图76 缺省规则(路由模式)
以下为界面相关描述。
表58 缺省规则(路由模式)
标识描述
enable firewall 点选此框可以激活防火墙功能。当防火墙激活的时候,zywall 会执行访问控制,防范拒绝服务(dos)攻击。
allow asymmetrical route 点选此框可以让zywall 防火墙在网络上允许使用三角路由拓扑。
如果您选中了此功能,那么lan to lan,wan to wan 和dmz todmz 的数据包都会旁路防火墙的规则检测,直接进行通信。
请您参考附录了解更多关于三角路由拓扑的知识。
packet direction 选择数据包传输的方向(lan to lan/zywall,lan to wan,lan to dmz,wan to wan/zywall,wan to lan,wan todmz,dmz to dmz/zywall,dmz to lan 或dmz to wan)。
lan to lan/zywall 说明数据包是从zywall lan 接口上的一台电脑或一个子网发送到相同lan 接口上的其它计算机或子网,或者zywall 本身。您可以使用下拉菜单来选择防火墙规则适用的数据传输方向。
default action 您可以规定在所选方向上的数据包是block(丢弃)还是forward(允许通过)。
log 点选此框可以将在该方向上传输并且不符合任何规则的数据包记录在日志里面。
apply 点击apply 可以保存设置。
cancel 点击cancel 可以重新配置该界面。
图77 缺省规则(网桥模式)
表59 缺省规则(路由模式)
标识描述
enable firewall 点选此框可以激活防火墙功能。当防火墙激活的时候,zywall 会执行访问控制,防范拒绝服务(dos)攻击。
allow asymmetrical route 点选此框可以让zywall 防火墙在网络上允许使用三角路由拓扑。
如果您选中了此功能,那么lan to lan,wan to wan 和dmz to dmz 的数据包都会旁路防火墙的规则检测,直接进行通信。
请您参考附录了解更多关于三角路由拓扑的知识。
packet direction 选择数据包传输的方向(lan to lan/zywall,lan to wan,lan to dmz wan to wan/zywall,wan to lan,wan tolan to lan/ zywall 说明数据包是从zywall lan 接口上的一或者zywall 本身。您可以使用下拉菜单来选择防火墙规则适用的数据传输方向。
default action 您可以规定在所选方向上的数据包是block(丢弃)还是forward(允许通过)。
log 点选此框可以将在该方向上传输并且不符合任何规则的数据包记录在日志里面。
log broaddcast frame 点选此框可以将在该方向上传输的2 层广播数据帧记录在日志里面。
apply 点击apply 可以保存设置。
cancel 点击cancel 面。可以重新配置该界
10.6.1 规则汇总
由于规则会依次应用,所以您的规则排序非常重要。
先点击firewall,然后点击rule summary标签可以见到以下界面。
图78 规则汇总
以下为界面相关描述。
表60 规则汇总
标识描述
10.6.2 设置防火墙规则
您可以按照以下步骤来创建新的防火墙规则。
1. 您可以在rule summary界面中给防火墙规则设置一个序列号。例如,如果您输入“6”,那么您的新规则就会变成第6项规则,而原先的第6项规则(如果该规则存在)就会变成第7项规则。
2. 点击insert可以显示防火墙规则的设置界面,您可参考下表中的信息进行设置。
图79 创建/编辑一条防火墙规则
以下为界面相关描述。
表61 创建/编辑一条防火墙规则
标识描述
edit source/ destination address
address type 您可以从下拉菜单中选择一个该规则适用的地址范围:single address,range address,subnet address 和any address。
start ip address 输入一个单一的ip 地址或一个ip 网段的起始ip 地址。
end ip address 输入一个ip 网段的末尾ip 地址。
subnet mask 输入子网掩码地址。
add 点击add 可以在source 或destination address 栏中添加一个新的地址。您可以添加多个ip 地址,一段ip 地址或一个子网段。
modify 您可以编辑一个现存的源或目的ip 地址,输入新地址后点击modify即可。
delete 在source 或destination address 中选择一个现存的源或目的地址,然后点击delete 即可删除。
edit services
available/selected services 请参考表63,了解更多有关服务的信息。从左边的available services中选择您需要的服务,然后点击]]添加到selected services栏中。
要删除服务,请在selected services栏中选择相应的服务,然后点击[[ 即可。
custom service
add 点击这个按钮将会显示一个自定义服务窗口。
edit 列表中选择一个您自定义的服务(以“*”号从available services标识出来),然后点击该按钮即可对这个服务进行编辑。
delete 从available services 列表中选择您定义的服务(以“*”号标识出来),然后点击该按钮即可删除这个服务。
edit schedule
day to apply 选择该规则每周应用的日期。
time of day to our apply (24-hformat)
和截止的使用时间(分别输入小时和分选择all day 或输入开始钟)。
actions when matched
log packet information when matched 该区域可以决定数据包符合规则的时候是创建一个日志记录(enable),还是不创建(disable)。
您可进入log settings 界面,选择access control 日志列表,然后选择相关的项目,zywall 会对您所选选择的项目做日志记录。
send alert message to administrator when matched 点选此项可以在数据包符合防火墙规则时候由zywall生成一个报警信息。
action for matched packets 您可以选择当数据包符合该规则的时候,防火墙是禁止数据包通过(block),还是允许数据包通过(forward)。
apply 点击apply可以保存设置。
cancel 点击cancel可以重新设置该界面。
10.6.3 设置用户自定义端口
对于zywall没有预定义的端口服务(请参考预定义服务一节来预定义服务),我们需要对其自行定义。我们以访问iana(internet assigned number authority)网站的服务为例说明如何设置用户自定义端口。
当编规则的时候,您可以点击custom p辑一条防火墙ort下的add按钮来配置一个用户自定义端口。以下为用户配置界面。
图80 创建/编辑一个用户自定义服务
以下为界面相关描述。
表62 创建/编辑一个用户自定义服务
标识描述
service name 为您的自定义端口输入一个标识名称。
service type 从下拉菜单中为您的自定义端口选择一个协议(tcp,udp 或both)。
port 选择single 定义一个端口或选择range 规定一个端口范围。
apply 点击apply可以保存设置。
cancel 点击cancel 可以取消设置,并退出该界面。