯項目，選擇“ARP認證”和“IPMAC綁定”項，即可將其綁定起來。如果點擊菜單“綁定配置”、“所有所有配置”項，可以將所有的IP和MAC均綁定起來。當然，對于外網接口則無需綁定。注意，為了進一步提高安全性，在防火墻管理界面左側選擇“網絡”、“網絡連接”項，在右側雙擊內網接口（例如“Ethernet 0/0”），在接口配置中的“屬性”面板中的“ARP學習”欄中取消“啟動”功能。這樣即使內網用戶修改了IP，也是無法正常上網的。

實際上，上述方法還可以和DHCP關聯，為內網用戶設置固定的IP。在網絡連接界面右側點擊“DHCP列表”項，在DHCP列表中雙擊和內網接口相關的DHCP服務項，在打開窗口中的“地址綁定”面板中輸入對應的IP和MAC地址，點擊“添加”按鈕添加到列表中。之后將其選中即可。同理可以添加多個IP和MAC的綁定關系。這樣，當擁有該MAC地址的客戶端使用地址自動分配功能后，就可以得到指定的IP。