防火墙应用指南(一)——基本配置指导思想

注:阅读本文前,请先详细阅读本文最后的红色部分的提示内容。

一 概要介绍

新上市的 TL-FR5300 防火墙产品,主要有两大功能特点:“攻击防护”和“策略”。

它还有其他很多功能,在这篇文档里,我们将侧重表述“策略”这一块,其他功能我们另有

专门的表述文档。当您在看这篇文档之前,我们希望您能够先了解一下 TL-FR5300 的《用户

手册》,对 TL-FR5300使用过程中涉及的诸多概念有一定的了解。

一般情况下用户购买了 TL-FR5300,将其置于本单位网络的出口处, 作为内部网络所

有主机登录互联网的网关设备,内网主机所有去往互联网的数据都需要流经 TL-FR5300,我

们对 TL-FR5300进行适当配置,就可以对内网主机的上网操作进行灵活的管理。

TL-FR5300 处于整个内部网络的出口,默认内部网络( LAN)和外部互联网( WAN)是

互通的,但建议将这一条默认策略删除。当内部网络中某一部分主机需要某上网权限时,网

络管理员只需要在 TL-FR5300上面给这一部分主机打开相应的上网权限,当内部网络另一部

分主机需要另外的上网权限时,管理员只需要在 TL-FR5300上打开另一部分上网权限即可。

这就是我们配置 TL-FR5300这款防火墙产品时候的基本指导思想——“有需求才开放”。

在使用 TL-FR5300 的过程中,为了顺利实施上面“有需求才开放”的思想, 我们极力

建议您的网络是经过规划的——特别是“ IP 地址”这一部分, 因为“ IP 地址”是互联网中每

台主机标示自己的唯一标志, TL-FR5300也是通过“ IP 地址”实现对主机权限的控制。具体

地说,网络里具备相同网络权限的主机应该从属于一个组,适应不同网络权限的主机从属于

不同的组,而我们在规划“ IP 地址”的时候,既要考虑现有各个组的规模,也要考虑到以后

网络的增长,不同网络权限的主机组使用不同的 IP 地址段,比如下面不同的组使用不同 IP

地址段:

管理团队: ~ 0(/27)

市场部门: 5 ~4(4/27)

销售部门: 29 ~58(28/27)

当配置 TL-FR5300 时给不同的 IP 地址段不同的网络权限,那么网络中某台主机使用

了什么 IP 地址就具备了什么网络权限,这就是网络经过规划的好处:

上班时间限制内部网络某台主机只能登录互联网某个网站服务器。

要实现上面的目的, 网络管理员通过设置 TL-FR5300 的“策略”,将上面这个想要实

现的目的体现出来就可以。 在这条“策略 / 规则”设置的过程当中, “内网某主机、互联网某

网站服务器、可以登录”这些都属于“策略 / 规则”的基本组成部分, “上班时间”属于“策

略/ 规则”的可选组成部分。

“策略”可分为基本组成部分和可选组成部分。 基本组成部分有: 信息流的方向、 信

息流的源地址、信息流的目的地址、禁止 / 允许通过。可选组成部分有:时间、安全认证、流

量控制、深层检测、日志等。

在 TL-FR5300里面将“策略”的组成部分称之为“对象”, 当需要设置一条“策略”

的时候,要考虑一下即将设置的“策略”都包含哪些“对象”? TL-FR5300 有专门用于定义

“对象”的配置界面,比如策略里面涉及“上班时间”,那么配置策略之前,要先在“对

象”- “时间表”里面将“上班时间”体现出来, 然后在“策略”配置过程中引用先设定好的

“上班时间”这个“对象”,那么