灵活配置 发挥防火墙效能

引言：一般情况下将防火墙安装到网络中后，对于其防护策略等功能只是采用其默认配置，虽然这可以满足一般的使用需要，不过这其实并没有发挥出防火墙的潜力。因此，就需要根据网络的实际需求，对防火墙进行灵活的配置，充分发挥其功能。

为了提高网络安全性，很多单位都使用了硬件防火墙来防护黑客入侵。但一般情况下将防火墙安装到网络中后，对于其防护策略等功能只是采用其默认配置，并没有发挥出防火墙的潜力。因此，需要根据网络的实际需求，对防火墙进行灵活的配置，充分发挥其功能。这里以常用的某款HillStone防火墙为例从不同方面介绍。

使用策略阻断特定服务

出于安全性考虑，有时希望对内网主机进行合理的控制，禁止其访问某些服务。因为阻断服务是和应用特征库紧密相关的，所以需要对其进行及时更新。登录到防火墙管理界面，在左侧点击“网络”、“网络连接”项，在右侧点击“DNS列表”项，在打开窗口中确保域名服务器处于可用状态，否则点击“新建”按钮，添加合适的DNS服务器。在左侧点击“主页”项，在右侧的“应用特征库”的右侧点击“升级”进行升级。

图1 URL过滤规则配置

这里需要禁止IP为192.168.1.100的主机执行P2P下载服务，所以在右上角点击菜单“对象用户”、“地址簿”项，在地址簿中点击“新建”按钮，输入其名称（例如“zhuji100”），输入其地址192.168.1.100，掩码为32位，点击“添加”按钮，为其添加地址簿项目。点击菜单“对象用户”、“服务簿”项，在打开窗口左侧选择“预定义应 用”、“网 络软件”项，显示常用的网络软件类型，这里选 择“P2P软件”项，在列表中选择大量的P2P类型的软件。在主界面左侧选择“安全”、“策略”项，新建一条策略，在“源安全域”列表中选择“trust”项，在“目的安全域”列表中选择“untrust”项，在“源地址”列表中选择“zhuji100”项，在“服务薄”列表中选择“P2P软件”，选择“拒绝”项，点击“确定”按钮保存配置。

URL过滤功能配置

在实际的网络管理中，有时需要对内网用户访问的网页地址进行控制，防止因访问恶意网站导致的安全风险。HillStone防火墙可实现基于URL库类别和黑白名单类别的过滤机制。如图1，在防火墙管理界面左侧选择“控制”、“URL过滤”项，在右侧点击“预定义URL库”项，在打开窗口中点击“在线升级”按钮来升级该库。在URL过滤界面中点击“新建”按钮，在URL过滤规则配置窗口中输入其名称（例如“urlgl”），在“目的安全域”列表中选择“untrust”项，在URL类别列表中预设了大量的网站类别。

例如在“门户网站与搜索引擎”类别中选择“阻止访问”和“记录日志”项，这样可以封锁针对该类网站的访问。点击确定按钮保存配置。当然，如果想单独放行禁止范围中的某个网站，可以在URL过滤界面右侧点击“自定义URL库”项，点击“新建”按钮，输入需要放行类别名称（例如“fangxing”）和具体的网站，点击“添加”按钮，将其添加进来。这样，选择上述禁用的URL项目，在其编辑窗口中的URL即可显示上述自定义的网站类别，而且自定义类别网站是优先放行的。

在管理界面左侧选择“控制”、“应用行为控制”项，在右侧点击“新建”项，在应用行为控制规则配置窗口中输入其名称（例如“mingdan”），在“目的安全域”列表中选择“untrust”项，打开“HTTP控制”面板，在“GET”栏右侧输入允许访问的网站，控制行为选择“允许”项，点击“添加”按钮。同理，可以添加多个许可访问的网站。对应的，添加一个内容为空的，控制类型为“阻止”的条目。这样，就实现可黑白名单控制功能，即只允许规定的网站可以访问，其余的将被拒绝。比较两种URL控制机制，可以看出对于前者来说，域名必须是确定和明确的，而后者可以采用正则表达式来实现模糊匹配。

探测NAT地址有效性

对于内网用户来说，因为单位拥有的外网地址是有限的，因此就需要利用多对一等NAT映射机制来正常访问外网。如单位获得公网地址为xxx.x.x.x/29，实际上就拥有5个可用的公网IP。除xxx.x.x..1作为网关使用外，还有xxx.x.x..2到xxx.x.x..5地址范围可供NAT转换之用。但实际的网络管理可能会出现可用公网IP被占用或阻断等情况，导致内网用户无法上网。

因为当某内网主机通过NAT机制使用某个公网IP上网后，会一直使用该IP访问外网，如果该IP被阻断，该内网主机自然无法访问外网。利用防火墙提供的Track功能可以对SNAT转换地址进行探测，即通过对指定外网目标进行探测监控，如果发现某个IP不可用，则进行NAT转换时就不使用该IP。当然，如果受阻断的IP恢复到可用状态，防火墙的Track机制同样可以检测到，可以恢复其正常转换功能。

在防火墙管理界面右侧点击菜单“对象用户”、“地址簿”项，在地址簿窗口中点击“新建”按钮，在配置地址簿窗口中输入其名称（例如“dzc”），设置其地址范围从xxx.x.x..2到xxx.x.x..5。为了实现动态监控，点击右上角的菜单“对象用户”、“监测对象”项，点击“新建”按钮。在监测对象配置窗口中点击“添加”、“HTTP”项，在打开面板中设置其名称（例如“tance”），警戒值为 255，检测类型选择“HTTP Ping ARP DNS TCP”，点击“添加”按钮，输入IP/主机名，权值设置为255，重试次数设置为3，发送报文间隔设置为30秒，设置合适的发送和接收报文接口（例如Ethernet 0/2），其余设置保持默认，点击确定按钮保存配置。

在管理界面左侧选择“网络”、“NAT”项，在右侧的“源NAT”面板中选择默认的NAT映射项目，点击“编辑”按钮，在源NAT配置窗口（如图2）中的“转换为”选择“指定IP”项，在“地址条目”列表中选择“dzc”项，在“模式”栏中选择“动态端口”项。在“Track”栏中选择“启用”项，并选择上述动态监测项目，点击确定按钮，就启用了Track功能。这样，防火墙就可以对目标网站进行动态监测，如发现某个公网IP处于不可用状态，就分配别的可用IP用来实现NAT转换，保证内网主机可以正常上网。

实现P2P引流

有些单位为缓解上网压力，会安装两条上网链路，由不同的运行商提供服务。例如防火墙的Ethernet 0/1口连接上网链路1，Ethernet 0/2口连接上网链路2。但在内网中会有一些用户使用基于P2P技术的软件来下载数据，其在运行时会随机占用两条上网链路。为了其他业务流量的正常上网，最好将P2P下载指定专门的链路，例如链路2的带宽较大，供正常的业务流量使用，链路1带宽较小，供P2P下载之用。

图2 源NAT配置窗口

在防火墙管理界面首先为这两个接口分别设置NAT和默认路由，使其可以正常使用。在左侧点击“网络”、“路由”项，在右侧点击菜单“新建”、“策略路由”项，在策略路由配置窗口中的“基本”面板中输入其名称（例如“branch”），选择“设置下一跳”项，在“IP地址”栏中输入线路1提供的网关IP，在“绑定到”列表中选择内网接口（例 如“Ethernet 0/0”）。在“源地址”面板中选择“IP地址”项，输入内网的IP范围，例如IP为192.168.1.0，网络掩码为24。点击“添加”按钮，将其添加进来。

在“目的地址”面板中选择“地址条目”项，在“地址条目”列表中选择“Any”项，点击“添加”按钮。在“服务”面板左侧选择“典型配置”、“引流组”项，在其中包含了大量使用P2P技术的软件。点击“增加”按钮，将其添加进来。点击确定按钮，添加该策略路由项目。这样，内网中的所有P2P流量就只能使用线路1传输数据。

防止用户随意更改地址

有些内网用户为了摆脱限制，会采用私自更改IP来避开管理员的监管，这给网络管理带来了隐患。使用防火墙提供的IP-MAC绑定功能，可以有效解决该问题。在防火墙管理界面左侧选择“安全”、“ARP防护”项，在右侧点击“新建”按钮，在添加IP-MAC绑定窗口中输入目标MAC和 IP，选择“IP-MAC绑定”项，点击确定按钮将其绑定。也可以点击菜单“绑定配置”、“扫描添加IP-MAC绑定”项，设置起始和结束IP，对内网主机进行扫描，来获取MAC和IP的对应关系。

实际上，当内网主机通过防火墙上网时，其IP和MAC信息会自动显 示。 双击选定的IP和MAC关联项目，选择“ARP认证”和“IPMAC绑定”项，即可将其绑定起来。如果点击菜单“绑定配置”、“所有所有配置”项，可以将所有的IP和MAC均绑定起来。当然，对于外网接口则无需绑定。注意，为了进一步提高安全性，在防火墙管理界面左侧选择“网络”、“网络连接”项，在右侧双击内网接口（例如“Ethernet 0/0”），在接口配置中的“属性”面板中的“ARP学习”栏中取消“启动”功能。这样即使内网用户修改了IP，也是无法正常上网的。

实际上，上述方法还可以和DHCP关联，为内网用户设置固定的IP。在网络连接界面右侧点击“DHCP列表”项，在DHCP列表中双击和内网接口相关的DHCP服务项，在打开窗口中的“地址绑定”面板中输入对应的IP和MAC地址，点击“添加”按钮添加到列表中。之后将其选中即可。同理可以添加多个IP和MAC的绑定关系。这样，当拥有该MAC地址的客户端使用地址自动分配功能后，就可以得到指定的IP。