防火墙应用指南(三)——企业典型应用tplink路由器设置
tplink 2017-8-21 2:4:51 tplink 次浏览
在您继续了解本文档下面的内容之前,我们建议您能够先了解参考一下我们的《防火墙应用指南》系列文档之《防火墙应用指南(一)——基本配置指导思想》和《防火墙应用指南(二)——虚拟服务器的搭建》。
下面通过一些详细的例子,来进一步说明通过TL-FR5300的配置,如何实现企业的网络管理需求。
1,公司销售部因为业务需求,上班时间要具备“浏览网页”的权限,但是个别网站禁止访问,除“浏览网站”以外没有其他上网权限,其他时间不进行任何上网限制。在实现上面需求的基础上,要防止IP地址盗用。
分析:要实现上面的目的,在配置TL-FR5300的策略的时候,涉及的“对象”有销售部员工的IP地址、外部网站、除了访问网站以外别的上网操作等等,这些“对象”我们会在下面的配置过程中一一体现出来。
配置:
(1)“IP地址”:关于这个对象的描述和详细的举例,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南——基本配置指导思想》,我们这里就直入主题开始配置了。
在TL-FR5300“对象”-“IP地址”页面,选择“区域”LAN,点击“新增”按钮:
按照上图的办法将销售部所有员工的IP地址都添加到“IP地址”这个对象里面,下图:
(2)“IP地址组”:接下来把销售部所有成员都加入到一个组,取名“销售部”,如下图:
(3)“服务”:要访问Internet上的网站,也就是内网电脑要有访问Internet上80端口的HTTP服务的权限。同时,登录网站前内网电脑还有个向Internet上DNS服务器请求域名解析的过程,所以还需要DNS权限,这些服务在TL-FR5300的“预定义服务”这个对象中都已经存在了,不需要设置。可以在“对象”-“服务组”里面定义一个新的服务组,包含“DNS”和“HTTP”两项服务,取名“WEB服务”,如下图所示:
备注:有关“服务”这个对象的详细应用,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南(二)——虚拟服务器的搭建》。
(4)“时间表”:上班时间需要控制,其他时间整个公司都可以随便上网,不需要控制;我们需要建立两个时间表:“上班时间表”、“非上班时间表”;
备注:有关“时间表”这个对象的详细应用,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南(一)——基本配置指导思想》。
(5)“URL过滤”:个别网站禁止访问,可以通过“URL过滤”这个功能实现。假设我们要禁止访问的网站域名为www.xxx.com。
如下图先在“对象”-“URL模式表”里面,将准备禁止访问的网站域名体现出来,配置如下图所示:
给“模式表”栏自定义一个black的名字含义是要禁止,在“URL模式”栏填入想要禁止访问的网站域名www.xxx.com。然后点击“添加”按钮。
然后在“对象”-“URL过滤配置”界面“新增”一个黑白名单选择,如下图:
如上图:
“URL过滤配置名字”这一栏输入一个名字,后面配置策略的时候就通过这个名字来引用的。
“黑名单”里选择前面我们定义的black那张表,它里面包含了想要禁止的www.xxx.com这个网站的域名。如果还要禁止别的网站,只需要将那些网站域名添加到前面black那张表里面就可以了,这里不需要改动。
“白名单”保持默认的不改动即可。
“缺省动作”默认允许不作改动。
然后点击“确定”按钮即可。
(6)“用户”:为了防止其他没有上网权限的用户盗用销售部的IP地址来上网,就需要通过这里的设置来实现。
先在“对象”-“用户”界面里为销售部所有员工每人设置一个用户名和密码。如下图:
如上图给销售部员工张三设定了用户名和密码,当给张三分配IP地址的时候连同这里的用户名和密码一起分配给张三。同样给销售部员工李四、王五等等都设置用户名和密码。
设置好以后再进入TL-FR5300“对象”-“用户组”界面,将上面设置的销售部的多位员工归并到一组如下图:
如上图设置好以后,当配置“策略”的时候引用“销售部用户”这个组,那么符合本策略的所有“源地址”的主机在登录互联网的时候都需要先通过认证,通过这种方式达到防止IP地址盗用的目的。
(7)好了,经过上面6步准备工作,到此为止配置“策略”所需要涉及到的“对象”基本设置完成。
看过我司网站“技术支持”——“网络教室”栏目文档《路由器如何限制内网电脑使用QQ》一文的用户都知道,腾讯公司的即时聊天软件QQ也使用了80端口。上面第(3)步定义“服务”对象的时候,开启了HTTP服务也就是80端口,这样一来允许80端口通过QQ也就可以成功登录了,这显然是不符合一开始提到的网络控制需求,那么我们需要回头再做一些设置准备:
在“对象”-“IP地址”页面选择WAN “区域”,将腾讯公司提供的所有QQ服务器的IP地址全部“新增”到WAN区域,如下图:
备注:上图页面中QQ服务器IP地址是我们通过QQ2006这个版本,在深圳电信ADSL线路上寻找到的提供80端口服务的地址,不代表您那里的情况,所以建议您在自己实际应用的线路上亲自寻找一下看是否是别的IP地址。
因为我们这里的事例只是说开放了HTTP 80端口的权限后,通过80端口登录成功QQ连接的服务器IP地址,所以没有涉及QQ使用其他比如8000、443端口连接的时候,连接的服务器IP地址是多少。
然后在“对象”-“IP地址组”页面,选择WAN区域然后“新增”条目,对上面设定的单个QQ服务器进行归并,如下图:
设置完成后点击确定按钮,完成准备工作。
(8)开始“策略”的设置,选择区域从“LAN”到“WAN”,点击“新增”按钮(注意配置前先删除默认的any-any-any的策略):
如上图“服务”保持默认ANY意思是:发往QQ服务器任何端口的数据包都被禁止。设定完成后点击“确定”按钮。然后继续设置销售部只开放“浏览网页”权限的“策略”,如下图所示:
上图设置好之后,再添加一条下班时间不限制上网的“策略”:“销售部-any―any-允许-非上班时间表”就可以让销售部在非上班时间拥有所有上网权限了。上图中有红字“用户认证”注解“认证”这一部分,上面第(6)步的准备,先设定用户在设定用户组,然后上图“认证”部分选择了前面设定好的“销售部用户”这个组,这样凡是使用销售部IP地址上网的,都需要提供用户名和密码通过认证,然后才可以上网。在电脑端具体的认证步骤请参考TL-FR5300的《用户手册》。
“策略”设置完成后如下图所示:
注意:策略的匹配原则
在上面第1部分设置了三条策略,从上往下分别是:销售部上班时间禁止登录QQ 、销售部上班时间允许浏览网页(限制个别网站)、销售部下班时间不进行上网限制。策略的顺序如下图:
对比上面这两幅图片,策略的位置不同,结果也是不同的!如果是第二幅图片中的顺序,那么就无法限制QQ了。
策略匹配的原则是:从上往下逐条匹配(图中红线的方向)!而不是按照“ID”号码大小来匹配的!如果是上面第二副图片的位置顺序,那么销售部电脑发往80端口的QQ服务器的数据包将满足第一条策略设置的条件,第一条策略允许销售部电脑发往任何80端口数据包通过TL-FR5300 。从而使发往80端口的QQ服务器的数据包也通过TL-FR5300被转发(“目的地址”一栏ANY包含了QQ服务器组,“服务”一栏WEB服务也包含了80端口)。
所以在设置多条策略的时候,一定要注意设置的策略所处的位置是否合适?当存在包含关系的多条策略存在,一定要合理调整策略的上下位置,上图中红色方框勾勒的“移动”选项可以实现我们灵活移动策略位置的需求。
2,公司需要对网络进一步管理,员工能否收发邮件以及邮件附件的大小都是需要管理的对象,通过TL-FR5300如何实现?
分析:
对邮件的收发分两种情况:
第一种:使用邮件软件比如:Outlook或Foxmail收发。利用客户端软件收发邮件分别使用的SMTP协议和POP3协议,使用的端口是25和110,所以只要开启了25、53、110三个端口的权限就可以收发邮件(开启53端口是因为邮件软件在配置的过程中“邮件服务器”选项允许填写邮件服务器的域名,如果填写了域名则邮件软件在联系邮件服务器之前,先有一个通过服务器域名解析服务器IP地址的过程,这个过程使用到53端口)。
对上面描述的“对邮件附件大小进行管理”的问题,我们可以利用TL-FR5300的邮件深层检测的功能来实现。下面我们以“研发部收发邮件的权限”为例来说明如何在TL-FR5300 “策略”里面对邮件进行管理?
设置:对于研发部门的IP地址规划以及如何在“对象”-“IP地址/IP地址组”里面进行设置,在这里就不重复了,有需要的话就请熟悉一下上面第1步的内容,或者我们的《防火墙应用指南》系列文档之《防火墙应用指南——(二)虚拟服务器的搭建》。
新增一条LAN—>WAN的策略,源地址“研发部”目的地址“ANY”,服务就是DNS、SMTP和POP3 。界面如下图:
上图以SMTP“服务”为例,在“深层检测”这一栏选择“SMTP”然后点击右面的“设置”按钮如下图:
如上图设置后,发送的邮件不能带有附件,且邮件的总大小是不能超过100KB的。同样对接收邮件可以设置POP3的深层检测,POP3的深层检测可以对邮件的总大小进行限制。设置完后点击“确定”按钮返回上一级“策略”设置的界面。
针对DNS和POP3服务的“策略”都添加后,对邮件进行管理的“策略”就设置完成了,如下图所示:
如上图,ID8、ID9、ID10三条策略就可以实现:“研发部门可以发送不带附件的邮件,收邮件没有任何限制。”
分析:
第二种:除了上面描述的通过邮件软件收发邮件的方法以外,还有一种方法就是利用WEB站点收发邮件,也就是电脑通过IE浏览器登录到网站上收发邮件,比如个人经常使用163信箱、Yahoo、Sohu等网站提供的免费信箱。这种类型的操作使用的是WEB技术。假设研发部有进行WEB访问(/浏览网站)的权限,那么通过前面第一种对SMTP和POP3进行管理的办法仅仅只能控制收发邮件中的一部分。对以WEB方式收发邮件的操作要进行管理的话我们就需要“策略”里面的“(HTTP)深层检测”来实现。
设置:
对HTTP深层检测的前提是给单位内部某个工作组开放了WEB访问权限的时候才会用到,如果某个工作组没有WEB访问权限,当然也就不可能通过WEB方式收发邮件里。下面的设置是针对:开启了WEB访问权限同时又需要对通过WEB方式收发邮件进行管理。如下图是参数的设置:
在“服务”栏选择HTTP服务表示WEB权限(浏览网站),在“深层检测”这一栏选择“HTTP”并点击后面的“设置”按钮如下图:
对上面的POST方法的大小进行限制(单位是字节),在网站上发帖、登陆一个论坛或邮箱、WEB界面发送一个邮件,都使用了POST方法,所以这个大小的设置可能需要多次动态调整,上图设置的500字节登陆一般的论坛和邮箱都是没有问题的,但文字稍多的邮件也可能发送不出去,推荐设置到1000字节。如下图,通过HTTP深层检测来控制发送大小超过限制的邮件。
