網絡防火墻變身路由防火墻

■

我們單位是一家規模不大的小型公司，有70余臺電腦，建有自己的網站，公司員工能夠通過單位接入的專線訪問互聯網。由于公司成本所限，一直使用著一臺簡易的低端路由器實現與互聯網的連接。由于其性能有限，吞吐能力較低，缺乏有效的網管手段，員工同時上網后，網速很慢。若有員工悄悄使用BT軟件下載電影之類的軟件，網絡立即就陷入了癱瘓狀態，極度地影響了辦公效率。一次偶然機會，我們從其它公司得到了一臺天融信網絡防火墻（NGWF4000）。這臺設備具備網絡控制功能和路由功能，能夠對內網計算機進行有效的安全防護。因此，我們決定就把它作為我們公司的網絡“交通警察”來使用了。公司網絡拓撲如圖1所示。

圖1 公司網絡拓撲

圖2 設定物理接口

因該防火墻為別人使用過的，使用前應清除掉原有的參數設置，重新進行定義。天融信防火墻的默認管理網口是eth0。默認管理地址是https://192.168.1.254。 默認用戶名為superman，密碼是talent。連好網線后，通過瀏覽器進入防火墻的管理界面。先恢復出廠設置（系統→恢復出廠→恢復配置），清除原先的配置，恢復默認狀態。

接下來，我們要對接入網絡的物理接口進行設置。這樣遠端的路由器或計算機就能通過IP地址找到我們的網絡了。進入網絡→物理接口，把eth1定義為與互聯網連接的接口，設定路由，添加接口的配置。定義eth1的IP地址為218.26.5.195，掩碼為255.255.255.0。把eth3定義為與內網連接的地址，eth3的IP地址設置為192.168.100.1，掩 碼 為255.255.255.0。把eth4定義為連接服務器的地址，eth4的IP地址設置為172.16.12.21。如圖2所示。

聯通公司給我們提供的上聯地址為218.26.5.193，這是路由默認下一條的地址，為使從內網能夠訪問到互聯網，需要設定一條默認靜態路由，接口須設定為與互聯網連接的接口eth1。這樣所有流出防火墻的數據包均會流向聯通公司的路由器，如圖3所示。

防火墻的路由設置不同于普通路由器，這時內外網還是不能互通的，還需要在防護墻上設定有關對象參數。接下來定義對象，通過設定地址對象來限定可以訪問互聯網的用戶，通過設定地址組來區分訪問互聯網用戶的類型，通過設定區域對象來區分不同功能區域計算機，這樣就把服務器（DMZ區）、普通辦公用區以及其他特定計算機區清晰的區分出來了，以方便對全網實施有效地網絡管理及特定安全防護策略，如圖4所示。

DMZ區域又稱武裝緩沖區，利用防火墻的多個網卡功能將這一區域與普通客戶機及外網進行了隔離?？蛻魴C及外網不能直接訪問服務器，病毒木馬也不可能直接攻擊到服務器，所有的訪問請求都要經過訪火墻的判別，符合規則的請求才可能傳遞到服務器。利用多個網卡(eth),可以將不同的服務器同樣進行隔離,即使服務器區一的某一個服務器中了毒或木馬，也不可能直接感染到服務器區二的主機。這臺天融信防火墻提供了6個網絡接口(從eth0-eth5)，我們可以充分利用這些接口來采取有效的隔離措施。防火墻處理的基本策略只有兩種：一是先全開放，再對相應的進行關閉；二是先全關閉，再有選擇的進行開放。通常的也是推薦的做法是先全關閉再開放。因此在定義區域的時候，應全部選禁止，然后在有關設置中有選擇的開放。

圖3 設定默認路由

圖4 設定主機對象

圖5 設置地址轉換

設定對象完成后，通過設定地址轉換，實現源地址和目的地址的轉換，這樣所有辦公用計算機和服務器訪問互聯網，將使用218.26.5.195的地址。如圖5所示。

因為要允許外網用戶訪問服務器，還需要對服務器進行目的地址的設定，實現目的地址的轉換。在源AREA中選外網口eth1，目的中選Web服務器，目的地址轉換為連接服務器的網口eth4，服務列表中選擇服務端口，如HTTP（TCP：80）等，從而實現目標地址的轉換。

因為前面定義區域時對訪問權限的設定均為禁止，所以還要在訪問控制中增加規則，對辦公用計算機、Web服務器等計算機設定訪問規則，開放有關權限，這樣內網計算機就可以訪問互聯網了。相應的，外網用戶也可以訪問公司的網站進行有關商務活動了。通過設定規則，就可以對出入網絡的用戶進行控制，如通過時間控制可以限定用戶訪問互聯網時間；通過流量控制可以防止用戶無限制的占用網絡帶寬資源；通過設置禁止訪問某些端口，可以有效防止各種病毒木馬的掃描式入侵等。這樣就能使網管人員方便有效地管理網絡，增強網絡的防護功能了。把這臺天融信防火墻作為公司內外網連接的路由器后，公司用戶訪問互聯網的就順暢多了。