防火墙访问策略规则集,第4部分
作者:vadim@fwbuilder.org http://www.fwbuilder.org |
本文将继续关于Firewall Builder的一系列文章,这是一个图形化的防火墙配置和管理工具,它支持许多开源防火墙平台以及Cisco IOS访问列表和Cisco ASA(PIX)。 防火墙生成器早期在此站点上引入了防火墙生成器入门,在防火墙生成器中使用防火墙对象 。 防火墙访问策略规则集,第1部分 。 防火墙访问策略规则集,第2部分 。
本文继续介绍访问策略规则的示例,并演示如何构建IPv6和混合IPv4 + IPv6配置 。
有关Firewall Builder,预构建的二进制包和源代码的更多信息,请参见项目网站http://www.fwbuilder.org/上的文档 。 “ Firewall Builder用户指南”中提供了许多iptables,pf和其他规则的示例 。 关注Firewall Builder项目博客 ,了解有关使用Firewall Builder的所有方面的公告和文章。
将IPv6规则添加到策略
我们从一个具有一些基本IPv4策略的防火墙对象开始。 首先,我们需要在其接口上添加IPv6地址。 打开与树中的接口对象关联的上下文菜单,然后单击“添加IPv6地址”项。
输入地址和网络掩码长度(使用您自己的地址!):
将IPv6添加到内部接口:
我们还需要创建网络对象来表示我们的本地IPv6网络。 在新对象菜单中单击新建网络IPv6 。
输入此网络的名称和地址。 我们正在使用链接本地地址进行说明。
检查常规的Policy对象。 要查看其参数,请在树中双击以在编辑器中打开它(参见下面的屏幕截图)。 此对象具有名称 , IPv4 / IPv6设置和顶部规则集复选框。 对于iptables防火墙,还有一对单选按钮,指示该策略是否应该影响到filter + mangle表或只是mangle表。
IPv4 / IPv6设置告诉编译器应如何解释规则中出现的对象的地址。 可能的配置是“仅IPv4”,“仅IPv6”和“混合IPv4和IPv6”:
“IPv4唯一规则集” - 只有具有IPv4地址的可寻址对象将在规则中使用。 如果具有ipv6地址的对象出现在规则中,则会被忽略。 仅IPv6业务(如ICMPv6)也被忽略。 使用TCP和UDP服务,因为它们既适用于IPv4和IPv6规则。
“IPv6唯一规则集” - 相反,仅使用具有ipv6地址的对象,并忽略那些具有ipv4地址的对象。 仅使用仅IPv6业务(如ICMPv6),但忽略诸如ICMP之类的仅IPv4业务。 使用TCP和UDP服务,因为它们既适用于IPv4和IPv6规则。
“混合IPv4和IPv6仅规则集” - 编译器通过相同的规则进行两次传递,首先生成IPV4配置,然后生成IPV6配置。 在每次通过时,它只使用具有匹配地址族的地址对象。 当IPv6规则逐渐添加到现有IPv4配置中时,这是过渡配置的最佳配置。 请注意,如果将IPv6地址添加到防火墙或规则中使用的主机对象的接口,则编译器将在IPv6 pass上使用IPv4通过的接口的IPv4地址和同一接口的新IPv6地址。 这个原则也适用于地址和服务的混合组。
编译器根据防火墙平台不同地对待“顶级规则集”参数:
iptables:在这样的规则集中定义的规则将进入内置的链INPUT,OUTPUT,FORWARD等。在不检查该复选框的规则集中定义的规则将与用户定义的链相同,名称与规则名称相同组。
PF:规则集中定义的规则与“顶部规则集”复选框关闭进入具有规则集名称的锚点。
Cisco IOS访问列表:如果顶部规则集复选框被关闭,则规则将进入访问列表,其名称前缀为规则集的名称; 该访问列表将不会通过“ip access-group”命令分配给接口。 带有复选框“顶部规则集”的规则集生成具有缩写名称和方向缩写名称(“in”或“out”)的ACL。 只有这些列表被分配给接口。
要添加新策略,请右键单击树中的防火墙对象以打开上下文菜单,并使用菜单项“ 添加策略规则集” 。
为新的策略对象分配唯一的名称,使其成为IPv6并检查顶部规则集复选框,然后单击应用 。
现在点击树中的新策略对象(“Policy_ipv6”),并照常添加一些规则。 这里我们添加了一个允许所有环回的规则,这是允许传入HTTP和ICMP6到防火墙的规则,以及允许来自内部网络(对象“本地ipv6网”)和防火墙本身的传出会话的规则。