IP对象/IP组
您可以在这里定义一个IP地址组,例如您可以将同一个部门的PC设备定义在同一个组里,然后就可以将这个IP组应用在防火墙规则里了。这样做的好处是可以将一条防火墙规则应用于多个IP地址,以精减防火墙规则的数量,避免重复劳动。
服务类型对象/服务类型组
您可以在这里定义一个协议或端口组,然后将定义好的端口组应用于防火墙规则里。这样做可以将一组定义好的协议或端口应用在不同的规则里,以简化防火墙规则的设置。
内容安全管理
您可以在这里定义一个包括即时通讯软件、P2P软件和VoIP软件的禁用列表,然后将其应用于防火墙规则里。同样,一个禁用列表可以应用于多个防火墙规则,这样就可以大大简化防火墙规则的设置。
举例
下面,我们将举例说明这些功能。假设有一家公司,它有三个主要的部门,分别是研发部、销售部和技术支持部。公司的网络拓朴图如下:
公司的网络使用规则如下:
- 每个部门的部门经理和公司的网络管理员可以不受限制的访问Internet。
- 研发部的员工只能收发电子邮件。
- 销售部和技术支持部的员工可以浏览网页、收发电子邮件、使用MSN和Skype软件,除此之外的网络应用都将被禁止。
- 公司的网站和电子邮件服务器只允许特定的服务端口。
您可以将公司的所有PC定义为8个IP对象和4个IP组:
IP对象:
1. 研发部: 192.168.1.11 ~ 192.168.1.49
2. 销售部: 192.168.1.51 ~ 192.168.1.79
3. 技术支持部: 192.168.1.81 ~ 192.168.1.99
4. 服务器: 192.168.1.3 ~ 192.168.1.9
5. 研发部经理: 192.168.1.10
6. 销售部经理: 192.168.1.50
7. 技术支持部经理: 192.168.1.80
8. 公司网络管理员: 192.168.1.2
IP组:
1. 管理组: 包括4个IP对象(研发部经理、销售部经理、技术支持部经理和公司网络管理员)
2. 市场和技术支持组: 包括2个IP对象(销售部和技术支持部)
3. 研发组: 包括1个IP对象(研发部)
4. 服务器组: 包括1个IP对象(公司的服务器)
您可以定义9个服务类型和3个服务类型组:
服务类型对象:
1. 网页浏览: 源端口: 1024~65535, 目的端口: 80, TCP
2. 网页浏览https: 源端口: 1024~65535, 目的端口: 443, TCP
3. 接收电子邮件: 源端口: 1024~65535, 目的端口: 110, TCP
4. 发送电子邮件: 源端口: 1024~65535, 目的端口: 25, TCP
5. 公司用于发送电子邮件的邮件服务器: 源端口: 110, 目的端口: 1024~65535, TCP
6. 公司用于接收电子邮件的邮件服务器: 源端口: 25, 目的端口: 1024~65535, TCP
7. 网站服务器的http服务: 源端口: 80, 目的端口: 1024~65535, TCP
8. 网站服务器的https服务: 源端口: 443, 目的端口: 1024~65535, TCP
9. DNS服务: 源端口: 1024~65535, 目的端口: 53, UDP
服务类型组:
1. 网页和电子邮件通行许可: 包括以上的5个服务类型对象(1,2,3,4,9 ).
2. 研发通行许可: 包括以上的2个服务类型对象(3, 4)
3. 服务器通行许可: 包括以上的4个服务类型对象(5~8).
您可以定义2个内容安全管理组:
1. 研发和服务器组: 禁止使用所有的即时通讯软件、P2P软件和VoIP软件。
2. 销售和技术支持组: 只能使用MSN和Skype软件
请参照下面的步骤来设置您的路由器:
1. 设置IP对象
请在对象设置>> IP对象页面下分别建立8个IP对象。
a. 其中研发部的IP对象设置如下图所示,其它销售部、技术支持部和服务器IP对象的设置和它的设置相类似,这里不再赘述。
b. 研发部经理的IP对象的设置如下图所示,其它销售部经理、技术支持部经理和公司网络管理员的设置和它相类似,这里不再赘述。
2. 设置IP组
请在对象设置>> IP组页面下分别建立4个IP组。
a. 点击索引1并在名称里输入“管理组”。
在接口里请选择“LAN”以列出可用的IP对象。
根据规则选择适当的IP对象并添加在“已选IP对象”栏里。
点击OK按钮以完成设置。
b. 请参照上一步骤设置其余的3个IP组:
市场和技术支持组: 包括2个IP对象(销售部和技术支持部)
研发组: 包括1个IP对象(研发部)
服务器组: 包括1个IP对象(公司的服务器)
3. 设置服务类型对象
请在对象设置>> 服务类型对象页面下分别建立8个对象。
a. 请参照下图设置“网页浏览”服务:
其余8个服务类型对象和以上设置相类似。
4. 设置服务类型组
请在对象设置>> 服务类型组页面下分别建立3个组。
a. 点击索引1并在名称里输入“网页和电子邮件通行许可”。
在“可用服务类型对象”里根据规则选择适当的对象并添加在“已选服务类型对象”栏里。
b. 请参照上一步骤设置其余的2个服务类型组:
研发通行许可: 包括以上的2个服务类型对象(3, 4)
服务器通行许可: 包括以上的4个服务类型对象(5~8)
5. 设置内容安全管理组
请在对象设置>> 内容安全管理组页面下分别建立2个内容安全管理组。
a. 在“销售和技术支持组”里将禁止使用除了 MSN和Skype之外的软件。
b. 在“研发和服务器组”里将禁止使用所有的即时通讯软件、P2P软件和VoIP软件。
6. 设置IP过滤规则
请在过滤设置>> 编辑过滤规则页面下分别建立5条过滤规则。
a. 请参照下图设置“block all”规则,以阻挡掉那些不符合在“block all”规则之后所设置的过滤规则的从LAN口到WAN口的数据流。
b. 请参照下图设置“pass Admin”规则以允许“管理组”不受限制的访问Internet。
c. 请参照下图设置“pass M&S”规则以允许“市场和技术支持组”浏览网页、收发电子邮件Rule “pass M&S”.
d. 请参照下图设置“pass R&D”规则以允许研发部的员工只能收发电子邮件。
e. 请参照下图设置“pass Servers”规则以允许服务器网站和电子邮件服务器可以浏览网页、收发电子邮件。
使用对象/组功能您只需设置5条防火墙规则,此外,如果您公司的网络里需要增加PC设备时,您也不需要重新规则,而只需将其简单的将其加入它的所属组别即可。
比如销售部加入了一个新同事,他的IP地址为192.168.1.100,您只需简单的将其加入销售部的IP对象里即可。