安联防火墙 /VPN 网关软件防火墙功能评估指南

1 北京天创安联科技有限公司北京天创安联科技有限公司 2002-2004 2002-2004 版权所有版权所有

北京天创安联科技有限公司北京天创安联科技有限公司

安联防火墙安联防火墙 /VPN/VPN 网关软件网关软件防火墙功能评估指南防火墙功能评估指南

http://www.constic.comhttp://www.constic.com

[email protected]@constic.com

20042004 年年 33 月月 66 日日

2 北京天创安联科技有限公司北京天创安联科技有限公司 20022002 年版权所有年版权所有

内容提要内容提要

本文对安联防火墙本文对安联防火墙 /VPN/VPN 网关软件所实现的主要防火墙功能进行了全面介网关软件所实现的主要防火墙功能进行了全面介绍，并提供了大量的配置案例，为用户快速、准确评估产品所包含的各项防绍，并提供了大量的配置案例，为用户快速、准确评估产品所包含的各项防火墙功能提供了明确指导；同时，本文也可以作为产品的使用教程，使用户火墙功能提供了明确指导；同时，本文也可以作为产品的使用教程，使用户能够迅速掌握产品在防火墙功能方面的使用、配置方法。能够迅速掌握产品在防火墙功能方面的使用、配置方法。


目录目录

安装安联防火墙安装安联防火墙

防火墙系统配置防火墙系统配置

防火墙管理窗口防火墙管理窗口

实现实现ADSLADSL接入接入

防火墙安全规则防火墙安全规则

常用规则示例常用规则示例

地址地址//端口映射端口映射

动态规则动态规则

事件的记录与审计事件的记录与审计

带宽管理带宽管理

实时监控实时监控


安装安联防火墙安装安联防火墙准备工作准备工作安装步骤安装步骤安联防火墙程序组安联防火墙程序组启动防火墙启动防火墙


准备工作准备工作对主机的要求：对主机的要求：11 、、 100M100M 硬盘空间、硬盘空间、 128M128M 以上系统内存、至少具有一个以上的网络接口设备（网卡或以上系统内存、至少具有一个以上的网络接口设备（网卡或 ModemModem ））22 、已安装、已安装 Windows 2K/2003/XPWindows 2K/2003/XP 操作系统操作系统22 、如安装了网络监视器，请务必使用、如安装了网络监视器，请务必使用 WindowWindow 组件导向删除组件导向删除“网络监视器工具”“网络监视器工具”组件组件33 、如系统中运行了、如系统中运行了““ Routing and Remote Access”Routing and Remote Access” 服务，请停止并将该服务设为禁用状态服务，请停止并将该服务设为禁用状态44 、如希望使用安联防火墙中的、如希望使用安联防火墙中的 VPNVPN 功能，请将系统中的功能，请将系统中的““ IPSec Policy Agent”IPSec Policy Agent” 服务停止并设为禁用状态服务停止并设为禁用状态

示例：在示例：在 Windows 2000 ServerWindows 2000 Server 上停止上停止 IPSecIPSec 服务。服务。在“管理工具”程序组中运行“服务”命令，打开“服务”窗在“管理工具”程序组中运行“服务”命令，打开“服务”窗口；在窗口中选择“口；在窗口中选择“ IPSec Policy Agent”IPSec Policy Agent” 服务，并将该服务停止服务，并将该服务停止并将启动属性改为“已禁用”。并将启动属性改为“已禁用”。


安装步骤安装步骤

系统引擎安装时的配置项目系统引擎安装时的配置项目选项选项说明说明

在不起动防火墙时是否允许在不起动防火墙时是否允许IPIP 包通过包通过

(1)(1) 允许允许防火墙未启动时，数据包将根据该网关的路由配置被发送。防火墙未启动时，数据包将根据该网关的路由配置被发送。

(2)(2) 拒绝拒绝在防火墙未启动时，数据包无法通过该网关。在防火墙未启动时，数据包无法通过该网关。

选择防火墙的外部网卡选择防火墙的外部网卡网卡型号网卡型号选择防火墙绑定的网络接口。选择防火墙绑定的网络接口。““ Dail-Up Adapter”Dail-Up Adapter” 表示拨号网络表示拨号网络

是否允许是否允许 IPIP 转发转发 (1)(1) 允许转发允许转发允许允许 IPIP 数据包转发是防火墙作为网关时的必要条件数据包转发是防火墙作为网关时的必要条件

(2)(2) 不设置不设置此选项是为了实现一些高级配置方式所使用的，通常情况下不要使用此选项是为了实现一些高级配置方式所使用的，通常情况下不要使用

防火墙服务启动方式防火墙服务启动方式 (1)(1) 手动手动需要手动启动防火墙，可在系统服务中改变服务运行状态和启动方式，服务名称是：需要手动启动防火墙，可在系统服务中改变服务运行状态和启动方式，服务名称是： IInJoy Firewall Server ServicenJoy Firewall Server Service

(2)(2) 自动自动服务器在开机启动后，将自动运行防火墙服务程序服务器在开机启动后，将自动运行防火墙服务程序

文件拷贝文件拷贝文件拷贝文件拷贝

系统配置及系统引擎安装系统配置及系统引擎安装系统配置及系统引擎安装系统配置及系统引擎安装

建立程序组菜单建立程序组菜单建立程序组菜单建立程序组菜单

结束结束结束结束

运行安装程序运行安装程序运行安装程序运行安装程序

程序在安装系统引擎期间会多程序在安装系统引擎期间会多次出现图示窗口，请每次出现次出现图示窗口，请每次出现时选择“是”，以保证防火墙时选择“是”，以保证防火墙服务正确安装服务正确安装


安联防火墙程序组安联防火墙程序组

选择执行允许选择执行允许 // 禁止禁止 IPIP 包转发命包转发命令之后，需要重启计算机命令方令之后，需要重启计算机命令方能生效。防火墙网卡是指防火墙能生效。防火墙网卡是指防火墙的外部网卡，管理员需要更新时，的外部网卡，管理员需要更新时，无需停止防火墙服务，更新即时无需停止防火墙服务，更新即时生效生效

打开每个日志观察器都可以查看打开每个日志观察器都可以查看多种与该服务相关的日志记录。多种与该服务相关的日志记录。安全日志包含了各种基本的防火安全日志包含了各种基本的防火墙日志记录。墙日志记录。

启动本地防火墙管理程序启动本地防火墙管理程序

启动本地防火墙服务启动本地防火墙服务

停止本地防火墙服务停止本地防火墙服务

程序卸载程序卸载

启动管理程序，对远程防火墙进行管理启动管理程序，对远程防火墙进行管理


启动安联防火墙启动安联防火墙

防火墙安装后，将成为一个标准防火墙安装后，将成为一个标准的的 WindowsWindows 服务程序，在该服务服务程序，在该服务的属性配置窗口中可改变防火墙的属性配置窗口中可改变防火墙的启动方式：手动或自动。的启动方式：手动或自动。

防火墙安装后，将成为一个标准防火墙安装后，将成为一个标准的的 WindowsWindows 服务程序，在该服务服务程序，在该服务的属性配置窗口中可改变防火墙的属性配置窗口中可改变防火墙的启动方式：手动或自动。的启动方式：手动或自动。

如安装时选择使用手动启动防火墙，可通如安装时选择使用手动启动防火墙，可通过程序组中的“启动防火墙”命令运行防过程序组中的“启动防火墙”命令运行防火墙服务。火墙服务。

如安装时选择使用自动启动防火墙，则每如安装时选择使用自动启动防火墙，则每次服务器开机启动后，防火墙服务被自动次服务器开机启动后，防火墙服务被自动运行，无需人为操作。运行，无需人为操作。

防火墙服务是一个标准的防火墙服务是一个标准的 WindowsWindows服务服务程序，可在系统服务控制台中找到。程序，可在系统服务控制台中找到。

执行程序组中的“启动防火墙”、“停止防火墙”命令后，会弹出一个 DOS 程序运行窗口，该窗口在服务启动或停止成功后自动关闭。

执行程序组中的“启动防火墙”、“停止防火墙”命令后，会弹出一个 DOS 程序运行窗口，该窗口在服务启动或停止成功后自动关闭。


防火墙系统配置防火墙系统配置系统配置概要系统配置概要输入注册码输入注册码填写填写 DNSDNS 地址地址设置内部网络地址设置内部网络地址选择服务选择服务


系统配置概要系统配置概要

完成系统配置后，需要重新启动防火墙以保证配置生效。

---- “File （文件） Restart Firewall Server （重新启动防火墙）” ---

完成系统配置后，需要重新启动防火墙以保证配置生效。

---- “File （文件） Restart Firewall Server （重新启动防火墙）” ---

执行程序组中“管理防火墙”命令，打开管理窗口；执行程序组中“管理防火墙”命令，打开管理窗口；执行程序菜单命令执行程序菜单命令““ FileFile （文件）（文件） PropertiesProperties （道具）（道具）””打开防火墙属性配置窗口打开防火墙属性配置窗口

主要配置项目包括：

产品注册码、 DNS 服务器地址、防火墙所保护的内网地址、启用的服务

主要配置项目包括：

产品注册码、 DNS 服务器地址、防火墙所保护的内网地址、启用的服务

产品注册产品注册产品注册产品注册

设置内部网络设置内部网络设置内部网络设置内部网络

选择服务选择服务选择服务选择服务

配置配置 DNSDNS配置配置 DNSDNS


输入产品组注册码输入产品组注册码

• 本软件缺省包含 2 用户 30 日评估注册码，用户可利用单一主机（产品作为单机版防火墙使用）对大多数功能进行测试；

• 用户如需要将本软件安装在实际的网关上进行测试，可向北京安联科技有限公司申请 5 用户 30 日评估注册码；此时，安联防火墙 /VPN 网关所保护的局域网最多可含有 3台主机。

---申请 5 用户 30 天评估注册码请点击如下链接 ---

www.constic.com/demo/demo.htm

• 本软件缺省包含 2 用户 30 日评估注册码，用户可利用单一主机（产品作为单机版防火墙使用）对大多数功能进行测试；

• 用户如需要将本软件安装在实际的网关上进行测试，可向北京安联科技有限公司申请 5 用户 30 日评估注册码；此时，安联防火墙 /VPN 网关所保护的局域网最多可含有 3台主机。

---申请 5 用户 30 天评估注册码请点击如下链接 ---

www.constic.com/demo/demo.htm

注册码注册码注册码注册码

注册名注册名注册名注册名

在在““ Firewall GUI 1.1 PropertiesFirewall GUI 1.1 Properties （防火墙属性配置）”（防火墙属性配置）”窗口中打开窗口中打开““ AuthorizeAuthorize （授权）”（授权）”页面页面


填写填写 DNSDNS 服务地址服务地址

主主 DNSDNS主主 DNSDNS

辅助辅助 DNSDNS辅助辅助 DNSDNS

在在““ Firewall GUI 1.1 PropertiesFirewall GUI 1.1 Properties （防火墙属性配置）”（防火墙属性配置）”窗口中打开窗口中打开““ IntermediaryIntermediary （调解选项）”（调解选项）”页面页面

输入了正确的 DNS 服务器地址后，防火墙可实现 DNS 转发功能。此时，管理员在配置内部终端的 TCP/IP 服务属性时，只需要将 DNS 地址设为 1.1.1.1 （主 DN

S 服务器 IP ）和 1.1.1.2 （辅助 DNS 服务器 IP ）即可，防火墙将能够识别这些终端发出的 DNS 服务请求并转发到正确的 DNS 服务器。

输入了正确的 DNS 服务器地址后，防火墙可实现 DNS 转发功能。此时，管理员在配置内部终端的 TCP/IP 服务属性时，只需要将 DNS 地址设为 1.1.1.1 （主 DN

S 服务器 IP ）和 1.1.1.2 （辅助 DNS 服务器 IP ）即可，防火墙将能够识别这些终端发出的 DNS 服务请求并转发到正确的 DNS 服务器。


设置内部网络地址设置内部网络地址在在““ Firewall GUI 1.1 PropertiesFirewall GUI 1.1 Properties （防火墙属性配置）”（防火墙属性配置）”窗口中打开窗口中打开““ NetworkNetwork （网络）”（网络）”页面页面

在“ Network （网络）”页面中必须输入受到防火墙保护的内部网络地址，以便让防火墙确定哪些地址属于内部网络。在此页面中，用户最多能设置三个内部网络网段。

在“ Network （网络）”页面中必须输入受到防火墙保护的内部网络地址，以便让防火墙确定哪些地址属于内部网络。在此页面中，用户最多能设置三个内部网络网段。

网络地址网络地址 // 掩码掩码网络地址网络地址 // 掩码掩码


选择服务选择服务

NATNAT 及防火墙功能是系统缺省使用的及防火墙功能是系统缺省使用的NATNAT 及防火墙功能是系统缺省使用的及防火墙功能是系统缺省使用的

根据需要选择是否启用根据需要选择是否启用 IPSec VPNIPSec VPN 功能和远程功能和远程管理功能管理功能根据需要选择是否启用根据需要选择是否启用 IPSec VPNIPSec VPN 功能和远程功能和远程管理功能管理功能

如果防火墙通过如果防火墙通过 ADSL ModemADSL Modem 接入接入 InternetInternet ，，必须使用防火墙自带的必须使用防火墙自带的 PPPoEPPPoE 拨号功能进行拨号功能进行 AA

DSLDSL 拨号拨号

如果防火墙通过如果防火墙通过 ADSL ModemADSL Modem 接入接入 InternetInternet ，，必须使用防火墙自带的必须使用防火墙自带的 PPPoEPPPoE 拨号功能进行拨号功能进行 AA

DSLDSL 拨号拨号

配置远程管理所使用的端口和登录口令。通常配置远程管理所使用的端口和登录口令。通常情况下不要改变情况下不要改变远程管理的远程管理的端口端口配置远程管理所使用的端口和登录口令。通常配置远程管理所使用的端口和登录口令。通常情况下不要改变情况下不要改变远程管理的远程管理的端口端口

在在““ Firewall GUI 1.1 PropertiesFirewall GUI 1.1 Properties （防火墙属性配置）”（防火墙属性配置）”窗口中打开窗口中打开““ Firewall ServerFirewall Server （防火墙服务器）”（防火墙服务器）”页面页面


防火墙管理窗口防火墙管理窗口缺省管理界面缺省管理界面程序主菜单程序主菜单监控窗口监控窗口定制客户化管理界面定制客户化管理界面


缺省管理界面缺省管理界面

通过防火墙的数据总通过防火墙的数据总量，单位：千字节量，单位：千字节

瞬间通过防火墙的数瞬间通过防火墙的数据总量，单位：千字据总量，单位：千字节每秒节每秒

瞬间通过防火墙的数瞬间通过防火墙的数据总量线图据总量线图

防火墙系统运行日志防火墙系统运行日志通过防火墙的入站和通过防火墙的入站和出站数据包总数出站数据包总数

被防火墙丢弃的入站被防火墙丢弃的入站和出站数据包数量和出站数据包数量

防火墙当前已经运行防火墙当前已经运行的时间的时间

瞬间通过防火墙的入瞬间通过防火墙的入站和出站数据量，单站和出站数据量，单位：千字节每秒位：千字节每秒

显示当前的网络线路显示当前的网络线路质量，需要在防火墙质量，需要在防火墙系统属性中进行相关系统属性中进行相关配置配置

在防火墙运行状态下，执行程序组中的在防火墙运行状态下，执行程序组中的“管理防火墙”“管理防火墙”命令，启动防火墙管理程序命令，启动防火墙管理程序


程序主菜单程序主菜单

IPSecIPSec 、、 PPPoEPPPoE 、、 DHCPDHCP 、、 PPTPPPTP 命令组；只命令组；只有在有在系统属性中系统属性中选择该服务后才会出现。选择该服务后才会出现。IPSecIPSec 、、 PPPoEPPPoE 、、 DHCPDHCP 、、 PPTPPPTP 命令组；只命令组；只有在有在系统属性中系统属性中选择该服务后才会出现。选择该服务后才会出现。

通过“通过“ WindowsWindows （窗口）”命令组，可以改（窗口）”命令组，可以改变窗口的样式、配色方案及字体。变窗口的样式、配色方案及字体。通过“通过“ WindowsWindows （窗口）”命令组，可以改（窗口）”命令组，可以改变窗口的样式、配色方案及字体。变窗口的样式、配色方案及字体。

通过“通过“ MonitorMonitor （监视器）”命令组，可以打（监视器）”命令组，可以打开针对各种系统状态的监视窗口开针对各种系统状态的监视窗口通过“通过“ MonitorMonitor （监视器）”命令组，可以打（监视器）”命令组，可以打开针对各种系统状态的监视窗口开针对各种系统状态的监视窗口

通过“通过“ FirewallFirewall （防火墙）”程序组，可以对（防火墙）”程序组，可以对防火墙规则进行配置防火墙规则进行配置通过“通过“ FirewallFirewall （防火墙）”程序组，可以对（防火墙）”程序组，可以对防火墙规则进行配置防火墙规则进行配置

““FileFile （文件）”包含了系统操作命令和系统（文件）”包含了系统操作命令和系统属性配置命令属性配置命令““FileFile （文件）”包含了系统操作命令和系统（文件）”包含了系统操作命令和系统属性配置命令属性配置命令

在防火墙管理程序窗口中点击鼠标右键，弹出程序主菜单在防火墙管理程序窗口中点击鼠标右键，弹出程序主菜单


监控窗口监控窗口

系统信息监视器系统信息监视器系统信息监视器系统信息监视器防火墙事件监视器防火墙事件监视器防火墙事件监视器防火墙事件监视器

VPNVPN 事件监视器事件监视器VPNVPN 事件监视器事件监视器

系统日志系统日志网络流量线图网络流量线图网络流量条形图网络流量条形图链路监视器链路监视器带宽管理监视器带宽管理监视器可疑事件监视器可疑事件监视器安全事件监视器安全事件监视器系统信息监视器系统信息监视器入站入站 //出站流量图出站流量图系统功能状态系统功能状态NATNAT 客户端记录客户端记录

IPSeIPSe 用户用户IPSecIPSec 隧道隧道IPSecIPSec 服务日志服务日志IKEIKE 服务日志服务日志IPSecIPSec 认证日志认证日志

防火墙当前连接防火墙当前连接防火墙规则匹配防火墙规则匹配防火墙安全警告防火墙安全警告防火墙拒绝的连接防火墙拒绝的连接防火墙连接日志防火墙连接日志防火墙丢弃的数据包防火墙丢弃的数据包防火墙黑名单防火墙黑名单HTTPHTTP 请求记录请求记录防火墙服务日志防火墙服务日志

安联防火墙提供了完善的监控窗口，通过安联防火墙提供了完善的监控窗口，通过 ““ MonitorsMonitors （监视器）”（监视器）”命令组可以任意打开或关闭特定的监视窗口命令组可以任意打开或关闭特定的监视窗口


定制客户化管理界面定制客户化管理界面

通过将不同的监控窗口进行组合，用通过将不同的监控窗口进行组合，用户可以定制一个符合日常管理需要的户可以定制一个符合日常管理需要的客户化界面客户化界面。。

在定制了客户化管理界面后，用户可以通过主菜单中“ Window -> save setting” 命令进行保存；再次启动防火墙管理程序后，界面江显示为用户定制的样式。

在定制了客户化管理界面后，用户可以通过主菜单中“ Window -> save setting” 命令进行保存；再次启动防火墙管理程序后，界面江显示为用户定制的样式。


实现实现 ADSLADSL 接入接入采用采用 ADSLADSL 接入的网络方案接入的网络方案配置配置 PPPoEPPPoE 服务服务确认确认 ADSLADSL连接成功连接成功


采用采用 ADSLADSL 接入的网络方案接入的网络方案

双网卡主机安装安联防火墙 /VPN 网关软件外部 IP --- 动态获得内部 IP --- 192.168.0.1

内部网络：192.168.0.0/255.255.255.0

Internet

ADSL Modem

如果用户采用 ADSL 方式接入 Internet ，在使用安联防火墙 /VPN 网关提供 PPPoE

虚拟拨号功能之前，请注意以下问题：• ADSL ModemADSL Modem 的工作模式为的工作模式为 PPPoEPPPoE 虚拟拨号方式，且不能使用虚拟拨号方式，且不能使用 ADSL ModemADSL Modem 内置拨号器内置拨号器• ADSL ModemADSL Modem 与防火墙主机的外部网卡通过网线直连或通过交换机连接与防火墙主机的外部网卡通过网线直连或通过交换机连接• 安联防火墙安联防火墙 /VPN/VPN 网关的网关的 PPPoEPPPoE 拨号功能已经启用拨号功能已经启用

注意：

在防火墙主机上不能使用第三方 PPPoE拨号软件。否则，防火墙将无法实现数据包过滤功能

注意：

在防火墙主机上不能使用第三方 PPPoE拨号软件。否则，防火墙将无法实现数据包过滤功能


配置配置 PPPoEPPPoE 服务服务

输入输入 ISPISP 分配的登分配的登录用户名录用户名 // 密码密码

输入输入 ISPISP 分配的登分配的登录用户名录用户名 // 密码密码

将将 PPPoEPPPoE 设为自动连接设为自动连接（防火墙启动后自动进行（防火墙启动后自动进行 PP

PPoEPPoE 连接）连接）

将将 PPPoEPPPoE 设为自动连接设为自动连接（防火墙启动后自动进行（防火墙启动后自动进行 PP

PPoEPPoE 连接）连接）

将重建连接方式设将重建连接方式设为自动为自动

将重建连接方式设将重建连接方式设为自动为自动

启动防火墙管理程序，并通过主菜单打开 PPPoE 服务属性配置窗口


确认确认 ADSLADSL 连接成功连接成功

完成并保存完成并保存 PPPoEPPPoE 服务属性的配置后，请重新启动防火墙服务属性的配置后，请重新启动防火墙当“当“ Activity LogActivity Log （系统日志）”窗口中出现以下信息时，表示（系统日志）”窗口中出现以下信息时，表示 ADSLADSL 连接成功连接成功

在防火墙主机上，通过浏览器能够访问在防火墙主机上，通过浏览器能够访问 InternetInternet 上的网站上的网站在防火墙管理窗口中，可以看到数据流量显示在防火墙管理窗口中，可以看到数据流量显示

窗口中的图形变化，表示窗口中的图形变化，表示有数据通过防火墙有数据通过防火墙窗口中的图形变化，表示窗口中的图形变化，表示有数据通过防火墙有数据通过防火墙


防火墙安全规则防火墙安全规则防火墙规则体系防火墙规则体系防火墙规则配置菜单防火墙规则配置菜单防火墙规则配置步骤防火墙规则配置步骤设置系统安全等级设置系统安全等级选择系统安全规则选择系统安全规则用户规则配置用户规则配置了解规则配置窗口了解规则配置窗口主要规则类型主要规则类型用户规则配置的基本步骤用户规则配置的基本步骤


动态规则动态规则

防火墙规则体系防火墙规则体系

系统安全等级（系统安全规则）系统安全等级（系统安全规则）

用户规则用户规则

黑名单黑名单

白名单白名单规则执行顺序

防火墙安全规则类型和执行优先级防火墙安全规则类型和执行优先级

IP 包特征检查IP 包内容检查通讯状态分析动态规则生成

系统入侵检测

用户访问控制

病毒代码过滤

安全邮件代理

安联防火墙以新一代的动态监测技术为核心，构成了面向不同需求的安全规则；所有的安全规则采用统一的定义方式，并依据优先级顺序被防火墙执行。


防火墙规则配置菜单防火墙规则配置菜单

系统安全等级（系统安全规则）系统安全等级（系统安全规则）系统安全等级（系统安全规则）系统安全等级（系统安全规则）

用户规则用户规则用户规则用户规则

黑名单规则黑名单规则黑名单规则黑名单规则

白名单规则白名单规则白名单规则白名单规则

带宽管理规则带宽管理规则带宽管理规则带宽管理规则

规则示例规则示例规则示例规则示例

更新配置更新配置更新配置更新配置

注意：带宽管理规则不属于防火墙安全规则，关于如何使用带宽管理功能，请参“带宽管理”部分注意：带宽管理规则不属于防火墙安全规则，关于如何使用带宽管理功能，请参“带宽管理”部分


防火墙规则的配置步骤防火墙规则的配置步骤

配置系统安全等级（系统规则）配置系统安全等级（系统规则）

配置用户规则配置用户规则

编写黑名单编写黑名单

编写白名单编写白名单

更新配置更新配置

通常情况下无需配置通常情况下无需配置


设置系统安全等级设置系统安全等级

防火墙预制防火墙预制 1111 级安全等级；级安全等级；通过竖状拉杆，可选择所需通过竖状拉杆，可选择所需的安全等级的安全等级

防火墙预制防火墙预制 1111 级安全等级；级安全等级；通过竖状拉杆，可选择所需通过竖状拉杆，可选择所需的安全等级的安全等级

缺省状态下，是否允许内部缺省状态下，是否允许内部用户访问用户访问 InternetInternet

缺省状态下，是否允许内部缺省状态下，是否允许内部用户访问用户访问 InternetInternet

缺省状态下，是否关闭防火缺省状态下，是否关闭防火墙外网网卡的全部端口墙外网网卡的全部端口缺省状态下，是否关闭防火缺省状态下，是否关闭防火墙外网网卡的全部端口墙外网网卡的全部端口

是否使用日志及动态防火墙是否使用日志及动态防火墙功能功能是否使用日志及动态防火墙是否使用日志及动态防火墙功能功能

如果用户的公共邮件服务器如果用户的公共邮件服务器在局域网内部，可启用安全在局域网内部，可启用安全邮件代理功能邮件代理功能

如果用户的公共邮件服务器如果用户的公共邮件服务器在局域网内部，可启用安全在局域网内部，可启用安全邮件代理功能邮件代理功能

用户可对当前安全等级中所用户可对当前安全等级中所包含的具体规则进行配置包含的具体规则进行配置用户可对当前安全等级中所用户可对当前安全等级中所包含的具体规则进行配置包含的具体规则进行配置

是否使用管理功能是否使用管理功能是否使用管理功能是否使用管理功能

注意：对于大多数用户而言， 5 级安全等级是较为适合的。缺省配置时， 5 级安全等级不启用带宽管理，如需要使用该功能，用户可以自行配置。注意：对于大多数用户而言， 5 级安全等级是较为适合的。缺省配置时， 5 级安全等级不启用带宽管理，如需要使用该功能，用户可以自行配置。


选择系统安全规则选择系统安全规则

通过“通过“ Security LivelSecurity Livel （安全等级）”窗口（安全等级）”窗口的“的“ Custom…Custom… （自定义）”按钮可以打开（自定义）”按钮可以打开““ Security Level Configuration”Security Level Configuration” （安全等（安全等级配置）”窗口，并在级配置）”窗口，并在 “ “ System RulesSystem Rules

（系统规则）”页面中（系统规则）”页面中选择需要使用的安全选择需要使用的安全规则。规则。

被选中的系统规则显示为蓝底白字被选中的系统规则显示为蓝底白字被选中的系统规则显示为蓝底白字被选中的系统规则显示为蓝底白字

未选中的系统规则未选中的系统规则未选中的系统规则未选中的系统规则

注意：通常情况下，用户只需要选择适合的安全等级即可，而无需修改每个安全等级所包含的具体系统规则。关于系统规则的内容，请参考产品使用手册

注意：通常情况下，用户只需要选择适合的安全等级即可，而无需修改每个安全等级所包含的具体系统规则。关于系统规则的内容，请参考产品使用手册


用户规则配置用户规则配置

调整规则的执行次序调整规则的执行次序调整规则的执行次序调整规则的执行次序

规则属性设置窗口规则属性设置窗口规则属性设置窗口规则属性设置窗口

显示已存在的规则的名称显示已存在的规则的名称（在上面的规则优先执行）（在上面的规则优先执行）显示已存在的规则的名称显示已存在的规则的名称

（在上面的规则优先执行）（在上面的规则优先执行）

通过防火墙菜单中的“通过防火墙菜单中的“ User RuleUser Rule （用户规则）”命令，打开用户（用户规则）”命令，打开用户规则配置窗口规则配置窗口


了解规则配置窗口了解规则配置窗口

生效的规则生效的规则生效的规则生效的规则

在“在“ [ ]”[ ]” 中的规则为被动规中的规则为被动规则则

在“在“ [ ]”[ ]” 中的规则为被动规中的规则为被动规则则

标有“标有“ (-)”(-)” 的规则为失效规的规则为失效规则则

标有“标有“ (-)”(-)” 的规则为失效规的规则为失效规则则

规则状态的表示方式规则状态的表示方式

选择用户界面选择用户界面选择用户界面选择用户界面

修改规则状态修改规则状态修改规则状态修改规则状态

创建规则创建规则创建规则创建规则

删除规则删除规则删除规则删除规则

用户界面分为“用户界面分为“ SimpleSimple （简单）”和“（简单）”和“ AdvanceAdvance （高（高级）” 两种。在使用简单界面时，在规则配置窗口中仅显级）” 两种。在使用简单界面时，在规则配置窗口中仅显示与规则类型有关的配置项目；在使用高级界面时，在规示与规则类型有关的配置项目；在使用高级界面时，在规则配置窗口中将现实全部配置项目则配置窗口中将现实全部配置项目

规则的全部配置项目规则的全部配置项目

规则状态分为“规则状态分为“ EnableEnable （生效）”、“（生效）”、“ DisableDisable （失（失效）”和“效）”和“ PassivePassive （被动）”三种（被动）”三种

规则配置菜单规则配置菜单

注意：在配置基于时间因素的规则或内容检查规则时，必须使用高级用户界面注意：在配置基于时间因素的规则或内容检查规则时，必须使用高级用户界面

数据包匹配条件

对数据包的处理方式


主要规则类型主要规则类型

主要规则类型主要规则类型图标图标规则说明规则说明AllowAllow （允许）（允许）对数据包不做任何处理，直接转发对数据包不做任何处理，直接转发DenyDeny （拒绝）（拒绝）将数据包丢弃将数据包丢弃LogLog （记录）（记录）将数据包的内容记录到一个指定的文件内将数据包的内容记录到一个指定的文件内AccountAccount （统计）（统计）对数据包进行统计对数据包进行统计AlertAlert （报警）（报警）发出声音报警或执行已存在的脚本程序发出声音报警或执行已存在的脚本程序RedirectRedirect （转发）（转发）修改数据包的目标地址修改数据包的目标地址 //端口并转发到指定的端口并转发到指定的 IPIPBlacklistBlacklist （记入黑名单）（记入黑名单）将数据包的源地址记入黑名单，并保存一段时间将数据包的源地址记入黑名单，并保存一段时间ObserveObserve （观察）（观察）在观察期限内，如果同类型数据包达到一定数量，在观察期限内，如果同类型数据包达到一定数量，

则按照规定的方式进行处理则按照规定的方式进行处理NATNAT 对数据包进行对数据包进行 NATNAT（地址转换）处理（地址转换）处理


用户规则配置的基本步骤用户规则配置的基本步骤

创建规则创建规则

指定规则类型指定规则类型

配置数据包匹配佩条件配置数据包匹配佩条件

制定数据包的处理方式制定数据包的处理方式

更新配置更新配置

调整规则的执行顺序调整规则的执行顺序


常用规则示例常用规则示例允许允许 InternetInternet 用户访问防火墙主机上的公共用户访问防火墙主机上的公共WebWeb 服务器服务器禁止所有内部终端登录“可乐吧互动娱乐世界”禁止所有内部终端登录“可乐吧互动娱乐世界” 在工作时间内禁止内部终端使用在工作时间内禁止内部终端使用 Windows Media PlayerWindows Media Player 收收

看视频节目看视频节目禁止终端禁止终端 (192.168.0.3)(192.168.0.3) 下载下载 MP3MP3 文件文件


输入规则名称输入规则名称输入规则名称输入规则名称

选择规则类型选择规则类型（（ AllowAllow ））

（允许）（允许）

选择规则类型选择规则类型（（ AllowAllow ））

（允许）（允许）

选择传输方向为选择传输方向为““ BidirectionalBidirectional

”” （双向（双向））

选择传输方向为选择传输方向为““ BidirectionalBidirectional

”” （双向（双向））

选择协议类型选择协议类型（（ TCPTCP ））

选择协议类型选择协议类型（（ TCPTCP ））

将数据包源地址和端将数据包源地址和端口都设为 “口都设为 “ Any”Any”将数据包源地址和端将数据包源地址和端口都设为 “口都设为 “ Any”Any”

将数据包目标地址设将数据包目标地址设为“为“ My_IP”My_IP” ；端口；端口设为“设为“ 80”80”

将数据包目标地址设将数据包目标地址设为“为“ My_IP”My_IP” ；端口；端口设为“设为“ 80”80”

注意：在配置此规则时，数据包的传输方向必须设为“ Bidirectional （双向）”，这样才能保证来自 Internet 的访问请求和Web服务发出的应答数据包都能被防火墙允许通过

注意：在配置此规则时，数据包的传输方向必须设为“ Bidirectional （双向）”，这样才能保证来自 Internet 的访问请求和Web服务发出的应答数据包都能被防火墙允许通过

My_IPMy_IP 是一个系是一个系统函数，它引用统函数，它引用了防火墙外部网了防火墙外部网络接口的缺省络接口的缺省 IPIP

允许允许 InternetInternet 用户访问防火墙主机上用户访问防火墙主机上的公共的公共 WebWeb 服务器服务器

数据包匹配配置窗口

TCP/IP 配置窗口规则创建窗口


禁止所有内部终端登录“可乐吧互动禁止所有内部终端登录“可乐吧互动娱乐世界”娱乐世界”

TCP/IP 配置窗口

规则创建窗口


选择规则类型选择规则类型（（ DenyDeny ））（拒绝）（拒绝）


将数据包源将数据包源地址和端地址和端口都设为“口都设为“ Any”Any”将数据包源将数据包源地址和端地址和端口都设为“口都设为“ Any”Any”

将数据包目标地址设将数据包目标地址设为“为“ Any”Any” ；端口；端口设为设为““ 10002”10002”

将数据包目标地址设将数据包目标地址设为“为“ Any”Any” ；端口；端口设为设为““ 10002”10002”

用户在登录“可乐吧用户在登录“可乐吧互动娱乐世界”时需互动娱乐世界”时需要访问服务器的要访问服务器的 1001000202 端口，所以此规端口，所以此规则禁止访问则禁止访问 1000210002

端口端口


在工作时间内禁止内部终端使用在工作时间内禁止内部终端使用 Windows Windows Media PlayerMedia Player 收看视频节目收看视频节目




将数据包源地址和端将数据包源地址和端口都设为 “口都设为 “ Any”Any”将数据包源地址和端将数据包源地址和端口都设为 “口都设为 “ Any”Any”

将数据包目标地址设将数据包目标地址设为“为“ Any”Any” ；端口设；端口设为“为“ 554”554” 和“和“ 1755”1755”

将数据包目标地址设将数据包目标地址设为“为“ Any”Any” ；端口设；端口设为“为“ 554”554” 和“和“ 1755”1755”

在日期列表中选择在日期列表中选择周一到周五周一到周五在日期列表中选择在日期列表中选择周一到周五周一到周五

将时间设为从将时间设为从 88点点到到 1717点点 3030 分分将时间设为从将时间设为从 88点点到到 1717点点 3030 分分

TCP/IP 配置窗口

时间条件配置窗口

规则创建窗口


禁止终端禁止终端 (192.168.0.3)(192.168.0.3) 下载下载 MP3MP3 文件文件

TCP/IP 配置窗口

内容检查配置窗口

规则创建窗口




将数据包源地址设为将数据包源地址设为““ 192.168.0.3”192.168.0.3” ；端口；端口设为 “设为 “ Any”CAny”C

将数据包源地址设为将数据包源地址设为““ 192.168.0.3”192.168.0.3” ；端口；端口设为 “设为 “ Any”CAny”C

将数据包目标地址和将数据包目标地址和端口都设为“端口都设为“ Any”Any”将数据包目标地址和将数据包目标地址和端口都设为“端口都设为“ Any”Any”

选择使用全部选择使用全部URLURL 检查检查选择使用全部选择使用全部URLURL 检查检查

输入关键字“输入关键字“ *mp*mp3”3”输入关键字“输入关键字“ *mp*mp3”3”

不选中“区分大小不选中“区分大小写”写”不选中“区分大小不选中“区分大小写”写”

在进行 URL检查时，使用通佩符（“ *” 、“ ? ” ）是十分有用的，在此例中“ *mp3”代表了所有以字符“ mp3” 为结尾的 URL 。

在进行 URL检查时，使用通佩符（“ *” 、“ ? ” ）是十分有用的，在此例中“ *mp3”代表了所有以字符“ mp3” 为结尾的 URL 。


地址地址 // 端口映射端口映射理解地址理解地址 //端口映射端口映射针对防火墙缺省外部针对防火墙缺省外部 IPIP 配置端口转发规则配置端口转发规则针对防火墙外部接口别名针对防火墙外部接口别名 IPIP 配置地址配置地址 //端口映射规则端口映射规则


理解地址理解地址 //端口映射端口映射

安联防火墙内部主机

Internet

防火墙的地址 / 端口映射功能是基于 NAT 技术实现的，此功能可以使位于防火墙内部服务器（使用私有 IP ）为 Internet 用户提供访问服务。

远程终端访问防火墙外部网络接口的某个端口

防火墙根据地址 / 端口映射规则将访问请求转发到指定的内部主机的某个端口

内部主机将回应数据包发至防火墙主机

防火墙根据 NAT映射表中的记录将应答数据包发至远程终端

在内部主机看来，访问请在内部主机看来，访问请求是由防火墙的外部网络求是由防火墙的外部网络接口的缺省接口的缺省 IPIP 发起的发起的（即数据包的源地址是防（即数据包的源地址是防火墙外部缺省火墙外部缺省 IPIP ））

在内部主机看来，访问请在内部主机看来，访问请求是由防火墙的外部网络求是由防火墙的外部网络接口的缺省接口的缺省 IPIP 发起的发起的（即数据包的源地址是防（即数据包的源地址是防火墙外部缺省火墙外部缺省 IPIP ））

内部主机发出的回应数据内部主机发出的回应数据包的目标包的目标 IPIP 都是防火墙都是防火墙的的外部缺省外部缺省 IPIP

内部主机发出的回应数据内部主机发出的回应数据包的目标包的目标 IPIP 都是防火墙都是防火墙的的外部缺省外部缺省 IPIP

注意：安联防火墙在为每个内部主机提供地址 /端口映射服务时都需要设置两条访问规则：一条规则实现入站数据包转发处理；另一条规则实现与之配合的出站数据包转发处理。注意：安联防火墙在为每个内部主机提供地址 /端口映射服务时都需要设置两条访问规则：一条规则实现入站数据包转发处理；另一条规则实现与之配合的出站数据包转发处理。


针对防火墙缺省外部针对防火墙缺省外部 IPIP 配置端口转发规配置端口转发规则则

步骤一：配置入站转发规则步骤一：配置入站转发规则步骤二：配置出站转发规则步骤二：配置出站转发规则

创建一个新规则，并将规则类型设为“ Redirect （转发）”

在“ TCP/IP” 配置窗口中将源地址和端口都设为“ Any” ；目标地址设为“My_IP” ；目标端口设为“ 80”

在“ Packet Matching（数据包匹配）”窗口中将数据传输方向设为“ Incoming（入站）”


在“ TCP/IP” 配置窗口中将源地址设为“ 192.168.0.10” ；源端口设为“ 80” ；目标地址和端口都设为“ Any” ；

在“ Packet Matching（数据包匹配）”窗口中将数据传输方向设为“ Outgoing（出站）”

“Redirection （转发）”配置窗口

新的目标新的目标 IPIP 设为设为 192.16192.168.0.108.0.10 ；新的端口保持；新的端口保持不变（不变（ No ChangeNo Change ））

新的目标新的目标 IPIP 设为设为 192.16192.168.0.108.0.10 ；新的端口保持；新的端口保持不变（不变（ No ChangeNo Change ））


新的目标新的目标 IPIP 和端口都保和端口都保持不变（持不变（ No ChangeNo Change ））新的目标新的目标 IPIP 和端口都保和端口都保持不变（持不变（ No ChangeNo Change ））

内部主机内部主机 192.168.0.10192.168.0.10上运行上运行 WebWeb服务，服务端口为服务，服务端口为 TCP 80TCP 80；；外部用户在访问防火墙的外部缺省外部用户在访问防火墙的外部缺省 IPIP 的的 8080 端口时，可以访问此端口时，可以访问此 WebWeb服务服务


针对防火墙外部接口别名针对防火墙外部接口别名 IPIP 配置地配置地址址 //端口映射规则端口映射规则


在“ TCP/IP” 配置窗口中将源地址和端口都设为“ Any” ；目标地址设为“ 61.51.4.3” ；目标端口设为“ 80”

在“ Packet Matching（数据包匹配）”窗口中将数据传输方向设为“ Incoming（入站）”


在“ TCP/IP” 配置窗口中将源地址设为“ 192.168.0.10” ；源端口设为“ 8080” ；目标地址和端口都设为“ Any” ；

在“ Packet Matching（数据包匹配）”窗口中将数据传输方向设为“ Outgoing（出站）”


将新的目标将新的目标 IPIP 设为设为 1192.168.0.1092.168.0.10 ；目标端；目标端口设为口设为 80808080

将新的目标将新的目标 IPIP 设为设为 1192.168.0.1092.168.0.10 ；目标端；目标端口设为口设为 80808080


将新的目标将新的目标 IPIP 设为设为 61.51.4.361.51.4.3 ；；目标端口设为目标端口设为 8080将新的目标将新的目标 IPIP 设为设为 61.51.4.361.51.4.3 ；；目标端口设为目标端口设为 8080

内部主机内部主机 192.168.0.10192.168.0.10上运行上运行WebWeb服务，服务端口为服务，服务端口为 TCP 8080TCP 8080；；防火墙外部网络接口绑定了防火墙外部网络接口绑定了 22 个个 IPIP ，其中别名，其中别名 IPIP 为为 61.51.4.361.51.4.3 外部用户在访问防火墙的外部别名外部用户在访问防火墙的外部别名 IPIP 的的 8080 端口时，可以访问此端口时，可以访问此WebWeb服务服务

步骤一：配置入站转发规则步骤一：配置入站转发规则步骤二：配置出站转发规则步骤二：配置出站转发规则


动态规则动态规则理解动态规则理解动态规则黑名单规则的工作流程黑名单规则的工作流程示例示例 11 ：将访问防火墙：将访问防火墙 8080端口的外部终端记入黑名单端口的外部终端记入黑名单示例示例 22 ：如果某个内部终端尝试收看视频节目：如果某个内部终端尝试收看视频节目 ,,则禁止其使用则禁止其使用 WebWeb 服务服务 22小小

时时观察规则的工作流程观察规则的工作流程示例示例 33 ：阻止：阻止 DOSDOS攻击攻击示例示例 44 ：防止恶意猜测：防止恶意猜测 FTPFTP登录密码登录密码示例示例 55 ：对尝试使用：对尝试使用 TCPTCP 方式登录方式登录 QQQQ 的员工采取禁止上网处理的员工采取禁止上网处理


理解动态规则理解动态规则安联防火墙能够按照用户制定的准则对通讯过程进行分析并在一定条件下自动生成阶段性的防火墙规则，即动态规则。动态规则主要用于跟踪那些可疑的通讯行为，为企业实现智能化安全管理提供了技术上的可能性。

观察规则：当某个数据包符合预先定义的观察条件时，防火墙会将该数观察规则：当某个数据包符合预先定义的观察条件时，防火墙会将该数据包的来源（据包的来源（ IPIP ）记入观察列表，在一定期限内观察与其相关的通讯记）记入观察列表，在一定期限内观察与其相关的通讯记录，并根据观察的结果作出相关的处理（解除观察、列入黑名单）录，并根据观察的结果作出相关的处理（解除观察、列入黑名单）

动态黑名单规则：当某个数据包符合预先定义的黑名单条件时，防火墙动态黑名单规则：当某个数据包符合预先定义的黑名单条件时，防火墙会将该数据包的来源（会将该数据包的来源（ IPIP ）记入黑名单并保留一段时间）记入黑名单并保留一段时间


黑名单规则的工作流程黑名单规则的工作流程

是否符合黑名单规则是否符合黑名单规则

检查数据包检查数据包

在一段时间内将源地址记入黑名单


执行被动黑名单规则执行被动黑名单规则

或Yes

执行其它规则检查执行其它规则检查

No


示例示例 1:1: 将访问防火墙将访问防火墙 8080端口的外部端口的外部终端记入黑名单终端记入黑名单

外部终端非法访问防火墙外部终端非法访问防火墙 8080 端口是一种常见的攻击方式端口是一种常见的攻击方式一旦发现哪个外部终端对防火墙一旦发现哪个外部终端对防火墙 8080 端口进行访问，立即将其记入黑名单端口进行访问，立即将其记入黑名单 22小时小时

创建一个新规则，并将规则类型设为“ Blacklist （黑名单）”

在“ Packet Matching（数据包匹配）”窗口中将传输方向设为“ Incoming（入站）”；将数据包类型设为“ TCP”“TCP/IP” 配置窗口

将目标地址设将目标地址设为“为“ My_IP”My_IP”将目标地址设将目标地址设为“为“ My_IP”My_IP”

将目标端口设将目标端口设为“为“ 80”80”将目标端口设将目标端口设为“为“ 80”80” 在 2小时内，内部终端与被记入黑名单的主机

之间将无法进行任何方式的通讯，即防火墙拒绝所有源地址为该主机 IP 的数据包通过

在 2小时内，内部终端与被记入黑名单的主机之间将无法进行任何方式的通讯，即防火墙拒绝所有源地址为该主机 IP 的数据包通过

“Blacklist （黑名单）”配置窗口

将黑名单期限设为将黑名单期限设为 22小时小时将黑名单期限设为将黑名单期限设为 22小时小时

创建黑名单规则创建黑名单规则


示例示例 2:2: 如果某个内部终端尝试收看视频节如果某个内部终端尝试收看视频节目目 ,,则禁止其使用则禁止其使用 WebWeb 服务服务 22小时小时

禁止内部用户使用禁止内部用户使用 Windows Media PlayersWindows Media Players在线收看视频节目在线收看视频节目一旦发现发现有人违法此规定，则在一旦发现发现有人违法此规定，则在 22小时之内禁止其访问小时之内禁止其访问 Internet WebInternet Web 站点站点

创建一个新规则，并将规则类型设为“ Deny （拒绝）”

在“ Packet Matching（数据包匹配）”窗口中将传输方向设为“ Outgoing（出站）”；将数据包类型设为“ TCP”

步骤一：创建被动规则步骤一：创建被动规则

在“ TCP/IP” 配置窗口将源地址 /端口都设为“ Any” ；目标地址设为“ Any” ；目标端口设为 80、 554、 1755

通过规则配置窗口中的命令菜单将该规则的状态设为“ Passive （被动）”

将规则设为被动规则将规则设为被动规则将规则设为被动规则将规则设为被动规则


示例示例 2:2: 如果某个内部终端尝试收看视频节如果某个内部终端尝试收看视频节目目 ,,则禁止其使用则禁止其使用 WebWeb 服务服务 22小时（续）小时（续）

创建一个新规则，并将规则类型设为“ Blacklist （观察）”

在“ Packet Matching（数据包匹配）”窗口中将数据包传输方向设为“ Outgoing”

在“ Blacklist （黑名单）”配置窗口中将黑名单期限设为 2小时

将替换规则设为已将替换规则设为已配置的被动规则配置的被动规则


在“ TCP/IP” 配置窗口将源地址 /端口都设为“ Any” ；目标地址设为 Any ；目标端口设为 554和 1755

在“ Blacklist-Advance （黑名单高级配置）”窗口中：

步骤二：创建黑名单规则步骤二：创建黑名单规则


观察规则的工作流程观察规则的工作流程

是否符合观察的初始条件是否符合观察的初始条件


产生后续的动态观察规则并开始计时

产生后续的动态观察规则并开始计时

在观察期限内，记录与动态观察规则

相匹配的数据包的数量

在观察期限内，记录与动态观察规则

相匹配的数据包的数量

达到规定的记录次数达到规定的记录次数



将动态观察规则从观察列表中删除

将动态观察规则从观察列表中删除

执行其它规则检查执行其它规则检查

Yes

YesNo

No

执行被动黑名单规则执行被动黑名单规则

或

用户可以设置将观察规则自身或另一个被动规则放入观察列表，即产生动态观察规则，动态观察规则的源地址将被改为需要监控的源地址


示例示例 3:3:阻止阻止 DOSDOS 攻击攻击如果某个外部主机在一分钟之内向防火墙发出了如果某个外部主机在一分钟之内向防火墙发出了 300300 次以上的次以上的 ICMPICMP访问请求，可将其视为访问请求，可将其视为 DOSDOS攻击者攻击者将将 DOSDOS攻击者的地址记入黑名单攻击者的地址记入黑名单 1212 个小时，个小时，

创建一个新规则，并将规则类型设为“ Observe （观察）”

在“ Packet Matching（数据包匹配）”窗口中将数据包类型设为“ ICMP”

“Observe （观察）”配置窗口

创建观察规则创建观察规则

将观察期限设将观察期限设为为 11 分钟分钟

将观察期限设将观察期限设为为 11 分钟分钟

将配置次数设将配置次数设为为 300300

将配置次数设将配置次数设为为 300300

在观察规则确定了某个主机在对防火墙进行 D

OS攻击后，会将该主机记入黑名单，禁止与其进行任何型式的通讯。

在观察规则确定了某个主机在对防火墙进行 D

OS攻击后，会将该主机记入黑名单，禁止与其进行任何型式的通讯。

“Blacklist （黑名单）”配置窗口

将黑名单期限设为将黑名单期限设为 1212小小时时

将黑名单期限设为将黑名单期限设为 1212小小时时


示例示例 4:4: 防止恶意猜测防止恶意猜测 FTPFTP 登录密码登录密码防火墙主机上运行防火墙主机上运行 FTPFTP 、、 WebWeb服务；其中服务；其中 FTPFTP 服务要求对用户进行登录验证服务要求对用户进行登录验证如果外部终端在登录如果外部终端在登录 FPTFPT服务时，三分钟之内五次登录失败，则禁止该终端在服务时，三分钟之内五次登录失败，则禁止该终端在 1212小时内访问防火墙主小时内访问防火墙主

机上的机上的 FTPFTP 服务，但仍旧允许该终端访问服务，但仍旧允许该终端访问 WebWeb服务服务

创建一个新规则，并将规则类型设为“ Deny （拒绝）”

在“ Packet Matching（数据包匹配）”窗口中将数据包传输方向设为“ Incoming”

步骤一：创建一个被动规则步骤一：创建一个被动规则

将规则设为被动规则将规则设为被动规则将规则设为被动规则将规则设为被动规则

在“ TCP/IP” 配置窗口将源地址 /端口都设为“ Any” ；目标地址设为“ Any” ；目标端口设为 21



示例示例 4:4: 防止恶意猜测防止恶意猜测 FTPFTP 登录密码登录密码（续）（续）

创建一个新规则，并将规则类型设为“ Observe （观察）” 在“ Packet Matching（数据包匹配）”窗口中将数据包传输方向设为“ Incoming”

在“ Observe （观察）”配置窗口，将观察期限设为 3分钟，匹配次数设为 5

在“ Blacklist （黑名单）”配置窗口中将黑名单期限设为 12小时



在“ TCP/IP” 配置窗口将源地址 /端口都设为“ Any” ；目标地址设为My_IP ；目标端口设为 21

在“ Connect Matching（内容匹配）”配置窗口中：在“ Blacklist-Advance （黑名单高级配置）”窗口中：

步骤二：创建观察规则步骤二：创建观察规则

搜索偏移量为“搜索偏移量为“ 0”0”搜索偏移量为“搜索偏移量为“ 0”0”

从有效负载开始检查从有效负载开始检查从有效负载开始检查从有效负载开始检查

检查深度设为检查深度设为 100100（字节）（字节）


关键字为“关键字为“ user”user”关键字为“关键字为“ user”user”

忽略大小写的区别忽略大小写的区别忽略大小写的区别忽略大小写的区别

FTP登录请求数据包包含关键字“ user” ，对这样的数据包进行观察，可以知道远程终端是否在频繁尝试登录 FTP 服务器FTP登录请求数据包包含关键字“ user” ，对这样的数据包进行观察，可以知道远程终端是否在频繁尝试登录 FTP 服务器


示例示例 5:5: 对尝试使用对尝试使用 TCPTCP 方式登录方式登录 QQQQ的员工采取禁止上网处理的员工采取禁止上网处理

如果某个内部终端在工作时间内尝试使用如果某个内部终端在工作时间内尝试使用 TCPTCP 方式登录方式登录 QQQQ服务器，则将该终端记入黑名单服务器，则将该终端记入黑名单 3030 分钟。分钟。

QQ 服务通常使用 UDP 8000端口，但也允许用户使用 TCP 80 、 445等端口登录 QQ 服务器，其主要目的是为了绕开防火墙的限制。由于 QQ登录使用的 TCP端口是一些常用端口，在使用这些端口的服务中，传统的防火墙很难仅仅限制 QQ 服务，而利用安联防火墙的动态规则，不但可以制止内部用户使用 TCP 方式登录 QQ ，而且还能对这些用户实行禁止上网的处理。

在分析 QQ 的 TCP登录数据包时我们发现： QQ登录请求数据包的头 3 个字节一定为字符串“ 00 6E 02” ，且后续的协商数据包的头 3 个字节也一定为“ 00 1E 02” 。

通过简单地拒绝包含关键字“ 00 6E 02” 的数据包可以阻止用户采用 TCP 方式登录 QQ 服务，但这样的处理缺乏精确性，这是因为某些非 QQ 服务的通讯数据包也可能会包含同样的关键字。为此我们将建立一个动态的观察规则，通过对关键字“ 00

6E 02” 和“ 00 1E 02”进行两次关联检查，精确地确定用户是否在使用 QQ 服务，并作出禁止其上网的处理。

QQ 服务通常使用 UDP 8000端口，但也允许用户使用 TCP 80 、 445等端口登录 QQ 服务器，其主要目的是为了绕开防火墙的限制。由于 QQ登录使用的 TCP端口是一些常用端口，在使用这些端口的服务中，传统的防火墙很难仅仅限制 QQ 服务，而利用安联防火墙的动态规则，不但可以制止内部用户使用 TCP 方式登录 QQ ，而且还能对这些用户实行禁止上网的处理。

在分析 QQ 的 TCP登录数据包时我们发现： QQ登录请求数据包的头 3 个字节一定为字符串“ 00 6E 02” ，且后续的协商数据包的头 3 个字节也一定为“ 00 1E 02” 。

通过简单地拒绝包含关键字“ 00 6E 02” 的数据包可以阻止用户采用 TCP 方式登录 QQ 服务，但这样的处理缺乏精确性，这是因为某些非 QQ 服务的通讯数据包也可能会包含同样的关键字。为此我们将建立一个动态的观察规则，通过对关键字“ 00

6E 02” 和“ 00 1E 02”进行两次关联检查，精确地确定用户是否在使用 QQ 服务，并作出禁止其上网的处理。


是否包含字符串“00 6E 02”




继续执行其它规则检查继续执行其它规则检查

将源 IP 记入黑名单 30分钟将源 IP 记入黑名单 30分钟

No

Yes Yes

No


示例示例 5:5: 对使用对使用 QQQQ 的员工采取禁止的员工采取禁止上网处理（续上网处理（续 11 ））

步骤一：创建被动规则步骤一：创建被动规则



在“ Observe （观察）”配置窗口，将观察期限设为 3分钟，匹配次数设为 1

在“ Blacklist （黑名单）”配置窗口中将黑名单期限设为 30 分钟

在“ Connect Matching（内容匹配）”配置窗口中：





关键字为“关键字为“ \x00\x1E\x02\x00\x1E\x02””关键字为“关键字为“ \x00\x1E\x02\x00\x1E\x02””




示例示例 5:5: 对使用对使用 QQQQ 的员工采取禁止的员工采取禁止上网处理（续上网处理（续 22 ））

步骤二：创建观察规则步骤二：创建观察规则



在“ Connect Matching（内容匹配）”配置窗口中：





关键字为“关键字为“ \x00\x6E\x02\x00\x6E\x02””关键字为“关键字为“ \x00\x6E\x02\x00\x6E\x02””


将替换规则设为已将替换规则设为已配置的被动规则配置的被动规则将替换规则设为已将替换规则设为已配置的被动规则配置的被动规则

在“ Observe-Advance （黑名单高级配置）”窗口中：


事件的记录与审计事件的记录与审计日志规则日志规则日志文件日志文件审计规则审计规则统计文件统计文件示例示例 11 ：统计内部各种段所消耗的网络流量：统计内部各种段所消耗的网络流量示例示例 22 ：统计哪些终端经常使用：统计哪些终端经常使用 MSNMSN 服务服务示例示例 33 ：统计哪些终端经常下载：统计哪些终端经常下载 MP3MP3


日志规则日志规则管理员可以制定专门的日志规则对特定的事件进行记录，其操作步骤为：管理员可以制定专门的日志规则对特定的事件进行记录，其操作步骤为：

– 建立一个日志规则建立一个日志规则– 配置规则的匹配条件（即在什么情况下对数据包进行记录）配置规则的匹配条件（即在什么情况下对数据包进行记录）– 指定日志文件的名称和存放位置指定日志文件的名称和存放位置– 指定对那些数据项目进行记录指定对那些数据项目进行记录

管理员也可以对当前某个规则的执行情况进行记录，其操作步骤为：管理员也可以对当前某个规则的执行情况进行记录，其操作步骤为：– 选择需要记录的规则，在该规则的日志配置窗口中指定日志文件的名称和存放位置选择需要记录的规则，在该规则的日志配置窗口中指定日志文件的名称和存放位置– 同时指定对那些数据项目进行记录同时指定对那些数据项目进行记录

需要记录的信息项目需要记录的信息项目需要记录的信息项目需要记录的信息项目

文件名称及存放的文件名称及存放的位置（相对于软件位置（相对于软件安装目录）安装目录）

文件名称及存放的文件名称及存放的位置（相对于软件位置（相对于软件安装目录）安装目录）

文件容量上限文件容量上限文件容量上限文件容量上限


日志文件日志文件日志文件采用标准的文本文件格式，管理员可使用文本编辑工具打开日志文件采用标准的文本文件格式，管理员可使用文本编辑工具打开

并察看日志记录并察看日志记录当日志文件达到所规则的容量时，系统将自动备份文件并清空全部记当日志文件达到所规则的容量时，系统将自动备份文件并清空全部记

录，日志备份文件的扩展名为录，日志备份文件的扩展名为 .bak.bak


审计规则审计规则创建审计规则可以对各种类型的通讯进行统计，以便于管理员掌握网络资源的使用情况或对内部员工的上网行为做出准确评估。

建立一个审计规则建立一个审计规则配置规则的匹配条件（对哪些数据包进行统计）配置规则的匹配条件（对哪些数据包进行统计）选择统计方式选择统计方式指定审计文件的名称和存放位置指定审计文件的名称和存放位置

创建审计规则的步骤创建审计规则的步骤

统计方式统计方式

ServiceService ：对服务进行统计；以每小时为单位，各项服务进出防火墙的总数据量（字节）：对服务进行统计；以每小时为单位，各项服务进出防火墙的总数据量（字节） Source IPSource IP ：对源地址进行统计；以每小时为单位，从各个：对源地址进行统计；以每小时为单位，从各个 IP IP 发出的总数据量（字节）发出的总数据量（字节） Destination IPDestination IP ：对目标地址进行统计；以每小时为单位，发往各个：对目标地址进行统计；以每小时为单位，发往各个 IPIP 的总数据量（字节）的总数据量（字节） Both IPsBoth IPs：对源地址和目标地址进行统计；以每小时为单位，各个：对源地址和目标地址进行统计；以每小时为单位，各个 IPIP 发出和收到的总数据量（字节）发出和收到的总数据量（字节）


统计文件统计文件统计文件的名称和存放路径由用户指定统计文件的名称和存放路径由用户指定系统每个月产生一个统计文件，并使用当月的英文名称缩写作为扩展文件名系统每个月产生一个统计文件，并使用当月的英文名称缩写作为扩展文件名统计文件中的记录只有在以下情况发生时才被更新：统计文件中的记录只有在以下情况发生时才被更新：

– 防火墙服务正常停止防火墙服务正常停止– 更新防火墙规则更新防火墙规则– 当新的一天开始时当新的一天开始时


示例示例 1:1: 统计内部各终端所消耗统计内部各终端所消耗的网络流量的网络流量

每个内部终端所消耗的网络流量包括了其发出的数据包流量和收到的数据包流量。为了做出总流量的统计，我们可以建立两条统计规则，分别对每个终端发出的数据流量和收到的数据流量进行统计，并将这两个统计规则所产生的数据记录在同一个统计文件中。

每个内部终端所消耗的网络流量包括了其发出的数据包流量和收到的数据包流量。为了做出总流量的统计，我们可以建立两条统计规则，分别对每个终端发出的数据流量和收到的数据流量进行统计，并将这两个统计规则所产生的数据记录在同一个统计文件中。

建立出站审计规则建立出站审计规则

在“ TCP/IP” 配置窗口将源地址设为“ 192.168.1.0/255.255.255.0” （内部网段），源端口设为“ Any” ；目标地址和端口也设为“ Any”

建立一个新规则，并将规则类型设为“ Account （审计）”

在“ Account （审计）”配置窗口中

选择对源地址进行统计选择对源地址进行统计选择对源地址进行统计选择对源地址进行统计

输入统计文件的名称及存储位输入统计文件的名称及存储位置，（文件路经相对于当前防置，（文件路经相对于当前防火墙软件的安装目录）火墙软件的安装目录）

输入统计文件的名称及存储位输入统计文件的名称及存储位置，（文件路经相对于当前防置，（文件路经相对于当前防火墙软件的安装目录）火墙软件的安装目录）


示例示例 1:1: 统计内部各终端所消耗的统计内部各终端所消耗的网络流量（续）网络流量（续）

建立入站审计规则建立入站审计规则

在“ TCP/IP” 配置窗口将源地址和源端口设为“ Any” ；目标地址设为“ 192.168.1.0/255.255.255.0”（内部网段），目标端口设为“ Any” ；


在“ Account （审计）”配置窗口中

选择对源地址进行统计选择对源地址进行统计选择对源地址进行统计选择对源地址进行统计

输入统计文件的名称及输入统计文件的名称及存储位置存储位置输入统计文件的名称及输入统计文件的名称及存储位置存储位置

文件名与出站审计规则所使用的统计

文件名称一致


示例示例 2:2: 统计哪些终端经常使用统计哪些终端经常使用MSNMSN 服务服务

为了加强管理，管理员需要知道哪些内部用户经常利用 Internet从事与工作无关的活动，例如通过 MSN聊天，等等。为了加强管理，管理员需要知道哪些内部用户经常利用 Internet从事与工作无关的活动，例如通过 MSN聊天，等等。

建立出站审计规则建立出站审计规则

在“ TCP/IP” 配置窗口将源地址设为“ 10.20.20.0/255.255.255.0” （内部网段），源端口设为“ Any” ；目标地址设为“ Any” ，目标端口设为“ 1863”


在“ Account （审计）”配置窗口中设置统计方式为“ Source IP （源 IP ）”；审计文件为“ logs/msnAccount” ，即审计文件存放在防火墙安装目录的 logs子目录中。

建立入站审计规则建立入站审计规则

在“ TCP/IP” 配置窗口将源地址设为“ Any” ，源端口设为“ 1863” ；目标地址设为“ 10.20.20.0/255.255.255.0” （内部网段），目标端口设为“ Any” ；


在“ Account （审计）”配置窗口中设置统计方式为“ DestinationDestination IP （目标 IP ）”；审计文件为“ logs/msnAccount” 。


示例示例 2:2: 统计哪些终端经常使用统计哪些终端经常使用MSNMSN 服务服务 ((续续 ))

通过对察看统计记录，可以看通过对察看统计记录，可以看出出 10.20.20.23010.20.20.230 这台终端在下这台终端在下午工作时间内频繁使用午工作时间内频繁使用 MSNMSN服务服务

通过对察看统计记录，可以看通过对察看统计记录，可以看出出 10.20.20.23010.20.20.230 这台终端在下这台终端在下午工作时间内频繁使用午工作时间内频繁使用 MSNMSN服务服务

审计文件如下图所示：


示例示例 3:3: 统计哪些终端经常下载统计哪些终端经常下载 MP3MP3

判定用户是否请求下载MP3 ，我们采用的方法是检查 URL 中是否存在关键字“ *.mp3” ；而当用户下载文件时，返回数据包中不会包含 URL信息；所以我们只能对用户发出的 MP3 下载请求进行统计，并据此判断用户是否经常下载MP3

判定用户是否请求下载MP3 ，我们采用的方法是检查 URL 中是否存在关键字“ *.mp3” ；而当用户下载文件时，返回数据包中不会包含 URL信息；所以我们只能对用户发出的 MP3 下载请求进行统计，并据此判断用户是否经常下载MP3

在“ TCP/IP” 配置窗口将源地址设为“ 10.20.20.0/255.255.255.0” （内部网段），源端口设为“ Any” ；目标地址设为“ Any” ，目标端口设为“ 80”


在“ Account （审计）”配置窗口中设置统计方式为“ Source IP （源 IP ）”；审计文件为“ logs/mp3Account” ，即审计文件存放在防火墙安装目录的 logs子目录中。

在“ Connect Matching（内容匹配）”配置窗口中

搜索搜索 URLURL （全部）（全部）搜索搜索 URLURL （全部）（全部）

关键字为“关键字为“ *.mp3*.mp3””关键字为“关键字为“ *.mp3*.mp3””



示例示例 3:3: 统计哪些终端经常下载统计哪些终端经常下载 MP3MP3((续续 ))

审计文件如下图所示：

通过对察看统计记录，可以看通过对察看统计记录，可以看出出 10.20.20.1010.20.20.10 这台终端在下午这台终端在下午工作时间内频繁发出工作时间内频繁发出 MP3MP3 下载下载请求，即经常下载请求，即经常下载 MP3MP3 文件文件

通过对察看统计记录，可以看通过对察看统计记录，可以看出出 10.20.20.1010.20.20.10 这台终端在下午这台终端在下午工作时间内频繁发出工作时间内频繁发出 MP3MP3 下载下载请求，即经常下载请求，即经常下载 MP3MP3 文件文件


带宽管理带宽管理理解安联防火墙的带宽管理技术理解安联防火墙的带宽管理技术带宽管理的实施步骤带宽管理的实施步骤系统缺省得通讯优先级和带宽管理规则系统缺省得通讯优先级和带宽管理规则示例示例 11 ：对防火墙主机上的：对防火墙主机上的 WebWeb 服务实施优先处理并限制最大可用带宽服务实施优先处理并限制最大可用带宽示例示例 22 ：为内部终端平均分配访问：为内部终端平均分配访问 WebWeb 服务的可用带宽服务的可用带宽


理解安联防火墙的带宽管理技术理解安联防火墙的带宽管理技术

动态队列技术动态队列技术

总量限制技术总量限制技术

带宽均分技术带宽均分技术带宽均分技术

根据当前根据当前 CUPCUP资源的占用情况决定哪些数据包将被优资源的占用情况决定哪些数据包将被优先处理，从而保证了关键业务通讯始终畅通无阻；同先处理，从而保证了关键业务通讯始终畅通无阻；同时具有小数据包优先功能，有效提高网络整体性能时具有小数据包优先功能，有效提高网络整体性能

限定防火墙的最大入站和出站带宽，以及限定某个优限定防火墙的最大入站和出站带宽，以及限定某个优先级的通讯所能够使用的最大带宽。避免由于任何通先级的通讯所能够使用的最大带宽。避免由于任何通讯突发事件造成带宽瞬时完全阻塞讯突发事件造成带宽瞬时完全阻塞

限定使用同种通讯业务的每个内部终端所能使用的最限定使用同种通讯业务的每个内部终端所能使用的最大带宽，避免相互争用带宽资源大带宽，避免相互争用带宽资源

基于规则的带宽管理方案基于规则的带宽管理方案


带宽管理的实施步骤带宽管理的实施步骤在系统安全等级窗口中，选中带宽管理功能在系统安全等级窗口中，选中带宽管理功能

在系统安全等级在系统安全等级 --〉“〉“ Traffic ShapingTraffic Shaping（带（带宽管理）”窗口中配置通讯优先级及相关参数宽管理）”窗口中配置通讯优先级及相关参数

通过菜单中的“通过菜单中的“ Traffic Shaping Rules...”Traffic Shaping Rules...” 命令命令打开带宽管理规则窗口，建立或修改带宽管理规则打开带宽管理规则窗口，建立或修改带宽管理规则

配置带宽管理规则与配置其它防火墙规则的方法基本一致。但必须注意的是：带宽管理规则的执行顺序与防火墙规则正好相反，即在配置窗口中越靠下的带宽管理规则越先被执行。

配置带宽管理规则与配置其它防火墙规则的方法基本一致。但必须注意的是：带宽管理规则的执行顺序与防火墙规则正好相反，即在配置窗口中越靠下的带宽管理规则越先被执行。


系统缺省的通讯优先级和带宽系统缺省的通讯优先级和带宽管理规则管理规则缺省的通讯优先级缺省的通讯优先级

优先级优先级带宽限制带宽限制优先权优先权说明说明Class #1Class #1 无限制无限制 Very High Very High （非常高）（非常高） CPUCPU 占用不超过占用不超过 85%85% 时，通讯可被及时处理时，通讯可被及时处理 Class #2Class #2 无限制无限制 Medium Medium （普通）（普通） CPUCPU 占用不超过占用不超过 50%50% 时，通讯可被及时处理时，通讯可被及时处理Class #3Class #3 无限制无限制 Low Low （低）（低） CPUCPU 占用不超过占用不超过 35%35% 时，通讯可被及时处理时，通讯可被及时处理Class #4Class #4 无限制无限制 Idle Idle （空闲）（空闲） CPUCPU 占用不超过占用不超过 10%10% 时，通讯可被及时处理时，通讯可被及时处理

缺省的带宽管理规则缺省的带宽管理规则缺省状态，所有的通讯都被置于低度优先级（缺省状态，所有的通讯都被置于低度优先级（ Class#3Class#3））使用端口使用端口 1-10241-1024的通讯被置于普通优先级（的通讯被置于普通优先级（ Class#2Class#2 ））交互式通讯，例如：交互式通讯，例如： TelnetTelnet 、、 SSHSSH、、 WWWWWW、、 ICQICQ、、 DNSDNS 、、 FTPFTP端口端口 2121 、、 IRIRCC和和 ICMPICMP ，被置于高度优先级（，被置于高度优先级（ Class#1Class#1 ））

PingPing通讯，通讯， ICMP=EchoICMP=Echo 和和 ICMP=Echo ReplyICMP=Echo Reply ，被置于高度优先级（，被置于高度优先级（ Class#1Class#1 ））出站的出站的 WWWWWW和和 FTPFTP 数据通讯（如：向数据通讯（如：向 InternetInternet 服务器上载文件）被置于低度优服务器上载文件）被置于低度优先级（先级（ Class#3Class#3））

点对点（点对点（ P2PP2P ）通讯被设置为只有空闲时才被执行（）通讯被设置为只有空闲时才被执行（ Class#4Class#4））

规则执行顺序

规则执行顺序


示例示例 1:1: 对防火墙主机上的对防火墙主机上的 WebWeb 服务服务实施优先处理并限制最大可用带宽实施优先处理并限制最大可用带宽

防火墙主机上同时运行防火墙主机上同时运行 WebWeb服务，接入服务，接入 InternetInternet 的带宽为的带宽为 2Mbps2Mbps 对外部用户访问此对外部用户访问此 WebWeb服务的通讯需要优先处理，以保证公共服务的通讯需要优先处理，以保证公共 WebWeb服务的品质服务的品质同时，需要限制同时，需要限制 WebWeb通讯的最大带宽，以保证内部用户随时都有足够的带宽正常访问通讯的最大带宽，以保证内部用户随时都有足够的带宽正常访问 InternetInternet

步骤一：配置通讯优先级步骤一：配置通讯优先级

在安全等级 /带宽管理页面中配置通讯优先级 5 在安全等级管理窗口中，选择使用带宽管理功能

将优先权设为“将优先权设为“ Very High”Very High”将优先权设为“将优先权设为“ Very High”Very High”

通讯优先级通讯优先级 55通讯优先级通讯优先级 55

带宽上限设为“带宽上限设为“ 180KBps”180KBps” ；；约为约为 1.4Mbps1.4Mbps带宽上限设为“带宽上限设为“ 180KBps”180KBps” ；；约为约为 1.4Mbps1.4Mbps


示例示例 1:1: 对防火墙主机上的对防火墙主机上的 WebWeb 服务服务实施优先处理并限制最大可用带宽实施优先处理并限制最大可用带宽((续续 ))

步骤二：配置带宽规则步骤二：配置带宽规则

在“ TCP/IP” 配置窗口将源地址 /端口都设为“ Any” ；目标地址设为“My_IP” ；目标端口设为 80

在带宽管理规则配置窗口中新建一个规则

在“ Packet Matching（数据包匹配）”窗口中将传输方向设为“ Bidirectional （双向）”

在“ Traffic Shape （带宽管理） ”窗口中：

使用优先级使用优先级使用优先级使用优先级建立新规则建立新规则建立新规则建立新规则

对于带宽管理功能的实际效果，可通过“ Traffic Shaping Statistics （带宽调整）”监视器察看：

选择优先级选择优先级 55选择优先级选择优先级 55

通讯优先级通讯优先级

当前的吞吐量当前的吞吐量

被延时处理的数据包被延时处理的数据包


示例示例 2:2: 为内部终端平均分配访问为内部终端平均分配访问 WeWebb 服务的可用带宽服务的可用带宽

防火墙接入防火墙接入 InternetInternet 的带宽为的带宽为 512Kbps512Kbps；网络内部有；网络内部有 2020 台终端台终端企业最重要的应用是通过企业最重要的应用是通过 InternetInternet 进行进行 VoIPVoIP 通讯通讯内部人员使用内部人员使用 InternetInternet 主要是浏览网页，为了不干扰主要是浏览网页，为了不干扰 VoIPVoIP 通讯的正常进行，浏览网页的通讯优先级应通讯的正常进行，浏览网页的通讯优先级应

该较低，同时其最大可用带宽需要受到限制该较低，同时其最大可用带宽需要受到限制为了防止由于个别终端采用多进程方式下载文件造成网络阻塞，导致其它终端无法正常浏览网页，因此为了防止由于个别终端采用多进程方式下载文件造成网络阻塞，导致其它终端无法正常浏览网页，因此

需要限制每个终端进行需要限制每个终端进行 WebWeb 访问时的最大可用带宽访问时的最大可用带宽

步骤一：配置通讯优先级步骤一：配置通讯优先级

在安全等级 /带宽管理页面中配置通讯优先级 5 在安全等级管理窗口中，选择使用带宽管理功能

将优先权设为“将优先权设为“ Very High”Very High”将优先权设为“将优先权设为“ Very High”Very High”

通讯优先级通讯优先级 55通讯优先级通讯优先级 55

带宽上限设为“带宽上限设为“ 40KBps”40KBps” ；；约为约为 320Kbps320Kbps带宽上限设为“带宽上限设为“ 40KBps”40KBps” ；；约为约为 320Kbps320Kbps


示例示例 2:2: 为内部终端平均分配访问为内部终端平均分配访问 WeWebb 服务的可用带宽服务的可用带宽 ((续续 ))

步骤二：配置带宽规则步骤二：配置带宽规则

在“ TCP/IP” 配置窗口将源地址 /端口都设为“ Any” ；目标地址设为“ Any” ；目标端口设为 80

在带宽管理规则配置窗口中新建一个规则

在“ Packet Matching（数据包匹配）”窗口中将传输方向设为“ Bidirectional （双向）”

在“ Traffic Shape （带宽管理） ”窗口中：

使用优先级使用优先级使用优先级使用优先级

通过“ Traffic Shaping Statistics （带宽调整）”监视器察看管理效果：

选择优先级选择优先级 55选择优先级选择优先级 55

每个终端当前占用的带宽每个终端当前占用的带宽总和总和

输入“输入“ 10”10” ，即，即每个终端的可用每个终端的可用带宽为带宽为 10KBps10KBps

输入“输入“ 10”10” ，即，即每个终端的可用每个终端的可用带宽为带宽为 10KBps10KBps

选择对每个选择对每个 IPIP 进进行带宽限制行带宽限制选择对每个选择对每个 IPIP 进进行带宽限制行带宽限制

优先级为第优先级为第 55级的通讯当级的通讯当前的吞吐量前的吞吐量


实时监控实时监控流量监视窗口流量监视窗口察看内部终端的状态察看内部终端的状态察看当前规则的执行情况察看当前规则的执行情况察看防火墙拒绝的通讯记录察看防火墙拒绝的通讯记录察看察看 HTTPHTTP 请求请求察看安全警告察看安全警告察看访问记录察看访问记录实时安全评估实时安全评估


流量监视窗口流量监视窗口

通过防火墙的数据总量，通过防火墙的数据总量，单位：千字节单位：千字节

瞬间通过防火墙的数据总瞬间通过防火墙的数据总量，单位：千字节每秒量，单位：千字节每秒

瞬间通过防火墙的数据瞬间通过防火墙的数据总量线图总量线图

通过防火墙的入站和出通过防火墙的入站和出站数据包总数站数据包总数

瞬间通过防火墙的入站瞬间通过防火墙的入站和出站数据量，单位为和出站数据量，单位为千字节每秒千字节每秒


察看内部终端的状态察看内部终端的状态

通过通过““ NAT Client Statistics”NAT Client Statistics” 监视器，可以迅速了监视器，可以迅速了解到当前有哪些内部终端通过防火墙上网，以及每解到当前有哪些内部终端通过防火墙上网，以及每个终端的当前状态。个终端的当前状态。

内部终端内部终端 IPIP 空闲时间空闲时间

每个终端入站每个终端入站 // 出站出站的传输数据量的传输数据量


察看当前规则的执行情况察看当前规则的执行情况

通过通过““ Firewall Rules Access”Firewall Rules Access” 监视器，可以看监视器，可以看到当前防火墙所执行的全部规则，以及每个规则到当前防火墙所执行的全部规则，以及每个规则被使用的次数。被使用的次数。

不同颜色的图标代表的规则类型：绿色 —— 用户规则和系统规则蓝色 —— 带宽管理规则黄色 —— 由观察规则生成的动态观察列表红色 —— 黑名单规则（包括动态产生的和用户配置的）

不同颜色的图标代表的规则类型：绿色 —— 用户规则和系统规则蓝色 —— 带宽管理规则黄色 —— 由观察规则生成的动态观察列表红色 —— 黑名单规则（包括动态产生的和用户配置的）


察看防火墙拒绝的通讯记录察看防火墙拒绝的通讯记录

““Dropped Packets”Dropped Packets” 监视器，列出了所有被防火监视器，列出了所有被防火墙丢弃的数据包以及被丢弃原因。用鼠标点击某墙丢弃的数据包以及被丢弃原因。用鼠标点击某条记录可显示数据包的全部内容。条记录可显示数据包的全部内容。

““Rejected Connections”Rejected Connections” 监视器，列出了所有被监视器，列出了所有被防火墙拒绝的连接以及被拒绝的原因防火墙拒绝的连接以及被拒绝的原因


察看察看 HTTPHTTP 请求请求““HTTP Request Logs”HTTP Request Logs” 监视器，列出了所有通过防火墙监视器，列出了所有通过防火墙的的 URLURL连接请求连接请求

在系统的安全等级为 5 级缺省配置时， HTTP 请求将不会被系统记录，如需要对 HTTP 请求进行记录，请在系统规则中选择启用“ Log HTTP Requests”规则。在系统的安全等级为 5 级缺省配置时， HTTP 请求将不会被系统记录，如需要对 HTTP 请求进行记录，请在系统规则中选择启用“ Log HTTP Requests”规则。

选中选中““ Log HTTP RequestLog HTTP Requests”s”


察看安全警告察看安全警告

““Firewall Security Alarts” Firewall Security Alarts” 监视器，列出了所有监视器，列出了所有不安全的通讯记录，并指出其危险程度。不安全的通讯记录，并指出其危险程度。


察看访问记录察看访问记录““Active Connections ” Active Connections ” 监视器，列出了当前监视器，列出了当前正在进行的连接正在进行的连接

““Connections Log ” Connections Log ” 监视器，列出了已发生监视器，列出了已发生的所有连接记录的所有连接记录


实时安全评估实时安全评估““Suspicion Monitor ” Suspicion Monitor ” 显示在显示在 11小数或小数或 2424 小时小时内防火墙发现的所有可疑行为内防火墙发现的所有可疑行为

““Security Monitor ” Security Monitor ” 显示显示 44种与安全相关的统计信息种与安全相关的统计信息

用鼠标点击“ Security Monitor” 窗口可分别显示以下四中统计信息：• 被拒绝次数最多的 10 个外部 IP• 外部 IP尝试次数最多的 10 个防火墙端口• 内部主机访问次数最多的 10 个外部 IP• 被外部 IP访问次数最多的 10 个防火墙端口

用鼠标点击“ Security Monitor” 窗口可分别显示以下四中统计信息：• 被拒绝次数最多的 10 个外部 IP• 外部 IP尝试次数最多的 10 个防火墙端口• 内部主机访问次数最多的 10 个外部 IP• 被外部 IP访问次数最多的 10 个防火墙端口

将鼠标移到记录点，可显示具体的可疑事件内容将鼠标移到记录点，可显示具体的可疑事件内容


感谢您的关注！感谢您的关注！

Documents

安联防火墙 /VPN 网关软件 防火墙功能评估指南

安联防火墙 /VPN 网关软件防火墙功能评估指南