海蜘蛛防火墙ACL安全配置详解
[size=10.5pt][font=宋体]前几天我向几个在小型企业做网管的朋友推荐使用海蜘蛛路由系统.[/font][/size][size=10.5pt][/size][size=10.5pt][font=宋体]结果都向我问到一个问题.[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]防火墙该如何配置才安全,比如只让某些人通过Outlook收发邮件,但不允许打开网页.[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]或者公司只允许打开几个网站,等等……[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]该如何做呢?[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]在这里我把我的配置向大家展示下,希望起到一个穿针引线的作用.让更多的新手能够学会如何安全的配置防火墙.[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]首先,我局域网站IP地址为100.8.0.0/22 (也就是100.8.0.1--100.8.3.254),在 [[/font][/size][size=10.5pt][font=宋体]转发 (Forward)] [/font][/size][size=10.5pt][font=宋体]加了一条规则,禁止所有数据包通过(如图1)[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size][attach]64394[/attach]
[size=10.5pt][font=宋体]图1[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]注意,这条规则永远都放在最后,不然,所有客户端机器都无法上网。[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]再根据具体需要,在添加相应规则,此处举几个常见例子。[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]如现在只想局域网内计算机访问某一个网站(像企业网站或政府网站)[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]这里举例网内所有计算机都允许访问 Yahoo.com.cn 202.43.216.251[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]规则如图2[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size][attach]64395[/attach]
[size=10.5pt][font=宋体]图2[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]注意,上图规则在目的端口这里只有80,另外,Yahoo也许不止这一个IP,有待自己去查了,哈 。:^ 事实上这样,并不能访问形如 xxx.com等网站,这是我在示范时的大意,应该为 53,80 才对,53为DNS解析的端口,当然,要是直接使用IP来访问网站,不开53端口也是可以的,想到了更多的应用了吗?[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]再如现在只想让局域网内三台计算机允许使用Outlook收发电邮。[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]如图3[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size][attach]64396[/attach]
[size=10.5pt][font=宋体]图3[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]上次的规则是允许 100.8.0.54--100.8.0.56这几个IP的计算机通过POP和SMTP方式来收发邮件,本来只开53,25,110就可以了的,但考虑到也有些需要用到465和995端口(像Gmail),索性在这里就加上去了。[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]如只想某人访问网站进行一些工作,像网站银行等等。。。[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]规则可以如图4[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size][attach]64397[/attach]
[size=10.5pt][font=宋体]图4[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]上图,只允许100.8.0.210这个IP的计算机访问网站,因为很多像网站银行等都需要HTTPS安全连接,而且有些为了安全,还使用了8080端口,大家在实际使用时需要根据情况灵活设置了。[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]Waylon[/size]
[[i] 本帖最后由 waylon 于 2007-12-26 17:06 编辑 [/i]] :loveliness: ACL,厉害啊。。。。CISCO都用到这里了。。。。 太好了;可以再多些使用范例。帮助新手、谢谢楼主! 其实只要多了解一些端口的知识,再加上IP地址管理,那样,你自己也会有很多应用的. 鼓励一下,不过下次做教程,把图片搞的大点,这次的图片太小,大家看着比较累眼睛。:lol [quote]原帖由 [i]北斗[/i] 于 2007-12-29 09:51 发表 [url=http://bbs.bitscn.com/redirect.php?goto=findpost&pid=1313525&ptid=149850][img]http://bbs.bitscn.com/images/common/back.gif[/img][/url]
鼓励一下,不过下次做教程,把图片搞的大点,这次的图片太小,大家看着比较累眼睛。:lol [/quote]
这不为网盟着想嘛,想着大了占空间撒. :lol 看了下,马上就用上了 [quote]原帖由 [i]ebluesoft[/i] 于 2007-12-29 12:20 发表 [url=http://bbs.bitscn.com/redirect.php?goto=findpost&pid=1314066&ptid=149850][img]http://bbs.bitscn.com/images/common/back.gif[/img][/url]
:lol 看了下,马上就用上了 [/quote]
是不是呀,这么好~~!
用上就好. 新年快乐顶一下 晕倒了~~~用放大镜看 都看不清楚!:lol [quote]原帖由 [i]xblang[/i] 于 2007-12-26 17:50 发表 [url=http://bbs.bitscn.com/redirect.php?goto=findpost&pid=1306193&ptid=149850][img]http://bbs.bitscn.com/images/common/back.gif[/img][/url]
:loveliness: ACL,厉害啊。。。。CISCO都用到这里了。。。。 [/quote]
:L: ,ACL是访问控制列表~~~不是CISCO独有的~~~ 这个正是我想要的,要是能更全面的整理一个帖子就更好了。强烈支持楼主
页:
[1]