防火墙应用指南(一)-基本配置指导思想

防火墙应用指南〔一〕——根本配置指导思想注：阅读本文前，请先详细阅读本文最后的红色局部的提示内容。

一概要介绍

新上市的TL-FR5300防火墙产品，主要有两大功能特点：“攻击防护〞和“策略〞。它还有其他很多功能，在这篇文档里，我们将侧重表述“策略〞这一块，其他功能我们另有专门的表述文档。当您在看这篇文档之前，我们希望您能够先了解一下TL-FR5300的用户手册，对TL-FR5300使用过程中涉及的诸多概念有一定的了解。

一般情况下用户购置了TL-FR5300，将其置于本单位网络的出口处，作为内部网络所有主机登录互联网的网关设备，内网主机所有去往互联网的数据都需要流经TL-FR5300，我们对TL-FR5300进展适当配置，就可以对内网主机的上网操作进展灵活的管理。

TL-FR5300处于整个内部网络的出口，默认内部网络〔LAN〕和外部互联网〔WAN〕是互通的，但建议将这一条默认策略删除。当内部网络中某一局部主机需要某上网权限时，网络管理员只需要在TL-FR5300上面给这一局部主机翻开相应的上网权限，当内部网络另一局部主机需要另外的上网权限时，管理员只需要在TL-FR5300上翻开另一局部上网权限即可。这就是我们配置TL-FR5300这款防火墙产品时候的根本指导思想——“有需求才开放〞。

在使用TL-FR5300的过程中，为了顺利实施上面“有需求才开放〞的思想，我们竭力建议您的网络是经过规划的——特别是“IP地址〞这一局部，因为“IP地址〞是互联网中每台主机标示自己的唯一标志，TL-FR5300也是通过“IP地址〞实现对主机权限的控制。具体地说，网络里具备一样网络权限的主机应该附属于一个组，适应不同网络权限的主机附属于不同的组，而我们在规划“IP地址〞的时候，既要考虑现有各个组的规模，也要考虑到以后网络的增长，不同网络权限的主机组使用不同的IP地址段，比方下面不同的组使用不同IP地址段：

管理团队：～0(/27)

市场部门：5～4(4/27)

销售部门：29～58(28/27)

当配置TL-FR5300时给不同的IP地址段不同的网络权限，则网络中某台主机使用了什么IP地址就具备了什么网络权限，这就是网络经过规划的好处：

上班时间限制内部网络某台主机只能登录互联网某个网站效劳器。

要实现上面的目的，网络管理员通过设置TL-FR5300的“策略〞，将上面这个想要实现的目的表达出来就可以。在这条“策略/规则〞设置的过程当中，“内网某主机、互联网某网站效劳器、可以登录〞这些都属于“策略/规则〞的根本组成局部，“上班时间〞属于“策略/规则〞的可选组成局部。

“策略〞可分为根本组成局部和可选组成局部。根本组成局部有：信息流的方向、信息流的源地址、信息流的目的地址、制止/允许通过。可选组成局部有：时间、平安认证、流量控制、深层检测、日志等。

在TL-FR5300里面将“策略〞的组成局部称之为“对象〞，当需要设置一条“策略〞的时候，要考虑一下即将设置的“策略〞都包含哪些“对象〞？TL-FR5300有专门用于定义“对象〞的配置界面，比方策略里面涉及“上班时间〞，则配置策略之前，要先在“对象〞-“时间表〞里面将“上班时间〞表达出来，然后在“策略〞配置过程中引用先设定好的“上班时间〞这个“对象〞，则这样设置的“策略〞才能在“上班时间〞生效。简单的说这就是“策略〞和“对象〞的关系。可以说多个不同的“对象〞通过组合最后生成了一条“策略〞。

TL-FR5300的“策略〞可由如下可选“对象〞组成：IP地址、IP地址组、效劳、效劳组、动作、时间表、应用、深层检测、网络地址转换、用户认证、QoS控制、URL过滤、日志。

二举例以及说明

下面我们通过一些简单的“策略〞设置过程，来详细地描述“策略〞和“对象〞是一个怎样的关系？它们是怎样使用的？

1,销售部员工张三只能登录阿里巴巴网站。

分析：通过设置TL-FR5300的“策略〞实现上面的目的，这条“策略〞包含的“对象〞有：张三〔使用的IP地址〕、阿里巴巴〔网站效劳器IP地址〕、可以登录〔网站〕。

设置：设置过程分两局部，分别是设置“对象〞和“策略〞，设置“对象〞是为了“策略〞引用它，设置“策略〞是为了最终实现我们的限制目的。

如上图选择了“对象〞-“IP地址〞，设置界面如下列图：

如上图要在“区域〞选择LAN，因为张三处于公司内网也就是TL-FR5300定义的LAN区域，选择后点击“新增〞按钮，界面如下列图：

如上图：

“IP地址名字〞建议具备可读性，张三是销售部员工，这里取为“Sales–张三〞。

“说明〞是对本IP地址的简单解释说明。给张三配置的IP地址为29。

“子网掩码〞填为32表示这里是单个IP地址。

设置完后点击确定按钮返回上一级界面如下列图：

在“对象〞里设置完了张三的IP地址后，还需要设置阿里巴巴网站的IP地址，通过PING阿里巴巴中文网站的域名我们可以得到网站效劳器对应的IP地址是，因为阿里巴巴网站在外部互联网上，也就是TL-FR5300定义的WAN区域，所以这次新增IP地址的时候一定要先选择WAN区域，然后新增，界面如下列图：

或者不设置效劳器的IP地址而直接填入阿里巴巴中文网站域名也可以，如下列图：

点击“确定〞按钮后返回上一级页面，选择“区域〞为所有，并点击“显示〞按钮，可以看到刚刚分别在LAN和WAN区域新增的两个IP地址对象，如下列图：

准备好了“对象〞以后，我们就可以在“策略〞里面进展配置了！因为本策略描述的对象，是张三的电脑主动向阿里巴巴网站发起连接，所以在设置策略的时候一定要注意“区域〞的选择是从LAN——>WAN这个方向，配置界面如下：

上图是一个复合的图片：

“策略名〞建议具备一定的可读性，便于日常维护！

“源地址〞引用IP地址对象里张三的IP地址。

“目的地址〞引用IP地址对象里阿里巴巴网站效劳器IP地址。

“效劳〞粉红色勾勒的效劳这一行后面的“复选〞按钮，点击后弹出下半局部界面，选择了两种效劳分别是DNS和HTTP，因为访问阿里巴巴网站前电脑先要联系互联网DNS效劳器解析阿里巴巴网站域名对应的IP地址，然后才向这个效劳器IP地址发起HTTP请求，也就是登录网站的过程，选择好效劳以后点击“确定〞按钮，有关“效劳〞的详细描述，请参考我们的防火墙应用指南系列文档之防火墙应用指南〔二〕——虚拟效劳器的搭建。

返回策略设置界面如下列图：

如上图，策略设置界面的所有“对象〞中，只涉及到了根本组成局部也就是红线勾勒的局部，其他可选组成局部的对象都没有涉及，改动后点击确定，返回上一级配置界面，如下列图：

就是这样，想要实现“销售部员工张三只能登录阿里巴巴网站〞这样目的，通过上面这个设置过程就完成了。看起来篇幅很长，其实熟练设置的时候所需时间是很短的！

2，销售部员工张三上班时间只能登录阿里巴巴网站。

这第2个例子我们在第一个例子的根底上，增加了“上班时间〞这个对象，则是怎样实现这个目的呢？

分析：按照在第1个例子中的分析，只要再加上“对象〞-“时间表〞里面再参加上班时间段就可以了。设置策略的时候，除了第1个例子里面改动的“对象〞以外，再多改动一个“时间表〞的参数就可以了。

设置：增加时间表“对象〞，在TL-FR5300设置界面“对象〞-“时间表〞里面，新增时间表如下列图：

“时间表名〞和“说明〞：具备可读性，便于日常维护管理。

“屡次〞和“单次〞：屡次表示时间是循环生效的，本周适用下周仍然适用。单次是在开场日期和完毕日期这一段时间内一次性生效，超出这个时间段的则不能生效。这里“屡次〞和“单次〞采用了复选框的方式，表示可以同时两项都选择，或者每次选择其中一种方式。注意：如果“屡次〞和“单次〞都选中，则它们的关系是“或〞的关系。也就是说，时间表生效时间在“屡次〞定义的时间段内或者“单次〞定义的时间段内。它们是“并集〞的关系，而不是“交集〞的关系，不可理解为“在单次定义的时间段内的每周一至周六〞！

要确保“时间表〞这个对象能够生效，有个地方需要注意，就是TL-FR5300配置选项里面的“系统工具〞—“时间设置〞，配置界面如下：

上图中的红色文字已经进展了强调，想要时间表生效，必须从互联网上获取标准的GMT时间或者直接指定一个当前时间。设置好时间后TL-FR5300会一直保存时间，不会因为设备断电而时间失效。

好了，上面添加了“时间表〞这个对象，然后我们直接在“策略〞里面找到刚刚设置的从LAN—>WAN的策略，并重新编辑它，如下列图：

如上图，在原有策略根底上“时间表〞这个对象里面选择了“上班时间〞，然后确定就可以了！这样就实现了“销售部员工张三上班时间只能登录阿里巴巴网站〞，过程很简单。

3，销售部员工张三和李四上班时间只能登录阿里巴巴网站。

分析：上面的例子中，两次配置“策略〞引用“源地址〞这个对象的时候，都只是引用了张三的IP地址，这次还要再多引用一个销售部员工李四，那只要在TL-FR5300的“对象〞-“IP地址〞里面将李四的IP地址也设置好，就可以引用了。

配置：如下列图在“对象〞-“IP地址〞里面新增销售部员工李四的IP地址：

一定要注意新增的李四的IP地址要选在LAN这个区域！然后点击“新增〞按钮，如下列图：

设定完之后点击“确定〞按钮就可以了。在TL-FR5300的“对象〞里面有个“IP地址组〞，就是将已设定的具备一样属性的“IP地址〞归并为一组，比方这里将“Sales–张三〞和“Sales–李四〞归并为一组命名为“Sales〞，这样在配置“策略〞时候引用“源地址〞可以不必张三李四分别引用两次，只需要引用一次“Sales〞组就可以了。“IP地址组〞设置如下列图：

如上图注意新增的区域是“LAN〞，具体配置界面如下：

“组名〞为Sales。

“说明〞为salesgroup表示销售部。

从“备选〞里面选择特定对象添加到“已选〞框内，“确定〞完成配置，返回上一级页面。

如上图看到IP地址组里面多了一个Sales组，包含成员“李四〞、“张三〞。有了上面这些准备，开场修改前面的“策略〞，如下列图：

“策略名〞进展了更改，将以前的Sales–zhangsan–alibaba改为现在的Sales–alibaba。

“源地址〞由张三的IP改为销售IP地址组Sales。

其他对象保持之前的状态不变即可，最后点击“确定〞按钮即完成了配置，如下列图：

可以看到从LAN到WAN的策略里，ID为3的策略正是我们刚刚完成的。

以后如果销售部增加新员工王五，分配了IP为31，上网权限和张三、李四都是一样，那只需要在“对象〞-“IP地址〞里面新增王五的IP地址，然后将新增的王五的IP地址添加到“IP地址组〞-Sales这个组里面，不需要改动策略，则王五的网络权限就和前面几位员工的一样了。

4，销售部员工上班时间只能登录阿里巴巴网站。

分析：前面我们举了3个例子，来说明一条简单的策略如何设置？我们发现，每次销售部新增员工，都需要网络管理员在“对象〞-“IP地址〞里面新增，然后再将新增的IP地址归并到“IP地址组〞里Sales的小组，这样的过程比拟麻烦！有没有更快捷的设置方式？

当然有了！一开场我们就倡导如果使用TL-FR5300我们竭力推荐您的网络先做好规划，比方网络管理员按照现有情况以及今后一段时间内的网络增长预期，将IP地址段29–59预留分配给销售部员工使用，销售部员工的网络权限都是一样的。

前面设置的策略里，“源地址〞曾单独选择过“Sales–张三〞和包含张三李四的“Sales〞,如果我们将Sales这个组一开场就定义成包含29–59这一段IP地址，然后在“策略〞设置的时候“源地址〞引用“Sales〞，这样配置一条策略相当于一次配置了29–59这30个IP地址，都是“上班时间只能登录阿里巴巴网站〞的权限。接下来当然是将已设置的IP地址单独分配给张三、李四、王五使用，等以后赵六参加了销售部，网络管理员不用改动TL-FR5300的配置，只需要告诉赵六使用32这个IP地址就可以了，这样将网络预先进展一定的规划，然后配置网络设备可以收到事半功倍的效果。

配置：就上面的分析，我们进展如下的配置即可快速实现。如下列图在TL-FR5300的“对象〞-“IP地址〞里面，在LAN区域新增IP地址参数：

单击“确定〞按钮后返回上一级设置界面，如下列图：

如上图红线勾勒，比照“Sales–张三〞和“SalesGroup〞的图标，“Sales–张三〞的图标是单台电脑表示只包含1个IP，而“SalesGroup〞是多台重叠的图标，表示一个IP地址段，这个IP地址段的网段地址是28，网段内可用IP地址范围是29–58总共包含30个可用的IP地址,这个段的播送地址是59。

上面设置的过程中，因为采用了“变长子网掩码〞的方法——即将默认的24位子网掩码加长到27位，所以取得了一条设置表示一段IP地址的结果。

如果在配置的过程当中，填入的不是28/27而是默认的28/24，这样设置在TL-FR5300里面也是允许的，这样设置的结果和填入/24的结果是一样的，就是产生了一个–54的可用IP地址段。因为我们这里举例网络规划的时候并没有给销售部254个IP地址，而是给了30个IP地址，所以我们填入的子网掩码不是24而是27。

对于28/24和28/27表示的IP地址范围不同这样一个事实，属于网络公共根底知识，这里限于篇幅我们就不做过多地介绍了。如果您想要搞清楚其中的细节，可寻找一些“IP地址和子网掩码〞方面的书籍或者相关RFC文档参考学习一下。

经过上面的准备，只需要在“策略〞里面将“源地址〞选择“SalesGroup〞，其余参数不变，我们就可以通过一条策略实现：一个包含30个IP地址“上班时间只能访问阿里巴巴网站〞的目的。界面如下：

5，保存、配置备份和载入

TL-FR5300所有参数在设置的时候，是即时生效的，但是这个时候参数是没有保存的，如果未保存设备重新启动以后所有配置的参数都会丧失，提示您每次阶段性完成参数配置后，在“系统工具〞-“保存配置〞页面对所有已修改参数进展保存，界面如下列图：

TL-FR5300还有一个非常有用的功能，就是“配置备份和载入〞，在“系统工具〞-“配置备份和载入〞，功能界面如下列图：

当保存了已修改参数以后，可以通过点击上图红色标注的按钮“备份配置文件〞来备份当前配置，界面如下列图：

点击“保存〞按钮并选择保存的路径，然后保存即可，等到有需要的时候，可以通过上面的“载入配置文件〞的选项来完成。

三关联信息

TL-FR5300的功能，在这里没有一一介绍，本文档前面两局部只是从总体概念上介绍了TL-FR5300最显著的功能特点——如何对内网进展灵活的管理，但是内容还是不够丰富！针对这局部我们会在后面的系列文档中不断补充。

上面的几个例子中，“策略〞的可选“对象〞局部，比方：应用、深层检测、URL过滤、NAT转换、认