网络通信 频道

目标中小企业,清华同方VPN100

  防火墙功能介绍

  防火墙功能包括“外来访问”、“包过滤”、“防火墙规则”、“入侵检测”和“接入控制”。

外来访问-服务管理界面

  TF-VPN100默认允许从LAN界面和拨入界面进行管理,如果用户希望通过互联网对设备做远程管理,那么需要勾选互联网接口中的Telnet或者Web。VPN100默认不响应PING,如果用户需要则需要勾选接受回应要求(外来Ping)。VPN100默认使用HTTP进行管理配置,如果用户需要使用HTTPS需要通过Web服务器页面进行相应的设置。

包过滤-服务组设置界面

  VPN100默认的防火墙策略为所有从LAN/VPN/Dial-In进入防火墙的数据,可以从任何接口出去,但所有从WAN进入防火墙的数据,不管去往那个接口,防火墙默认都会丢弃该数据。用户可以配置防火墙来控制网络流量,如基于源地址、目的地址、数据进入/出去的网络端口和应用服务等,用户可以配置防火墙的NAT(网络地址转换),如源地址NAT\目的地址NAT\1 to 1NAT。

防火墙规则配置界面

  VPN100已经预设了防火墙规则,用户可以根据自己的需要增删防火墙规则。不过增删防火墙规则需要通过iptables进行(有兴趣的用户可以浏览:http://www.netfilter.org/documentation)。

  这里我们罗列部分配置示例:

  • 关闭所有服务:
    iptables –A Filter –j DROP

  • 禁止某个MAC地址的某个端口服务:
    iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 8000 -j DROP

  • 禁止某个IP地址服务:
    iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP

  • 禁止某个IP地址的PING:
    iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

  • 将WAN口NAT到PC:

  • iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1

  • 禁用QQ防火墙配置:
    iptables -A Filter -p udp --dport ! 53 -j DROP
    iptables -A Filter -p tcp -d 218.17.209.0/24 -j DROP
    iptables -A Filter -p tcp -d 218.18.95.0/24 -j DROP

  • 只允许某些服务,其他都拒绝:
    iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT iptables -A Filter -j DROP

  • 禁止某个MAC地址访问internet:
    iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP

  • 拒绝某个地址多个端口服务:
    iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT

  • 拒绝某段时间上网:
    iptables -A Filter -s 10.10.10.253 -m time --timestart 6:00 --timestop 11:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP

  这个部分的功能,厂商完全可以通过更加人性化的交互界面提供给用户。我们希望清华同方的下一代产品可以改进这个方面的配置功能。

入侵检测配置界面

  检测以及堵截入侵(IDB)能伪装对外提供一系列的服务和监视入侵。当服务被入侵时,会在日志中进行记录,并且将而连线截断。网络扫描通常是入侵的前奏,用户可以选择堵截所有曾扫描过指定端口的入侵主机。

  VPN100提供了三种预设值:基本、标准、严格。点击“基本”按钮可以设置一些基本端口,这样可以防止多种入侵;“标准”设置包括更多的端口,可以侦测更多的入侵。“严格”设置则包括了几乎所有端口,可以监察几乎所有入侵动作。为了降低防止伪报的次数,建议用户适当放宽触发次数。

接入控制-内容设置界面


  VPN100提供的接入控制功能可以帮助网管有效的控制局域网内用户的访问互联网的动作。VPN100可以根据IP地址、URL、内容来限制局域网内用户,不过内容过滤服务和ZoneAlarm服务都需要用户另外购买。

0
相关文章