解决方案 >> 技术博客

添加居易科技中国分公司微信公众账号

获取最新的居易产品更新,功能介绍,促销资讯

IP对象在IP过滤规则和防火墙中的应用

IP对象/IP组
您可以在这里定义一个IP地址组,例如您可以将同一个部门的PC设备定义在同一个组里,然后就可以将这个IP组应用在防火墙规则里了。这样做的好处是可以将一条防火墙规则应用于多个IP地址,以精减防火墙规则的数量,避免重复劳动。

服务类型对象/服务类型组
您可以在这里定义一个协议或端口组,然后将定义好的端口组应用于防火墙规则里。这样做可以将一组定义好的协议或端口应用在不同的规则里,以简化防火墙规则的设置。

内容安全管理
您可以在这里定义一个包括即时通讯软件、P2P软件和VoIP软件的禁用列表,然后将其应用于防火墙规则里。同样,一个禁用列表可以应用于多个防火墙规则,这样就可以大大简化防火墙规则的设置。

举例
下面,我们将举例说明这些功能。假设有一家公司,它有三个主要的部门,分别是研发部、销售部和技术支持部。公司的网络拓朴图如下:

 
公司的网络使用规则如下:
-  每个部门的部门经理和公司的网络管理员可以不受限制的访问Internet。
-  研发部的员工只能收发电子邮件。
-  销售部和技术支持部的员工可以浏览网页、收发电子邮件、使用MSN和Skype软件,除此之外的网络应用都将被禁止。
-  公司的网站和电子邮件服务器只允许特定的服务端口。

您可以将公司的所有PC定义为8个IP对象和4个IP组:

IP对象:
1. 研发部: 192.168.1.11 ~ 192.168.1.49
2. 销售部: 192.168.1.51 ~ 192.168.1.79
3. 技术支持部: 192.168.1.81 ~ 192.168.1.99
4. 服务器: 192.168.1.3 ~ 192.168.1.9
5. 研发部经理: 192.168.1.10
6. 销售部经理: 192.168.1.50
7. 技术支持部经理: 192.168.1.80
8. 公司网络管理员: 192.168.1.2
IP组:
1. 管理组: 包括4个IP对象(研发部经理、销售部经理、技术支持部经理和公司网络管理员)
2. 市场和技术支持组: 包括2个IP对象(销售部和技术支持部)
3. 研发组: 包括1个IP对象(研发部)
4. 服务器组: 包括1个IP对象(公司的服务器)

您可以定义9个服务类型和3个服务类型组:
服务类型对象:
1. 网页浏览: 源端口: 1024~65535, 目的端口: 80, TCP
2. 网页浏览https: 源端口: 1024~65535, 目的端口: 443, TCP
3. 接收电子邮件: 源端口: 1024~65535, 目的端口: 110, TCP
4. 发送电子邮件: 源端口: 1024~65535, 目的端口: 25, TCP
5. 公司用于发送电子邮件的邮件服务器: 源端口: 110, 目的端口: 1024~65535, TCP
6. 公司用于接收电子邮件的邮件服务器: 源端口: 25, 目的端口: 1024~65535, TCP
7. 网站服务器的http服务: 源端口: 80, 目的端口: 1024~65535, TCP
8. 网站服务器的https服务: 源端口: 443, 目的端口: 1024~65535, TCP
9. DNS服务: 源端口: 1024~65535, 目的端口: 53, UDP
服务类型组:
1. 网页和电子邮件通行许可: 包括以上的5个服务类型对象(1,2,3,4,9 ).
2. 研发通行许可: 包括以上的2个服务类型对象(3, 4)
3. 服务器通行许可: 包括以上的4个服务类型对象(5~8).

您可以定义2个内容安全管理组:
1. 研发和服务器组: 禁止使用所有的即时通讯软件、P2P软件和VoIP软件。
2. 销售和技术支持组: 只能使用MSN和Skype软件

请参照下面的步骤来设置您的路由器:

1. 设置IP对象
请在对象设置>> IP对象页面下分别建立8个IP对象。
 

a. 其中研发部的IP对象设置如下图所示,其它销售部、技术支持部和服务器IP对象的设置和它的设置相类似,这里不再赘述。

b. 研发部经理的IP对象的设置如下图所示,其它销售部经理、技术支持部经理和公司网络管理员的设置和它相类似,这里不再赘述。
 

2. 设置IP组
请在对象设置>> IP组页面下分别建立4个IP组。
 

a. 点击索引1并在名称里输入“管理组”。
   在接口里请选择“LAN”以列出可用的IP对象。
   根据规则选择适当的IP对象并添加在“已选IP对象”栏里。
    点击OK按钮以完成设置。
b. 请参照上一步骤设置其余的3个IP组:
   市场和技术支持组: 包括2个IP对象(销售部和技术支持部)
   研发组: 包括1个IP对象(研发部)
   服务器组: 包括1个IP对象(公司的服务器)

3. 设置服务类型对象
请在对象设置>> 服务类型对象页面下分别建立8个对象。


a. 请参照下图设置“网页浏览”服务:

   其余8个服务类型对象和以上设置相类似。

4. 设置服务类型组
请在对象设置>> 服务类型组页面下分别建立3个组。
 

a. 点击索引1并在名称里输入“网页和电子邮件通行许可”。
   在“可用服务类型对象”里根据规则选择适当的对象并添加在“已选服务类型对象”栏里。
 
b. 请参照上一步骤设置其余的2个服务类型组:
   研发通行许可: 包括以上的2个服务类型对象(3, 4)
   服务器通行许可: 包括以上的4个服务类型对象(5~8)

5. 设置内容安全管理组
请在对象设置>> 内容安全管理组页面下分别建立2个内容安全管理组。
 

a. 在“销售和技术支持组”里将禁止使用除了 MSN和Skype之外的软件。
 

b. 在“研发和服务器组”里将禁止使用所有的即时通讯软件、P2P软件和VoIP软件。
 

6. 设置IP过滤规则
请在过滤设置>> 编辑过滤规则页面下分别建立5条过滤规则。
 

a. 请参照下图设置“block all”规则,以阻挡掉那些不符合在“block all”规则之后所设置的过滤规则的从LAN口到WAN口的数据流。
 
b. 请参照下图设置“pass Admin”规则以允许“管理组”不受限制的访问Internet。
 

c. 请参照下图设置“pass M&S”规则以允许“市场和技术支持组”浏览网页、收发电子邮件Rule “pass M&S”.

 

d. 请参照下图设置“pass R&D”规则以允许研发部的员工只能收发电子邮件。

 
e. 请参照下图设置“pass Servers”规则以允许服务器网站和电子邮件服务器可以浏览网页、收发电子邮件。

 

使用对象/组功能您只需设置5条防火墙规则,此外,如果您公司的网络里需要增加PC设备时,您也不需要重新规则,而只需将其简单的将其加入它的所属组别即可。
 
比如销售部加入了一个新同事,他的IP地址为192.168.1.100,您只需简单的将其加入销售部的IP对象里即可。
点击次数: 7407