■

我們單位是一家規(guī)模不大的小型公司，有70余臺電腦，建有自己的網站，公司員工能夠通過單位接入的專線訪問互聯(lián)網。由于公司成本所限，一直使用著一臺簡易的低端路由器實現(xiàn)與互聯(lián)網的連接。由于其性能有限，吞吐能力較低，缺乏有效的網管手段，員工同時上網后，網速很慢。若有員工悄悄使用BT軟件下載電影之類的軟件，網絡立即就陷入了癱瘓狀態(tài)，極度地影響了辦公效率。一次偶然機會，我們從其它公司得到了一臺天融信網絡防火墻（NGWF4000）。這臺設備具備網絡控制功能和路由功能，能夠對內網計算機進行有效的安全防護。因此，我們決定就把它作為我們公司的網絡“交通警察”來使用了。公司網絡拓撲如圖1所示。

圖1 公司網絡拓撲

圖2 設定物理接口

因該防火墻為別人使用過的，使用前應清除掉原有的參數(shù)設置，重新進行定義。天融信防火墻的默認管理網口是eth0。默認管理地址是https://192.168.1.254。 默認用戶名為superman，密碼是talent。連好網線后，通過瀏覽器進入防火墻的管理界面。先恢復出廠設置（系統(tǒng)→恢復出廠→恢復配置），清除原先的配置，恢復默認狀態(tài)。

接下來，我們要對接入網絡的物理接口進行設置。這樣遠端的路由器或計算機就能通過IP地址找到我們的網絡了。進入網絡→物理接口，把eth1定義為與互聯(lián)網連接的接口，設定路由，添加接口的配置。定義eth1的IP地址為218.26.5.195，掩碼為255.255.255.0。把eth3定義為與內網連接的地址，eth3的IP地址設置為192.168.100.1，掩 碼 為255.255.255.0。把eth4定義為連接服務器的地址，eth4的IP地址設置為172.16.12.21。如圖2所示。

聯(lián)通公司給我們提供的上聯(lián)地址為218.26.5.193，這是路由默認下一條的地址，為使從內網能夠訪問到互聯(lián)網，需要設定一條默認靜態(tài)路由，接口須設定為與互聯(lián)網連接的接口eth1。這樣所有流出防火墻的數(shù)據包均會流向聯(lián)通公司的路由器，如圖3所示。

防火墻的路由設置不同于普通路由器，這時內外網還是不能互通的，還需要在防護墻上設定有關對象參數(shù)。接下來定義對象，通過設定地址對象來限定可以訪問互聯(lián)網的用戶，通過設定地址組來區(qū)分訪問互聯(lián)網用戶的類型，通過設定區(qū)域對象來區(qū)分不同功能區(qū)域計算機，這樣就把服務器（DMZ區(qū)）、普通辦公用區(qū)以及其他特定計算機區(qū)清晰的區(qū)分出來了，以方便對全網實施有效地網絡管理及特定安全防護策略，如圖4所示。

DMZ區(qū)域又稱武裝緩沖區(qū)，利用防火墻的多個網卡功能將這一區(qū)域與普通客戶機及外網進行了隔離?？蛻魴C及外網不能直接訪問服務器，病毒木馬也不可能直接攻擊到服務器，所有的訪問請求都要經過訪火墻的判別，符合規(guī)則的請求才可能傳遞到服務器。利用多個網卡(eth),可以將不同的服務器同樣進行隔離,即使服務器區(qū)一的某一個服務器中了毒或木馬，也不可能直接感染到服務器區(qū)二的主機。這臺天融信防火墻提供了6個網絡接口(從eth0-eth5)，我們可以充分利用這些接口來采取有效的隔離措施。防火墻處理的基本策略只有兩種：一是先全開放，再對相應的進行關閉；二是先全關閉，再有選擇的進行開放。通常的也是推薦的做法是先全關閉再開放。因此在定義區(qū)域的時候，應全部選禁止，然后在有關設置中有選擇的開放。

圖3 設定默認路由

圖4 設定主機對象

圖5 設置地址轉換

設定對象完成后，通過設定地址轉換，實現(xiàn)源地址和目的地址的轉換，這樣所有辦公用計算機和服務器訪問互聯(lián)網，將使用218.26.5.195的地址。如圖5所示。

因為要允許外網用戶訪問服務器，還需要對服務器進行目的地址的設定，實現(xiàn)目的地址的轉換。在源AREA中選外網口eth1，目的中選Web服務器，目的地址轉換為連接服務器的網口eth4，服務列表中選擇服務端口，如HTTP（TCP：80）等，從而實現(xiàn)目標地址的轉換。

因為前面定義區(qū)域時對訪問權限的設定均為禁止，所以還要在訪問控制中增加規(guī)則，對辦公用計算機、Web服務器等計算機設定訪問規(guī)則，開放有關權限，這樣內網計算機就可以訪問互聯(lián)網了。相應的，外網用戶也可以訪問公司的網站進行有關商務活動了。通過設定規(guī)則，就可以對出入網絡的用戶進行控制，如通過時間控制可以限定用戶訪問互聯(lián)網時間；通過流量控制可以防止用戶無限制的占用網絡帶寬資源；通過設置禁止訪問某些端口，可以有效防止各種病毒木馬的掃描式入侵等。這樣就能使網管人員方便有效地管理網絡，增強網絡的防護功能了。把這臺天融信防火墻作為公司內外網連接的路由器后，公司用戶訪問互聯(lián)網的就順暢多了。