防火墙功能
清华同方TF-VPN500集成功能较为全面的全状态检测防火墙。
|
TF-VPN500支持Telnet、SSH、Web和SSL Web等多种服务,默认状态下其LAN端口的Telnet和Web服务均是开启的。这款设备还支持远程web登陆,并且支持SSL加密。
管理员可以对于需要约束的地址和服务制定一定的规则,TF-VPN500根据这个规则来决定接受、拒绝或者放弃数据包。在NAT界面中可以制定不同的端口转发规则。
Connection Tracking功能模块主要提供了两个功能。首先,它进一步补充了包过滤规则,可以允许相关连接透过防火墙。比如,当启用File transfer protocol选项之后,FTP数据将能自动的透过防火墙。另外,如果不启用这个选项,那么FTP数据也将无法穿透NAT。
VPN500已经预设了防火墙规则,用户可以根据自己的需要增删防火墙规则。不过增删防火墙规则需要通过iptables进行(有兴趣的用户可以浏览:http://www.netfilter.org/documentation),需要用户具有一定的专业知识。
这里我们罗列部分配置示例:
-
关闭所有服务:
iptables –A Filter –j DROP -
禁止某个MAC地址的某个端口服务:
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 8000 -j DROP -
禁止某个IP地址服务:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP -
禁止某个IP地址的PING:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP -
将WAN口NAT到PC:
-
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
-
禁用QQ防火墙配置:
iptables -A Filter -p udp --dport ! 53 -j DROP
iptables -A Filter -p tcp -d 218.17.209.0/24 -j DROP
iptables -A Filter -p tcp -d 218.18.95.0/24 -j DROP -
只允许某些服务,其他都拒绝:
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT iptables -A Filter -j DROP -
禁止某个MAC地址访问internet:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP -
拒绝某个地址多个端口服务:
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT -
拒绝某段时间上网:
iptables -A Filter -s 10.10.10.253 -m time --timestart 6:00 --timestop 11:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
UPnP网关功能允许自持UPnP功能的应用程序和操作系统按照需要建立端口转发规则,它可以让一些位于NAT防火墙之后的原本无法正常工作的程序正常运行。这个功能对于安全具有一定的威胁,如果你在寻求最大化安全,那么应该关闭这个选项。
检测以及堵截入侵(IDB)能伪装对外提供一系列的服务和监视入侵。当服务被入侵时,会在日志中进行记录,并且将而连线截断。网络扫描通常是入侵的前奏,用户可以选择堵截所有曾扫描过指定端口的入侵主机。
VPN500提供了三种预设值:基本、标准、严格。点击“基本”按钮可以设置一些基本端口,这样可以防止多种入侵;“标准”设置包括更多的端口,可以侦测更多的入侵。“严格”设置则包括了几乎所有端口,可以监察几乎所有入侵动作。为了降低防止伪报的次数,建议用户适当放宽触发次数。