防火墙访问策略规则集，第4部分

防火墙访问策略规则集，第4部分

作者：vadim@fwbuilder.org http://www.fwbuilder.org

本文将继续关于Firewall Builder的一系列文章，这是一个图形化的防火墙配置和管理工具，它支持许多开源防火墙平台以及Cisco IOS访问列表和Cisco ASA（PIX）。 防火墙生成器早期在此站点上引入了防火墙生成器入门，在防火墙生成器中使用防火墙对象 。 防火墙访问策略规则集，第1部分 。 防火墙访问策略规则集，第2部分 。

本文继续介绍访问策略规则的示例，并演示如何构建IPv6和混合IPv4 + IPv6配置 。

有关Firewall Builder，预构建的二进制包和源代码的更多信息，请参见项目网站http://www.fwbuilder.org/上的文档 。 “ Firewall Builder用户指南”中提供了许多iptables，pf和其他规则的示例 。 关注Firewall Builder项目博客 ，了解有关使用Firewall Builder的所有方面的公告和文章。

将IPv6规则添加到策略

我们从一个具有一些基本IPv4策略的防火墙对象开始。 首先，我们需要在其接口上添加IPv6地址。 打开与树中的接口对象关联的上下文菜单，然后单击“添加IPv6地址”项。

输入地址和网络掩码长度（使用您自己的地址！）：

将IPv6添加到内部接口：

我们还需要创建网络对象来表示我们的本地IPv6网络。 在新对象菜单中单击新建网络IPv6 。

输入此网络的名称和地址。 我们正在使用链接本地地址进行说明。

检查常规的Policy对象。 要查看其参数，请在树中双击以在编辑器中打开它（参见下面的屏幕截图）。 此对象具有名称 ， IPv4 / IPv6设置和顶部规则集复选框。 对于iptables防火墙，还有一对单选按钮，指示该策略是否应该影响到filter + mangle表或只是mangle表。

IPv4 / IPv6设置告诉编译器应如何解释规则中出现的对象的地址。 可能的配置是“仅IPv4”，“仅IPv6”和“混合IPv4和IPv6”：

• “IPv4唯一规则集” - 只有具有IPv4地址的可寻址对象将在规则中使用。 如果具有ipv6地址的对象出现在规则中，则会被忽略。 仅IPv6业务（如ICMPv6）也被忽略。 使用TCP和UDP服务，因为它们既适用于IPv4和IPv6规则。

• “IPv6唯一规则集” - 相反，仅使用具有ipv6地址的对象，并忽略那些具有ipv4地址的对象。 仅使用仅IPv6业务（如ICMPv6），但忽略诸如ICMP之类的仅IPv4业务。 使用TCP和UDP服务，因为它们既适用于IPv4和IPv6规则。

• “混合IPv4和IPv6仅规则集” - 编译器通过相同的规则进行两次传递，首先生成IPV4配置，然后生成IPV6配置。 在每次通过时，它只使用具有匹配地址族的地址对象。 当IPv6规则逐渐添加到现有IPv4配置中时，这是过渡配置的最佳配置。 请注意，如果将IPv6地址添加到防火墙或规则中使用的主机对象的接口，则编译器将在IPv6 pass上使用IPv4通过的接口的IPv4地址和同一接口的新IPv6地址。 这个原则也适用于地址和服务的混合组。

编译器根据防火墙平台不同地对待“顶级规则集”参数：

• iptables：在这样的规则集中定义的规则将进入内置的链INPUT，OUTPUT，FORWARD等。在不检查该复选框的规则集中定义的规则将与用户定义的链相同，名称与规则名称相同组。

• PF：规则集中定义的规则与“顶部规则集”复选框关闭进入具有规则集名称的锚点。

• Cisco IOS访问列表：如果顶部规则集复选框被关闭，则规则将进入访问列表，其名称前缀为规则集的名称; 该访问列表将不会通过“ip access-group”命令分配给接口。 带有复选框“顶部规则集”的规则集生成具有缩写名称和方向缩写名称（“in”或“out”）的ACL。 只有这些列表被分配给接口。

要添加新策略，请右键单击树中的防火墙对象以打开上下文菜单，并使用菜单项“ 添加策略规则集” 。

为新的策略对象分配唯一的名称，使其成为IPv6并检查顶部规则集复选框，然后单击应用 。

现在点击树中的新策略对象（“Policy_ipv6”），并照常添加一些规则。 这里我们添加了一个允许所有环回的规则，这是允许传入HTTP和ICMP6到防火墙的规则，以及允许来自内部网络（对象“本地ipv6网”）和防火墙本身的传出会话的规则。