Eudemon200防火墙操作指导书20040323(14)

经典防火墙的操作指导书

Eudemon 200防火墙操作指导

----------------------------------------

1 ACCELERATE OOD

10 ACCELERATE UTD

100 UNACCELERATE UTD 秘密

如提示信息所说明，只有标记为Accelerate UTD的第10号规则组才会使用加速查找方

式搜索，其他两个规则组都只能使用线性搜索方式查找。

2.4.3 报文过滤规则的应用

每条ACL规则虽然跟随了一个permit/deny的动作，但是并不能直接对报文起到控制作用，只有使用packet-filter命令将这个规则组应用到防火墙的域间，才能依据配置的规则对报文进行分类、过滤。

路由器的报文过滤规则是应用在接口下面的，每个接口都可以在一入一出两个方向上各配置一个ACL规则组，分别对进入接口和离开接口的报文进行过滤。防火墙在域间的每个方向上也可以配置一个规则组，分别针对从防火墙内部发起的连接和外部发起的连接。这两者看起来好像是一样的，但实际上有着本质的不同，路由器是基于单个报文的过滤，并没有状态的概念，在设计正反两个ACL规则组的时候必须通盘考虑才能使一个应用正常通过。而防火墙是基于状态检测的设备，我们关心的方向是流的发起方向，用户要考虑的只是允不允许这个流出去，允不允许另一个流进来，至于这个流出去之后交互返回的报文能否通过防火墙，完全不需要用户考虑。单此一点就极大地简化了用户部署安全策略的麻烦，是用户专注于应用的考虑，减少了网络安全漏洞。

举例来说，用户希望允许受保护的IP地址190.100.10.10访问位于外部网络的FTP服务器200.100.10.10，同时希望内部的WWW服务器190.100.20.10可以为外部的所有用户提供服务，那么在原有的路由器上，用户需要配置这样的ACL规则组：

[Router-acl-adv-out] rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21 —— 允许内网主机发起FTP连接

[Router-acl-adv-out] rule permit tcp source 190.100.10.10 0 source-port gt 1024 destination 200.100.10.10 0 —— 允许内网主机的FTP数据通道报文出去

[Router-acl-adv-out] rule permit tcp source 190.100.20.10 0 source-port eq 80 —— 允许WWW服务器的报文出去

[Router-acl-adv-out] rule deny ip —— 禁止其他报文的通过

[Router-acl-adv-in] rule permit tcp destination 190.100.20.10 0 destination-port eq 80 —— 允许外部主机访问内部www服务器

[Router-acl-adv-in] rule permit tcp source 200.100.10.10 0 source-port 21 destination 190.100.10.10 destination-port gt 1024 —— 允许外部ftp服务器同内部的控制通道交互报文进入

[Router-acl-adv-in] rule permit tcp source 200.100.10.10 0 source-port gt 1024