在設置過濾規則時,應當注意以下問題:
第一,如果只是禁止某些協議和應用時,當前面規則一一列出“個別禁止”,並在最後規則中應當設置“全部允許”。例如,除了ICMP和蠕蟲病毒所使用的端口外,允許其他所有網絡應用,則鍵入下述規則:
admin@NetST> add rule any any 134:139 any drop any
admin@NetST> add rule any any 445 any drop any
admin@NetST> add rule any any 9995:9996 any drop any
admin@NetST> add rule any any 4444 any drop any
admin@NetST> add rule any any 5554 any drop any
admin@NetST> add rule icmp any any any drop any
admin@NetST> add rule any any any any accept any
第二,如果只是允許某些協議和應用時,當前面規則一一列出“個別允許”,並在最後規則中應當設置“全部禁止”。例如,除了常用的網絡服務外,禁止其他所有的網絡應用,則鍵入下述規則:
admin@NetST> add rule any any 80 any accept any
admin@NetST> add rule any any 21 any accept any
admin@NetST> add rule any any 110 any accept any
admin@NetST> add rule any any 25 any accept any
admin@NetST> add rule any any 8000 any accept any
admin@NetST> add rule any any 554 any accept any
admin@NetST> add rule icmp any any any accept any
admin@NetST> add rule any any any any drop any
第三,過濾規則通常設置在內網端口,因爲默認情況下,所有端口都是拒絕的。
6. 網絡地址轉換配置
網絡地址轉換(NAT,Network Address Translation)是在IP地址資源日趨緊張的情況下出現的一種技術,可以將網絡內部的IP地址映射爲一個合法的IP地址,實現Internet連接共享,甚至可以藉助端口映射實現對內部服務器的訪問。NAT不僅完美地解決IP地址不足的問題,而且還能有效地避免來自網絡外部的***,隱藏並保護網絡內部的計算機。
NAT分爲源NAT和目的NAT兩種。源NAT是指,轉換前源IP地址和轉換後源IP地址不同,數據進入防火牆後,防火牆將其源地址進行轉換後再將其發出,使外部看不到數據包原來的源地址。目的NAT是指,轉換前目的IP地址和轉換後目的IP地址不同(對於TCP/UDP協議,也可以改變端口號),數據進入防火牆後,防火牆將其目的IP地址進行轉換後再將其發出,使看不到數據包原來的目的地址。在進行NAT時,如果是一個地址到一個地址的轉換,稱爲一對一模式;如果是一個網段地址對到一個地址的轉換,稱爲多對一的轉換;如果是一個網段地址到一個網段地址的轉換,稱爲多對多的轉換。IP僞裝就屬於源ANT,而端口映射和透明代理等屬於目的NAT。
NAT從另一個角度也可分爲靜態和動態兩種。靜態方式是明確指定了轉換前後的地址和端口的情況,可以有一對一、多對一、多對多等方式。如果實際地址發生變化,NAT規則必須相應改變;而動態方式也就是IP僞裝方式,是一種多到一的源NAT轉換模式,一般只需指定轉換前的地址,轉換後的地址則是防火牆的IP地址,此地址是可以動態改變的,而NAT規則可以不變。靜態NAT一般用在防火牆擁有固定IP地址的情況,而動態NAT則用於防火牆擁有動態IP地址的情況。
一般來說,源NAT多用於從內部網絡到外部網絡的訪問,內部網絡地址可以是保留IP地址;目的NAT多用於外部網絡到內部服務器的訪問,內部服務器可使用保留IP地址。當使用透明模式時,由內到外的訪問實際上是一種目的NAT,是將訪問的目的IP和目的端口轉換爲代理服務器的IP和代理端口。
使用目的NAT功能時,可實現負載均衡(Load Balance,LB)功能,假設防火牆外網接口上有一個合法IP地址,內部有多個服務器同時提供服務,當將訪問防火牆外部接口IP的訪問請求轉換爲這一組內部服務器的IP地址時,訪問請求就可以在這一組服務器進行均衡。
(1)增加NAT規則
若欲將NAT規則增加到NAT規則表的最後,可使用下述命令:
add nat type ori_src_ip ori_dst_ip ori_port trans_src_ip trans_dst_ip trans_port
命令參數包括NAT類型(type)、轉換前源IP地址(ori_src_ip)、轉換前目的IP地址(ori_dst_ip)、轉換前端口(ori_port)、轉換後源IP地址(trans_src_ip)、轉換後目的IP地址(trans_dst_ip)和轉換後端口(trans_port)。NAT類型可以是靜態NAT(static)或動態NAT(dynamic)。
轉換前IP地址格式爲帶掩碼的點分格式“xxx.xxx.xxx.xxx/xx”,如果是一個網絡,必須帶“/xx”掩碼位,否則,就被認爲是一臺主機,或者用“any”表示任意IP地址。轉換後IP地址不帶掩碼位,若是網絡,則採用“xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx”形式。端口主要針對TCP協議或UDP協議而言,如http (80)、ftp (21)、smtp (25)、POP3 (110)等。在輸入時,既可以採用名稱方式,也可以採用數字方式,用“any”表示任意端口,也可用“xx:xx”方式表示端口段。在IP地址和服務類型前加“~”表示取反,即表示除此地址或服務之外的所有其他地址或服務,“any”無取反意義。缺省情況下,端口指的是TCP協議端口,當端口名或端口號前加大寫字母“U”時,表示是UDP協議端口。
需要注意的是,源NAT和目的NAT不能同時使用。當轉換前端口與轉換後端口不同時,就爲端口轉發。與過濾規則一樣,NAT規則中的地址/服務設置也支持取反(~)。
例如,網絡防火牆採用靜態IP地址。若欲將網段192.168.10.0映射爲61.159.62.158,以實現Internet連接共享,則執行下述操作:
admin@NetST> add nat
Enter NAT type (static-s, dynamic-d): static
Enter original source IP address (xxx.xxx.xxx.xxx): 192.168.10.0/24
Enter original destination IP address (xxx.xxx.xxx.xxx): any
Enter original port: any
Enter translated source IP address (xxx.xxx.xxx.xxx): 61.159.62.158
Enter translated destination IP address (xxx.xxx.xxx.xxx): any
Enter translated port: any
Add NAT item success!
(2)修改NAT規則
若欲修改在NAT規則表的指定位置處的NAT地址,鍵入下述命令:
modify nat number type ori_src_ip ori_dst_ip ori_port trans_src_ip trans_dst_ip trans_port
序號參數“number”用於指定欲修改NAT規則,其他參數與增加NAT規則命令完全相同。當有參數不變時,用“*”代替,或者在分段輸入時直接敲回車。
例如,若欲修改第5條規則,將轉換後源IP地址設置爲61.159.62.169,則執行操作如下:
admin@NetST> modify nat
Enter NAT item number: 5
Enter NAT type (static-s, dynamic-d):
Enter original source IP address (xxx.xxx.xxx.xxx):
Enter original destination IP address (xxx.xxx.xxx.xxx):
Enter original port:
Enter translated source IP address (xxx.xxx.xxx.xxx):
Enter translated destination IP address (xxx.xxx.xxx.xxx): 61.159.62.169
Enter translated port:
Add NAT item success!
(3)插入NAT規則
若欲在NAT規則表中的指定位置插入NAT規則,鍵入下述命令:
insert nat number type ori_src_ip ori_dst_ip ori_port trans_src_ip trans_dst_ip trans_port
序號參數“number”用於指定欲插入的位置,插入的NAT規則即成爲第number條NAT規則,其他參數與增加NAT規則命令完全相同。
例如,若欲插入第2條規則,並且將內部服務器192.168.100.10轉換爲合法IP地址61.159.62.160,則執行下述操作:
admin@NetST> insert nat
Enter NAT item number: 2
Enter NAT type (static-s, dynamic-d): static
Enter original source IP address (xxx.xxx.xxx.xxx): any
Enter original destination IP address (xxx.xxx.xxx.xxx): 192.168.100.10
Enter original port: any
Enter translated source IP address (xxx.xxx.xxx.xxx): any
Enter translated destination IP address (xxx.xxx.xxx.xxx): 61.159.62.160
Enter translated port: any
Add NAT item success!
(4)移動NAT規則
若欲移動NAT規則中的規則,執行下述命令:
move nat number step
參數包括NAT序號(number)和移動步數(step)。命令將NAT的第number條規則移動step位,step爲正是後移,爲負是前移。如果移動步數超過了第一條或最後一條規則,就將該規則設置爲第一條或最後一條規則。
例如,將第5條規則向前移動兩步,則執行下述操作:
admin@NetST> move nat
Enter nat number: 5
Enter step: -2
Move nat sueecss!
(5)顯示NAT規則
若欲顯示NAT規則表,可執行下述命令:
Show nat [ number ]
參數“number”用於指定顯示的NAT規則號或範圍(使用“-”分隔)。若指定NAT規則號,則只顯示指定的NAT規則信息;若不具體指定規則號,則顯示所有NAT規則信息。
例如,若欲查看第3條規則,可執行下述命令:
admin@NetST> show nat 3
No. Type Original_src_IP/Mask Trans_src_IP/Mask
Original_dst_IP/Mask Trans_dst_IP/Mask
Original_port Trans_ port
3 STATIC 10.10.0 .0/24 192.168.1.100
ANY ANY
ANY ANY
(6)刪除NAT規則
若欲刪除某條NAT規則,可執行下述命令:
delete nat number
其中,參數“number”用於指定刪除的規則。若欲刪除多個NAT規則,可以使用“-”指定範圍,或使用空格指定若干規則。
例如,若欲刪除第3條規則,可執行下述操作:
admin@NetST> delete nat
Enter NAT item number: 3
It will delete NAT item 3. Are you sure (y/n) ? y
Delete NAT item success!
又如,若欲刪除第1~3條規則,可執行下述操作:
admin@NetST> delete nat 1-3
It will delete NAT item 1-3. Are you sure (y/n) ? y
Delete NAT item success!
再如,若欲刪除第1、3條規則,可執行下述操作:
admin@NetST> delete nat 1 3
It will delete NAT item 1 3. Are you sure (y/n) ? y
Delete NAT item success!
(7)刪除全部NAT規則
若欲刪除所有的NAT規則,使用下述命令:
Delall nat
例如,若欲刪除所有規則,可執行下述操作:
admin@NetST> delall nat
It will delete all NAT item. Are you sure (y/n) ? y
Delete all NAT item success!
admin@NetST> show nat
Error: No any NAT item!
(8)使NAT規則起作用
若欲啓用某條NAT規則,使用下述命令:
enable nat number
例如,若欲啓用第5條規則,可執行下述操作:
admin@NetST> enable nat
Enter number: 5
Enable nat success!
(9)使NAT規則不起作用
若欲禁用某條NAT規則,使用下述命令:
disable nat number
使用“show nat”命令時,在不起作用的規則前有“*”號標記。
例如,若欲禁用第2~5條和第7條規則,可執行下述操作:
admin@NetST> disable nat 2-5 7
Disable nat success!
(10)使用NAT實現負載均衡
只需將外網接口的地址轉換爲不同內部服務器的地址,即可實現簡單的負載均衡。
例如,網絡的合法IP地址爲“61.159.62.163” ,Web服務端口號爲默認的“80”,提供Web服務的服務器的內部IP地址爲192.168.100.10和192.168.100.20,端口號均爲8000。若欲藉助防火牆實現負載均衡,執行下述操作:
admin@NetST> add nat
Enter NAT type (static-s, dynamic-d): static
Enter original source IP address (xxx.xxx.xxx.xxx/xx): any
Enter original destination IP address (xxx.xxx.xxx.xxx/xx): 61.159.62.163
Enter original port: 80
Enter translated source IP address (xxx.xxx.xxx.xxx/xx): any
Enter translated destination IP address (xxx.xxx.xxx.xxx/xx): 192.168.100.10 192.168.100.20
Enter translated port: 8000
Add NAT item success!
(11)常見問題
● 如何配NAT規則使內網可以訪問外部Internet?
要由內網訪問外網,在NAT情況下由於發起方是內部機器,需要修改數據包中的源地址,因此稱爲源NAT,配置NAT規則時需要改變源地址,目的地址不變,假設內網IP爲192.168.1.0/24,防火牆外部地址爲10.0.0 .1(這也是一個保留地址,在實際中根據實際情況取實際值),如用以下命令:
“add nat static 192.168.1.0/24 any any 10.0.0 .1 any any”
即可實現。
● 如何配NAT規則使外網可以訪問DMZ上的Internet服務器?
要由外網訪問DMZ區,在NAT情況下由於發起方是外部機器,而DMZ區服務器的地址往往是保留地址,因此需要修改數據包中的目的地址,因此稱爲目的NAT,配置NAT規則時需要改變目的地址,源地址不變,假設DMZ服務器IP爲172.16.0.2,防火牆外部地址爲10.0.0 .1(這也是一個保留地址,在實際中根據實際情況取實際值),如用以下命令:
“add nat static any 172.16.0.2 80 any 10.0.0 .1 80”
即可實現外網訪問DMZ的WWW服務器,如果端口不同,稱爲端口映射,如用以下命令:
“add nat static any 172.16.0.2 8080 any 10.0.0 .1 80”
則將對8080端口的訪問轉到80端口上。
當然,在過濾規則中還要增加允許訪問DMZ服務器的相應規則,如:
“add rule tcp any 172.16.0.2 80 external accept”
注意:在指定目的NAT規則時,端口一般不要設置爲“any”,而必須明確指定,否則外界就可能訪問到內部服務器開的一些危險端口從而取得服務器的控制權。如果只允許某些外部IP訪問DMZ服務器,NAT規則也應該按所述NAT規則形式設置,然後在過濾規則表中進行過濾處理,以免和下面的情況衝突。
● 如何配NAT規則使內網可以訪問DMZ上的Internet服務器?
要由內網訪問DMZ網,在NAT情況下由於發起方是內部機器,地址範圍可以確定,而DMZ服務器的地址往往是保留地址,因此需要修改數據包中的目的地址,因此稱爲目的NAT,配置NAT規則時需要改變目的地址,源地址不變,假設內部機器地址範圍爲:192.168.1.0/24,DMZ服務器IP爲172.16.0.2,防火牆DMZ網卡地址爲172.16.0.1如用以下命令:
“add nat static 192.168.1.0/24 172.16.0.2 80 192.168.1.0/24 172.16.0.1 80”
即可實現內網訪問DMZ區的WWW服務器,注意此規則中的倒數第二個參數可以使用防火牆的外網卡、DMZ網卡地址,但不要用內網卡地址,否則Java控制檯有可能不能連接防火牆,因爲這樣會使防火牆不能區分Java控制檯是要連接防火牆還是DMZ服務器。
如果端口不同,稱爲端口映射,如用以下命令:
“add nat static 192.168.1.0/24 172.16.0.2 8080 192.168.1.0/24 172.16.0.1 80”
則將對8080端口的訪問轉到80端口上。
當然,在過濾規則中還要增加允許訪問DMZ服務器的相應規則,如:
“add rule tcp 192.168.1.0/24 172.16.0.2 80 internal accept”
注意:此規則與問題14中的規則的差異在於源地址是有範圍的,而不是any,兩種情況下防火牆的處理是有較大差別的,在配置規則時必須注意。
● 由外網訪問內部服務器的NAT規則已經配置正確,爲什麼還不能訪問?
請檢查在過濾規則表中是否已經加入允許接受目的地址爲服務器內部地址,端口爲相關服務的規則;另外檢查安全選項中是否設置了“SYN”項,此項設置是禁止外部機器向內部機器連接,在向外提供服務的情況下需要刪除。
7. MAC/IP地址綁定配置
在網絡防火牆上,將擁有特殊權限的IP地址與其網卡的MAC地址進行綁定,即可有效地控制對IP地址的盜用。由於網卡的MAC地址具有唯一性,也就是說,即使惡意用戶盜用了其他用戶的IP地址,但由於其網卡的MAC地址與訪問列表並不相符,因此,仍然無法實現對其他網絡的訪問,自然也就無法享有合法用戶的特殊權益,從而保障網絡訪問安全。
(1)增加MAC/IP地址綁定項
若欲將MAC/IP綁定項添加到MAC/IP綁定表的最後,使用下述命令:
add mac MAC_addr IP_addr
其中,參數“MAC_addr”表示MAC地址,格式爲“xx:xx:xx:xx:xx:xx”。參數“IP_addr”表示IP地址,格式爲點分格式“xxx.xxx.xxx.xxx”,不帶“/xx”掩碼位。
例如,若欲在防火牆上綁定IP地址192.168.100.10和MAC地址00:11:22:33:44:55,則執行下述操作:
admin@NetST> add mac
Enter MAC address (xx:xx:xx:xx:xx:xx): 00:11:22:33:44:55
Enter IP address (xxx.xxx.xxx.xxx): 192.168.100.10
Add MAC-IP item success!
需要注意的是,以上操作只在系統數據庫裏增加MAC/IP綁定信息,若欲使MAC/IP綁定實際生效,還必須在安全選項“MAC/IP”中設置。
(2)顯示MAC/IP綁定項
若欲顯示已經綁定的MAC/IP綁定表,使用下述命令:
show mac [ number ]
參數“number”用於指定欲顯示的MAC/IP綁定項序號或序號範圍(用“-”分隔)。若指定序號,只顯示指定的MAC/IP綁定項;若不指定序號,則顯示所有MAC/IP綁定項信息。
例如,若欲顯示所有綁定的MAC/IP綁定表,可執行下述操作:
admin@NetST> show mac
No. MAC IP
1 00:11:22:33:44:11 192.168.100.10
2 00:11:22:33:44:22 192.168.100.20
3 00:11:22:33:44:33 192.168.100.30
4 00:11:22:33:44:44 192.168.100.40
(3)刪除MAC/IP綁定項
若欲刪除指定的MACIP綁定項,使用下述命令:
delete mac number/IP/MAC
可以使用序號、IP地址或MAC地址指定欲刪除的MAC/IP綁定項。
例如,若欲刪除對IP地址192.168.100.10的綁定,可執行下述操作:
admin@NetST> delete mac
Enter MAC or IP address or number: 192.168.100.10
It will delete MAC-IP item 192.168.100.10. Are you sure (y/n)? y
Delete MAC-IP item success!
(4)刪除全部MAC/IP綁定項
若欲刪除所有MAC/IP綁定項,使用下述命令:
delall mac
例如,若欲刪除所有MAC/IP地址綁定項,可執行下述操作:
admin@NetST> delall mac
It will delete all MAC-IP item. Are you sure (y/n)? y
Delete all MAC-IP item success!
admin@NetST> show mac
Error: No items!