在防火墙生成器中使用防火墙对象
Firewall Builder支持各种对象类型,包括地址,网络,主机或IP,TCP,UDP和ICMP服务等简单的对象类型,以及更复杂的对象类型,如防火墙,主机,地址表,DNS名称,用户服务。 防火墙对象是程序的核心,是本文的重点。
一般说明
防火墙对象旨在表示网络中真正的防火墙设备。 该防火墙对象将具有镜像实际设备的实际接口和IP地址的接口和IP地址对象。 此外,防火墙对象是您创建分配给防火墙设备的访问策略规则集,NAT规则集和路由规则集的位置。
默认情况下,防火墙有一个策略规则集,一个NAT规则集和一个路由规则集。 但是,您可以使用分支规则创建多个规则集(对于支持它们的防火墙)。 另一方面,您不必填写所有规则集。 例如,您可以创建策略规则集,并将NAT和路由规则集设置为空。 我们更详细地介绍了下面的策略和规则集。
为了加快创建防火墙对象,Firewall Builder有一个向导,引导您完成创建对象。 向导有三个创建防火墙对象的选项:
- 从模板:Firewall Builder附带几个预定义的模板。 您可以使用这些来创建一个靠近您的配置的防火墙,修改它以满足您的需要。 此方法在此处或此处的“入门防火墙生成器”中进行了 说明 。
- 手动:手动提供接口IP地址,子网掩码,网关等参数。 您可以在创建防火墙时添加此信息,也可以稍后添加。
- 通过SNMP:Firewall Builder使用SNMP查询来了解网络。
手动创建防火墙对象
要启动防火墙对象创建向导,请右键单击“用户”树中的“防火墙”文件夹,然后选择“新建防火墙”。
此向导的第一页将显示。
给防火墙对象一个名字。 通常,此名称将与设备名称相同,但不需要手动分配接口。 (如果使用SNMP或DNS填充接口,则名称必须与设备名称相同)。然后指定防火墙软件和操作系统。 取消选中“使用预配置的模板防火墙对象”复选框。 点击下一步。
选择手动配置接口,然后单击下一步。
使用此屏幕添加防火墙接口。 填写接口的以下字段,然后单击添加以添加接口。 然后,再填充下一个接口的字段。 如果您犯了错误,请单击列表中的界面,进行更改,然后单击更新。
- 接口类型:指示接口类型。 我们在下面更详细地说明界面类型。 简而言之,常规接口具有静态IP地址,动态地址接口具有DHCP提供的动态地址,未编号的接口从不具有IP地址(例如,PPPoE连接),Bridge por t是在防火墙中桥接的接口。
- 名称:Firewall Builder中的接口对象的名称必须与其所代表的防火墙机器的接口的名称完全一致。 这将是“eth0”,“eth1”,“en0”,“br0”等等。
- 标签:在大多数操作系统的这个字段不被使用并且用于描述性标签的目的。 该标签对于Cisco PIX是强制性的,但必须反映网络拓扑。 Firewall Builder GUI使用标签(如果不是空白)标记树中的接口。 该领域的一个建议用途是标记接口以反映网络拓扑(“外部”,“内部”)或接口目的(“web前端”或“备份子网”)。
- 地址:如果接口有静态IP地址,请在此处指定。 (在防火墙构建器版本3中,必须是IPv4地址,如果需要将其作为IPv6地址,请创建不带IP地址的接口,然后在创建防火墙对象后添加IPv6地址。
- 网络掩码:使用传统的网络掩码(255.255.255.0)或斜杠符号(24,没有实际的斜线)来指定接口网络掩码。
- MAC:如果你喜欢,你也可以指定接口的物理地址。 MAC地址不是必需的,但它可以用来打击欺骗。 如果功能开启且可用,并且在策略规则中使用具有MAC地址的接口对象,则如果MAC地址也与指定的MAC地址匹配,则防火墙将仅接收来自给定IP地址的数据包。
所有接口配置完成后,单击完成以创建新的防火墙对象。
注意:您可以随时使用主窗口中提供的控件添加,修改和删除界面。
