故障发生及排查故障的过程，是我们在《实例解析防火墙部署搭建与故障排除（二）》中介绍的内容，减少故障离不开合理的安全策略，本文将介绍防火墙上安全策略的配置。

　　四、防火墙安全策略的配置。

　　在防火墙上总共需要配置添加两个策略，才能解决上面的故障，如下所示。

　　1、在防火墙上添加允许办公区用户访问FTP服务器的安全策略。如图4所示，是添加策略的Web界面。标红色星号的选项是必须填写的。“规则名”为Vlan115-to-Vlan5；“序号”是自动生成的；“源地址”和“目的地址”的IP地址和子网掩码就按如图所示的填写即可，但注意子网掩码一定要写255.255.255.255，不能写成255.255.255.0。因为前者的子网掩码只对应一个IP地址，而后者则对应的是一个网段。如果把源地址和它的子网掩码写成192.168.115.2和255.255.255.255，意思就是只允许192.168.115.2这一个IP地址访问FTP服务器。但若是把子网掩码写成了255.255.255.0，那对应的安全策略就成了允许所有属于192.168.115.0/24这个网段的IP地址访问FTP服务器。

图4　在防火墙WEB管理界面中添加允许访问FTP服务

　　“动作”共有四个选项，但只能选择其中一项，“允许”就是允许与源地址和目的地址匹配的IP数据包通过，“禁止”就是不允许通过。还有两个选项是在防火墙上使用其它的安全功能时才选择的。最后一个选项是“服务”，这个是从服务的下拉菜单中选择的，选择的是ftp服务。一般在防火墙之类的安全设备上都会默认定义一些常用的安全服务，如FTP、HTTP和ICMP等。另外，还有如下所示几个功能，虽然在本例中没有使用，但也非常重要。

　　“源端口”中端口号的填写，可以用英文逗号分割表示多个端口，或用英文冒号分割表示端口段。两种分割方式不能同时使用。“源MAC”是指数据包中二层的源MAC地址。

　　“流入网口”是限制网络数据包的流入网口，可以防止IP欺骗。可选内容包括：any和所有已激活的网口。默认值为any，表示不限制接收网口。如果防火墙工作在透明模式，必须选择相应的物理网口如Gi1。如果不能确定流入网口或工作在混合模式，就选择any。

　　“流出网口”流出网口检查，当选择源地址转换时才能选择。在透明模式下需要选择桥设备。如果不能确定流出网口或工作在混合模式，应当选择any。

　　“时间调度”是指在指定的时间段内，安全规则为生效状态，在指定的时间段外，安全规则就变为无效。

　　2、在防火墙上添加，允许所有的Ping命令都能通过防火墙的策略。如图5所示，是在防火墙的WEB管理界面中添加此策略的示意图。“规则名”为ICMP；“序号”为18，也是系统自动生成的；注意“源地址”和“目的地址”中的IP地址、子网掩码任何内容都没有填写。其实这种情况下，不输入任何地址就代表所有的IP地址。也就是所有Ping的数据包，无论它的源地址和目的地址是什么IP地址，都允许它通过防火墙；“动作”选择允许；“服务”选择的是icmp_any，它代表的就是Ping命令所使用的服务。在图5中的，还有以下的几个功能选项在本例中也是没有使用，但也非常重要。

　　“长连接”设定该条规则可以支持的长连接时间。0为不限时。若限时，则有效的时间范围是30-288000分钟。如果希望在指定的时间之后断开连接，就可以设定该功能。

　　“深度过滤”在生效的安全规则中执行深度过滤。不过，对数据包进行应用层的过滤会影响系统的处理性能，所以一般情况下不要启用深度过滤。可以在下拉框的选项中选择“无”，从而不启用深度过滤功能。

图5　在WEB管理界面中添加允许Ping包通过防火墙

　　“P2P过滤”对满足条件的数据包进行BT过滤。Emule和Edonkey过滤，只在包过滤“允许”的情况下可用，至少选择“BT过滤”、“Emule和Edonkey过滤”的其中一个时，才可以选择“P2P日志纪录”。

　　这里BT过滤就是对于满足该规则的连接，禁止其BT下载，支持的BT客户端包括BitComet 0.60以下版本、BitTorrent和比特精灵。Emule和Edonkey过滤就是对于满足该规则的连接，禁止其Emule和Edonkey下载。不过，对于已经建立连接的BT/ed2K的下载，不能禁止，必须重启BT/ed2K客户端后才能生效。

　　“抗攻击”共包括四种抗攻击。TCP服务可以选择抗SYN Flood攻击；UDP服务可以选择抗UDP Flood攻击；ICMP服务可以选择ICMP Flood和抗Ping of Death攻击。也可以在一条规则中，选择多个抗攻击选项。四种抗攻击的详细说明如下：

　　——当允许TCP规则时，选择了抗SYN Flood攻击，防火墙会对流经的带有Syn标记的数据进行单独的处理。抗Syn Flood攻击之后的输入框填写数值的具体含义：个位数为保留数字，0-9分别代表抗攻击强度，从弱到强。设置数字的位数如果超过两位，则该数字减去个位的数字表示限制每秒通过的能够真正建立TCP连接的带有Syn标志数据包的个数。如果设置为0，表示每秒通过的带有Syn标志的数据包大于90，才进行能否真正建立TCP连接；如果设置为1，表示每秒通过的带有Syn标志的数据包大于80，才进行能否真正建立TCP连接；如果设置为9，表示通过的带有Syn标志的数据包都经过了防火墙的判断，确认是可以建立真正TCP连接的数据包。
　　——当允许UDP规则时，选择了抗UDP Flood攻击，防火墙会对流经的UDP数据进行单独的处理。抗UDP Flood攻击之后的输入框填写的数值的具体含义是限制每秒通过的UDP数据包的个数。
　　——当允许ICMP规则时，选择了抗ICMP Flood攻击，防火墙会对流经的ICMP数据包进行单独的处理。抗ICMP Flood攻击之后的输入框填写的数值的具体含义是限制每秒通过的ICMP数据包的个数。
　　——当允许ICMP规则时，选择了抗Ping of Death攻击，防火墙会对流经的ICMP数据包进行单独的处理。含有Ping of Death 攻击特征类型的数据包将被过滤掉。

　　“包过滤日志”强制要求匹配该条规则的数据包是否需要记录包过滤日志。

　　3、在防火墙的WEB管理界面中，配置添加完以上两条安全策略后，也就解决了在办公区用户的电脑上不能Ping通，和不能访问FTP服务器上资源的故障。

　　五、总结。

　　1、随着互联网的飞速发展，网络安全问题越来越突出，人们的安全意识也不断地提高，但现在还没有一项技术和工具比防火墙解决网络的安全问题更有效。利用它强大的隔离和预防作用，通过在网络边界进行隔离，是改善网路安全状况最有效的方式。防火墙通常是圈定一个保护的范围，并假定防火墙是唯一的出口，然后由防火墙来决定是放行还是封锁进出的数据包。

　　防火墙不是万能的，但没有防火墙是万万不能的。再配合其它的安全技术和工具，它能够提供完整的安全解决方案。

　　2、以上所述，都是目前广泛使用的传统型防火墙在网络中所发挥的巨大作用及其优势，但是这些传统防火墙都是基于一种重要的理论假设来进行安全防护的。这种理论认为如果防火墙拒绝某类数据包的通过，则认为它一定是安全的，因为该些包已经被丢弃。但防火墙并不保证准许通过的数据包是安全的，它无法判断一个正常的服务的数据包和一个恶意的数据包有什么不同。传统防火墙也无法提供基于应用和用户的，从第三层到第七层的一体化访问策略控制，黑客常常通过穿透合法的80端口，就可以轻松地让防火墙的安全控制策略变成“聋子和瞎子”。此外，它也无法提供基于应用的流量分析和报表展示，无法帮助用户了解当前网络边界的现状。而且，当前的安全威胁已不再是单一的类型。通常一个完整的入侵行为包含了多种技术手段，如漏洞利用、Web入侵、木马后门、恶意网站等，如果将这些安全威胁割裂的进行处理和分析，系统的防范短板依然存在。

　　新一代的防火墙应该加强允许通过防火墙的数据包的安全性，因为网络安全的真实需求是，既要保证网络安全，也必须保证应用的正常运行。所以，目前企业使用越来越多的Web防火墙受到了更多人的关注，它是一种基于应用层开发的新一代应用防火墙，与传统安全设备相比它可以针对丰富的应用提供完整的、可视化的内容安全保护方案。它解决了传统安全设备在应用可视化、应用管控、应用防护、未知威胁处理方面的巨大不足，并且满足了同时开启所有功能后性能不会大幅下降的要求。

　　相信，随着人们对网安全意识的不断增强，和各种功能强大、性能先进安全设备的广泛应用，一个安全、绿色的互联网会越来越深入到人们的工作和生活当中。