項(xiàng)目4基于防火墻的信息過濾控制與實(shí)現(xiàn)任務(wù)4-1網(wǎng)絡(luò)通信訪問控制與實(shí)現(xiàn)任務(wù)4-2局域網(wǎng)帶寬及應(yīng)用訪問控制與實(shí)現(xiàn)任務(wù)4-3Web安全認(rèn)證控制與實(shí)現(xiàn)任務(wù)4-4網(wǎng)絡(luò)通信軟件訪問控制與實(shí)現(xiàn)任務(wù)4-5網(wǎng)頁地址過濾控制與實(shí)現(xiàn)任務(wù)4-6網(wǎng)頁內(nèi)容過濾控制與實(shí)現(xiàn)項(xiàng)目實(shí)訓(xùn)四防火墻過濾功能配置

任務(wù)4-1網(wǎng)絡(luò)通信訪問控制與實(shí)現(xiàn)

知識導(dǎo)入

1.什么是會話限制

基于源的會話限制，將限制來自相同源地址的并發(fā)會話數(shù)目，可以阻止像Nimda、沖擊波這樣的病毒和蠕蟲的DoS攻擊。這類病毒會感染服務(wù)器，然后從服務(wù)器產(chǎn)生大量的信息流。由于所有由病毒產(chǎn)生的信息流都始發(fā)于相同的IP地址，因此基于源的會話限制可以保證防火墻能抑制這類巨量的信息流的傳輸。當(dāng)來自某個IP地址的并發(fā)會話數(shù)達(dá)到最大限制值后，防火墻開始封鎖來自該IP地址的所有其他連接嘗試。

2.什么是IP-MAC綁定

MAC相當(dāng)于每片網(wǎng)卡的身份證，IP最終需要解析到MAC上，一般只在本IP段中有效。ARP攻擊也就是利用偽造的MAC來擾亂正常的網(wǎng)絡(luò)通信，IP和MAC綁定可以在一定程度上防止ARP欺騙。

案例及分析

某企業(yè)內(nèi)網(wǎng)為/24，為防止企業(yè)電腦被病毒或黑客破壞，要求在防火墻設(shè)置會話限制并與IP-MAC綁定。具體如下：

1.要求針對內(nèi)網(wǎng)每個IP限制會話數(shù)到300條。

2.手工將內(nèi)網(wǎng)某個IP和MAC綁定在防火墻上。

3.設(shè)置防火墻自動掃描內(nèi)網(wǎng)某個IP網(wǎng)段，然后將掃描的ARP信息全部綁定。

一、網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖DS4-1所示。圖S4-1網(wǎng)絡(luò)拓?fù)涠?、操作流?/p>

第一步：配置會話限制。

登錄防火墻配置界面，選擇防火墻選項(xiàng)卡中的會話限制選項(xiàng)，進(jìn)入到會話限制配置。選擇安全域trust及限制條件。案例中要求內(nèi)網(wǎng)每個IP限制會話數(shù)到300條，因此選中“IP限制”復(fù)選框，選擇IP中的Any選項(xiàng)，會話數(shù)中輸入指定條目數(shù)300，配置會話限制如圖S4-2所示。圖S4-2配置會話限制第二步：手工綁定IP-MAC信息。

在防火墻選項(xiàng)卡中選擇二層防護(hù)選項(xiàng)，選擇其中的靜態(tài)綁定子菜單。在右邊的ARP列表中可以看到防火墻自動學(xué)習(xí)的ARP信息，我們將3的ARP信息手工綁定在防火墻上，復(fù)選框選中后，點(diǎn)擊操作中對應(yīng)的圖標(biāo)即可，自動學(xué)習(xí)環(huán)境下的IP-MAC綁定如圖S4-3所示。

如果防火墻并非自動學(xué)習(xí)到該IP的ARP信息，我們可以使用手工輸入IP和MAC的方式來綁定，如圖S4-4所示。圖S4-3自動學(xué)習(xí)環(huán)境下的IP-MAC綁定圖S4-4手工輸入環(huán)境下的IP-MAC綁定第三步：在防火墻上自動掃描地址范圍。

在防火墻選項(xiàng)卡中選擇二層防護(hù)選項(xiàng)，選擇其中的靜態(tài)綁定子菜單，輸入要掃描的地址范圍，起始IP地址為，終止IP地址為54，點(diǎn)擊確認(rèn)，開始掃描，如圖S4-5所示。圖S4-5設(shè)置自動掃描地址范圍第四步：將掃描后的ARP信息全部綁定。

防火墻掃描完后將學(xué)習(xí)到的ARP信息顯示在ARP列表中，此時點(diǎn)擊綁定所有，防火墻就會將掃描的ARP信息全部綁定在防火墻上，如圖S4-6所示。圖S4-6ARP信息綁定任務(wù)4-2局域網(wǎng)帶寬及應(yīng)用訪問控制與實(shí)現(xiàn)

知識導(dǎo)入

1.什么是IPQoS

IPQoS是指IP的服務(wù)質(zhì)量，也是指IP數(shù)據(jù)流通過網(wǎng)絡(luò)時的性能。它的目的就是向用戶提供端到端的服務(wù)質(zhì)量保證。它有一套質(zhì)量指標(biāo)，包括業(yè)務(wù)可用性、延遲、抖動、吞吐量和丟包率。通常IPQoS只對網(wǎng)絡(luò)中的IP流量進(jìn)行控制。

2.什么是應(yīng)用QoS

應(yīng)用QoS的目的是限制某些應(yīng)用的上行和下行帶寬，保證上網(wǎng)速度。

案例及分析

某企業(yè)內(nèi)網(wǎng)默認(rèn)網(wǎng)段為/24，外網(wǎng)網(wǎng)關(guān)為，要求限制內(nèi)網(wǎng)用戶的帶寬，并保證HTTP、SMTP的使用。企業(yè)內(nèi)網(wǎng)環(huán)境如下：出口帶寬為50?Mbps，外網(wǎng)為ethernet0/2接口。為實(shí)現(xiàn)不同部門用戶帶寬需求，將內(nèi)網(wǎng)網(wǎng)段劃分為兩個網(wǎng)段：/24和/24，其中/24網(wǎng)段為默認(rèn)網(wǎng)段。要求：

(1)～00需限制其上行帶寬為500?Kbps/IP，下行帶寬為5?Mbps/IP，允許出口帶寬空閑時突破500?Kbps/IP。/24網(wǎng)段中每個IP下載300?Kbps，上傳整個網(wǎng)段共享10?Mbps。

(2)?P2P應(yīng)用需限制其下行帶寬為10?Mbps，上行帶寬最大為5?Mbps。HTTP和SMTP應(yīng)用下載保障為20?Mbps，上傳保障為10?Mbps。

分析內(nèi)容

企業(yè)內(nèi)網(wǎng)分為兩個網(wǎng)段，兩個網(wǎng)段都對各自的每個IP提出了上傳、下載的數(shù)據(jù)流量的限定要求，這種要求需要通過對各個網(wǎng)段設(shè)置IPQoS策略。而在外網(wǎng)訪問過程中對其中的P2P應(yīng)用行為進(jìn)行上行帶寬和下行帶寬的設(shè)置是典型的QoS應(yīng)用策略部署。

一、網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖DS4-7所示。圖S4-7網(wǎng)絡(luò)拓?fù)涠?、操作流?/p>

1.案例要求一

對局域網(wǎng)中的兩個不同內(nèi)網(wǎng)段的PC機(jī)下載帶寬做了限制，因此需要對局域網(wǎng)內(nèi)網(wǎng)中的不同網(wǎng)段PC做IPQoS控制。具體實(shí)現(xiàn)步驟如下：

第一步：劃分接口。

結(jié)合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，設(shè)置內(nèi)網(wǎng)口為ethernet0/1接口，接口IP為/24。

第二步：指定接口帶寬。

在QoS選項(xiàng)卡中選擇接口帶寬菜單選項(xiàng)進(jìn)行配置，默認(rèn)帶寬為物理上承載的最高支持帶寬。用戶可以根據(jù)實(shí)際帶寬值指定接口的上行帶寬、下行帶寬，指定接口出口ISP承諾帶寬值。如果需要使用彈性QoS功能，只需要點(diǎn)擊開啟彈性QoS全局配置即可，接口帶寬配置如圖S4-8所示。圖S4-8接口帶寬配置當(dāng)啟用彈性QoS功能時，用戶可以為全局彈性QoS設(shè)置最大和最小兩個門限制，缺省最小門限值為75%，缺省最大門限值為85%。默認(rèn)情況下，開啟彈性QoS功能后，當(dāng)出口帶寬利用率小于75%時，用戶可以使用的實(shí)際帶寬緩慢的呈線性增長(用戶可配置該增長速率)；當(dāng)帶寬利用率達(dá)到85%時，用戶可以使用的實(shí)際帶寬呈指數(shù)減少，直到實(shí)際限定的帶寬；當(dāng)接口帶寬使用率在最小門限和最大門限之間的時候，彈性QoS處于穩(wěn)定狀態(tài)，即用戶帶寬不會增加也不會減少。第三步：配置IPQoS策略。

(1)在防火墻QoS選項(xiàng)卡選擇IPQoS菜單選項(xiàng)進(jìn)行IPQoS策略配置。為達(dá)到限定-00中每個IP的上行帶寬為500?Kbps，下行帶寬為5?Mbps/IP，在出口帶寬空閑時允許突破500?Kbps/IP的要求，需要在接口綁定中選擇外網(wǎng)口ethernet0/2，在IP地址中輸入IP范圍-00，由于系統(tǒng)默認(rèn)的帶寬單位為Kbps，因此上行中最大帶寬輸入500，下行中最大帶寬輸入5000即可。由于允許出口帶寬空閑時突破500?Kbps/IP，因此在彈性QoS中選中下行復(fù)選框，輸入500即可，操作結(jié)果如圖S4-9所示。圖S4-9IPQoS策略配置上行、下行帶寬

(2)在防火墻QoS選項(xiàng)卡中選擇IPQoS菜單選項(xiàng)，設(shè)置IPQoS策略。為新設(shè)置的策略制定規(guī)則名稱為IPQ2，接口綁定為外網(wǎng)接口ethernet0/2，要實(shí)現(xiàn)下載帶寬限定為/24網(wǎng)段則IP范圍設(shè)定為-55。每個IP下載帶寬最大為300?Kbps，可以設(shè)置每個IP最大下行帶寬為300?Kbps；為實(shí)現(xiàn)整個網(wǎng)段上傳最大占用10?Mbps帶寬的要求，設(shè)置每個IP最大上行帶寬10000?Kbps，操作結(jié)果如圖S4-10所示。圖S4-10IPQoS策略配置下載帶寬、上傳帶寬匹配IP地址條目可以添加多條，類型支持IP范圍和地址簿兩種方式。接口綁定可以是內(nèi)網(wǎng)接口或外網(wǎng)接口，綁定到該接口的QoS策略對流經(jīng)該接口的所有限定IP地址范圍內(nèi)的流量均有效。綁定到外網(wǎng)接口時上下行控制策略對應(yīng)內(nèi)網(wǎng)用戶上傳/下載，綁定到內(nèi)網(wǎng)接口時上下行控制策略對應(yīng)下載/上傳。

第四步：顯示已配置的控制策略。

添加后策略會在IPQoS列表顯示，如果多條策略的IP地址范圍重疊，請點(diǎn)擊策略右側(cè)箭頭移動策略位置，從上至下第一條匹配到的策略生效。如需修改策略，可點(diǎn)擊策略右側(cè)編輯圖標(biāo)編輯。IPQoS列表如圖S4-11所示。圖S4-11IPQoS列表

2.案例要求二

對內(nèi)網(wǎng)配置應(yīng)用QoS策略。

第一步：開啟應(yīng)用識別。

防火墻默認(rèn)不對帶“*”號服務(wù)做應(yīng)用層識別，因此如果需要對BT、迅雷等應(yīng)用做基于應(yīng)用的QoS控制，需要開啟外網(wǎng)安全域的應(yīng)用識別功能。進(jìn)入防火墻，打開網(wǎng)絡(luò)選項(xiàng)卡，選擇“安全域”選項(xiàng)，針對外網(wǎng)口所屬安全域untrust啟用應(yīng)用識別、WAN安全域兩個應(yīng)用層識別功能，操作界面如圖S4-12所示。圖S4-12啟用安全域匹配IP地址條目可以添加多條，類型支持IP范圍和地址簿兩種方式。接口綁定可以是內(nèi)網(wǎng)接口或外網(wǎng)接口，綁定到該接口的QoS策略對流經(jīng)該接口的所有限定IP范圍內(nèi)的流量均有效。綁定到外網(wǎng)接口時上下行控制策略對應(yīng)內(nèi)網(wǎng)用戶上傳/下載，綁定到內(nèi)網(wǎng)接口時上下行控制策略對應(yīng)下載/上傳。

第二步：配置應(yīng)用QoS策略-限制P2P。

在防火墻QoS選項(xiàng)卡中選擇應(yīng)用QoS菜單選項(xiàng)進(jìn)行應(yīng)用QoS策略配置。在基本配置中，對新建的應(yīng)用策略可以進(jìn)行規(guī)則名稱的命名，可命名為app_p2p，對應(yīng)的接口綁定為ethernet0/2，在應(yīng)用中選擇P2P相關(guān)的所有服務(wù)，具體有“P2P下載”應(yīng)用和“P2P視頻”應(yīng)用兩個應(yīng)用。在控制策略部分，對P2P應(yīng)用上行/下行帶寬進(jìn)行限制設(shè)置，設(shè)置上行最大帶寬為5000?Kbps(即要求中的上傳最大為5?Mbps)，下行最大帶寬設(shè)置為10000?Kbps(即限制下行帶寬為10?Mbps)，最后點(diǎn)擊“添加”按鈕即可，操作界面如圖S4-13所示。圖S4-13新建應(yīng)用QoS安全策略應(yīng)用QoS安全策略全局有效，對流經(jīng)該綁定接口的所有限制服務(wù)的流量均生效。匹配應(yīng)用條目可以添加多條，類型支持預(yù)定義服務(wù)(組)或自定義服務(wù)(組)。接口綁定可以是內(nèi)網(wǎng)接口或外網(wǎng)接口，綁定到該接口的QoS策略對流經(jīng)該接口的所有限定IP范圍內(nèi)的流量均起效。綁定到外網(wǎng)接口時上行/下行控制策略對應(yīng)內(nèi)網(wǎng)用戶上傳/下載，綁定到內(nèi)網(wǎng)接口時上行/下行控制策略對應(yīng)下載/上傳。第三步：配置應(yīng)用QoS策略-保障正常應(yīng)用。

(1)在防火墻QoS選項(xiàng)卡中選擇應(yīng)用QoS菜單選項(xiàng)，設(shè)置應(yīng)用QoS策略。為ethernet0/2接口設(shè)置應(yīng)用QoS策略，新建規(guī)則名稱為app_ensure1，接口綁定為ethernet0/2，應(yīng)用中選擇“HTTP”應(yīng)用和“SMTP”應(yīng)用，在帶寬設(shè)置中上行帶寬選擇最小帶寬為10000?Kbps。細(xì)粒度控制中選擇IPQoS配置，操作界面如圖S4-14所示。圖S4-14ethernet0/2接口配置HTTP-SMTP上行應(yīng)用QoS策略

(2)在防火墻QoS選項(xiàng)卡中選擇應(yīng)用QoS菜單選項(xiàng)，設(shè)置應(yīng)用QoS策略。為ethernet0/1接口設(shè)置應(yīng)用QoS策略，新建規(guī)則名稱為app_ensure2，接口綁定為ethernet0/1，應(yīng)用中選擇“HTTP”應(yīng)用和“SMTP”應(yīng)用，在帶寬設(shè)置中上行帶寬選擇最小帶寬為20?000?Kbps。細(xì)粒度控制中選擇IPQoS配置，操作界面如圖S4-15所示。圖S4-15ethernet0/1接口配置HTTP-SMTP上行應(yīng)用QoS策略第四步：顯示已配置應(yīng)用QoS策略。

添加后策略會在應(yīng)用QoS列表中顯示，如果多條策略的應(yīng)用重疊，請點(diǎn)擊策略右側(cè)箭頭移動策略位置，從上至下第一條匹配到的策略生效，生成的應(yīng)用QoS策略列表如圖S4-16所示。如需修改策略，可點(diǎn)擊策略右側(cè)編輯圖標(biāo)編輯。圖S4-16新建安全策略列表

相關(guān)知識

防火墻的服務(wù)質(zhì)量保障功能主要體現(xiàn)在傳輸過程中，能夠根據(jù)源、目的和協(xié)議參數(shù)限制不同的速率并保證不同流量，流量的分配是用大量可配置參數(shù)通過測量和排列IP包的方式實(shí)現(xiàn)的，主要體現(xiàn)在以下幾個方面：

(1)帶寬限制：可以對用戶IP地址、服務(wù)等通過防火墻的帶寬進(jìn)行限制，即進(jìn)行不同的帶寬限制。例如：限制某個用戶對外訪問的最大帶寬，或者訪問某種服務(wù)的最大帶寬。

(2)帶寬保證：保證網(wǎng)絡(luò)中重要服務(wù)如ERP、VOIP等，或者重要用戶的帶寬不被其他服務(wù)或者用戶占用，從而保證了重要數(shù)據(jù)優(yōu)先通過網(wǎng)絡(luò)。

(3)優(yōu)先級控制：對不同的網(wǎng)絡(luò)服務(wù)設(shè)置不同的優(yōu)先級別，保證優(yōu)先級別高的數(shù)據(jù)優(yōu)先進(jìn)出網(wǎng)絡(luò)。例如：設(shè)置對時延要求極高的語音和視頻服務(wù)可以調(diào)高其優(yōu)先級別，保證該類數(shù)據(jù)優(yōu)先進(jìn)出網(wǎng)絡(luò)，保證服務(wù)效果。

思考

企業(yè)為了保證內(nèi)網(wǎng)網(wǎng)絡(luò)速度流暢，對內(nèi)網(wǎng)用戶上網(wǎng)的BT下載進(jìn)行限定，要求下載速度限制為5?Mbps，如何實(shí)現(xiàn)？任務(wù)4-3Web安全認(rèn)證控制與實(shí)現(xiàn)

知識導(dǎo)入

什么是Web安全認(rèn)證？

Web安全認(rèn)證方案首先需要給用戶分配一個地址，用于訪問門戶網(wǎng)站，在登錄窗口上鍵入用戶名與密碼，然后通過Radius客戶端去Radius服務(wù)器認(rèn)證。如果認(rèn)證通過，則觸發(fā)客戶端重新發(fā)起地址分配請求，給用戶分配一個可以訪問外網(wǎng)的地址。用戶下線時通過客戶端發(fā)起離線請求。

案例及分析

某企業(yè)內(nèi)網(wǎng)/24，要求通過防火墻的設(shè)置實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問外網(wǎng)時，需要Web認(rèn)證。內(nèi)網(wǎng)用戶首次訪問Internet時需要通過Web認(rèn)證才能上網(wǎng)。且內(nèi)網(wǎng)用戶劃分為兩個用戶組usergroup1和usergroup2，其中usergroup1組中的用戶在通過認(rèn)證后僅能瀏覽Web頁面，usergroup2組中的用戶通過認(rèn)證后僅能使用FTP。

一、網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖DS4-17所示。圖S4-17網(wǎng)絡(luò)拓?fù)涠?、操作流?/p>

第一步：開啟Web認(rèn)證功能。

防火墻Web認(rèn)證功能默認(rèn)是處于關(guān)閉狀態(tài)，當(dāng)需要進(jìn)行Web認(rèn)證時，手工在防火墻網(wǎng)絡(luò)選項(xiàng)卡中的Web認(rèn)證選項(xiàng)點(diǎn)擊Web安全認(rèn)證配置，開啟相關(guān)功能。防火墻Web認(rèn)證有HTTP和HTTPS兩種認(rèn)證模式。HTTP模式更為快捷，而HTTPS模式更為安全，在本案例中選用HTTP模式。其中HTTP服務(wù)端口，選擇缺省值8181；HTTPS服務(wù)端口，選擇缺省值44433。本案例中要求用戶僅能瀏覽Web頁面和僅能使用FTP功能，因此我們選擇普通的HTTP模式即可。超時選項(xiàng)可以根據(jù)安全需求設(shè)定等待時間，這里選擇默認(rèn)值60，認(rèn)證成功后，系統(tǒng)會在60秒時間結(jié)束前對認(rèn)證成功頁面進(jìn)行自動刷新，確認(rèn)登錄信息。其他不帶“*”符號的選項(xiàng)為可設(shè)置項(xiàng)，根據(jù)企業(yè)安全需求進(jìn)行設(shè)定。其中重定向URL是指用戶在認(rèn)證成功并返回認(rèn)證頁面后，彈出的新頁面將會重定向到指定的URL頁面。如果沒有配置該功能，新彈出的頁面將返回用戶輸入的地址頁面。開啟Web安全認(rèn)證功能如圖S4-18所示。圖S4-18開啟Web安全認(rèn)證功能第二步：創(chuàng)建AAA認(rèn)證服務(wù)器。

在開啟防火墻認(rèn)證功能后，需要在用戶選項(xiàng)卡中選擇AAA服務(wù)器選項(xiàng)，設(shè)置一個該服務(wù)的AAA認(rèn)證服務(wù)器，該服務(wù)器的名稱可命名為local_aaa_server。防火墻能夠支持本地認(rèn)證、Radius認(rèn)證、LDAP和Active-Directory認(rèn)證。在本案例中我們選擇使用防火墻的本地認(rèn)證類型，如圖S4-19所示。圖S4-19創(chuàng)建本地AAA服務(wù)器第三步：創(chuàng)建用戶及用戶組，并將用戶劃歸不同用戶組。

既然要做認(rèn)證，就需要在防火墻的用戶選項(xiàng)卡中選擇用戶組選項(xiàng)來設(shè)置用戶組，在本案例中，由于兩類用戶的訪問權(quán)限不同，要求用戶僅能瀏覽Web頁面和僅能使用FTP功能，因此需要為兩類用戶分別創(chuàng)建一個用戶組：用戶組usergroup1和用戶組usergroup2。在AAA服務(wù)器中選擇之前創(chuàng)建好的local_aaa_server認(rèn)證服務(wù)器，分級創(chuàng)建用戶組和用戶，在AAA服務(wù)器中選中新建的服務(wù)器，選擇用戶組，如圖S4-20所示。圖S4-20創(chuàng)建用戶組在用戶選項(xiàng)卡中選擇用戶選項(xiàng)，創(chuàng)建用戶。首先在AAA服務(wù)器中選擇之前創(chuàng)建好的local--_aaa_server認(rèn)證服務(wù)器，在該服務(wù)器下創(chuàng)建user1和user2兩個用戶，如圖S4-21所示。

創(chuàng)建完user1和user2以及usergroup1和usergroup2后，點(diǎn)擊編輯用戶按鈕，選擇user1用戶，在組一欄中點(diǎn)擊右邊多個選項(xiàng)，將user1用戶歸屬到usergroup1組中。同樣操作將user2用戶歸屬到usergroup2組中，如圖S4-22所示。圖S4-21創(chuàng)建用戶和密碼圖S4-22綁定用戶與用戶組最后在形成的local_aaa_server服務(wù)器下，有兩個用戶組usergroup1和usergroup2，每個用戶組下各有一個用戶，分別為user1用戶和user2用戶，如圖S4-23所示。圖S4-23生成的用戶組和用戶列表第四步：創(chuàng)建角色。

創(chuàng)建好用戶和用戶組后，在用戶選項(xiàng)卡中選擇角色選項(xiàng)，新建角色，設(shè)置兩個新角色，分別為role_permit_web角色和role_permit_ftp角色。為角色命名的時候，一般將角色的功能體現(xiàn)出來，如允許訪問Web界面，可以命名為role_permit_web，如圖S4-24所示。

在角色創(chuàng)建過程中也可以增加對角色的描述。當(dāng)然角色命名清晰的話，也可以不描述，建好的角色在角色列表中顯示，如圖S4-25所示。圖S4-24創(chuàng)建角色圖S4-25生成角色列表第五步：創(chuàng)建角色映射規(guī)則，將用戶組與角色相對應(yīng)。

角色創(chuàng)建好后，需要將角色、用戶、用戶名相對應(yīng)，這就需要創(chuàng)建角色映射規(guī)則。在用戶選項(xiàng)卡中選擇角色選項(xiàng)，在角色列表中選擇新角色映射按鈕，創(chuàng)建一個新角色映射role_map1，將usergroup1用戶組和角色role_permit_web做對應(yīng)；創(chuàng)建一個新角色映射role_map2，將用戶組usergroup2和角色role_permit_ftp做對應(yīng)，如圖S4-26所示。

點(diǎn)擊上圖中創(chuàng)建好的role_map1可以看到在其下面有兩組對應(yīng)關(guān)系，如圖S4-27所示。圖S4-26創(chuàng)建角色映射role_map1圖S4-27用戶組與角色對應(yīng)第六步：將角色映射規(guī)則與AAA服務(wù)器綁定。

在用戶選項(xiàng)卡中選擇AAA服務(wù)器，將角色映射role_map1綁定到創(chuàng)建的AAA服務(wù)器loca_aaa_Server上，如圖S4-28所示。圖S4-28綁定角色映射到AAA服務(wù)器第七步：創(chuàng)建安全策略針對不同角色的用戶放行不同服務(wù)。

在安全選項(xiàng)卡中選擇策略，設(shè)置內(nèi)網(wǎng)到外網(wǎng)的安全策略。首先在該安全策略的第一條設(shè)置一個放行DNS服務(wù)的策略，放行該策略的目的是當(dāng)我們在IE欄中輸入某個網(wǎng)站名后，客戶端PC能夠正常對該網(wǎng)站做出解析，然后可以重定向到認(rèn)證頁面上。由于是內(nèi)網(wǎng)到外網(wǎng)的訪問，因此源安全域?yàn)閠rust，目的安全域?yàn)閡ntrust；由于對地址沒有做限定要求，因此源地址和目的地址均為Any；服務(wù)簿中選擇DNS服務(wù)；行為中選擇允許，如圖S4-29所示。圖S4-29制定DNS策略在內(nèi)網(wǎng)到外網(wǎng)的安全策略的第二條我們針對未通過認(rèn)證的用戶UNKNOWN設(shè)置Web認(rèn)證的策略，認(rèn)證服務(wù)器選擇創(chuàng)建的local-aaa-server。源安全域?yàn)閠rust，目的安全域?yàn)閡ntrust；源地址和目的地址不確定，因此也選擇Any類型。對這部分UNKNOWN用戶，上網(wǎng)行為不確定，服務(wù)簿中選擇Any；行為中選擇必須通過Web認(rèn)證，而Web認(rèn)證服務(wù)器選擇我們案例中自定義的local_aaa_server，如圖S4-30所示。

重新編輯該條策略，將UNKNOWN用戶添加到剛才的策略中，在角色/用戶/用戶組選項(xiàng)中選擇UNKNOWN，這里的UNKNOWN代表了所有未通過認(rèn)證的用戶。選擇“Web認(rèn)證”行為會將未通過認(rèn)證的用戶重定向到Web認(rèn)證頁面上，如圖S4-31所示。圖S4-30制定UNKNOWN用戶策略圖S4-31編輯UNKNOWN用戶的策略制定內(nèi)網(wǎng)到外網(wǎng)的第三條安全策略。針對認(rèn)證過的用戶放行相應(yīng)的服務(wù)，針對角色role_permit_web我們只放行HTTP服務(wù)。同理內(nèi)網(wǎng)到外網(wǎng)的訪問，源安全域?yàn)閠rust，目的安全域?yàn)閡ntrust，源地址和目的地址均為Any，服務(wù)簿中選擇HTTP服務(wù)，角色/用戶/用戶組中將對應(yīng)的角色選中role_permit_web，行為為允許，如圖S4-32所示。

制定內(nèi)網(wǎng)到外網(wǎng)的第四條安全策略。針對通過認(rèn)證后的用戶，屬于role_permit_ftp角色的只放行IP服務(wù)。操作與第三條策略類似。不同的是服務(wù)簿中選擇FTP服務(wù)，在角色/用戶/用戶組中將對應(yīng)的角色選中role_permit_ftp，如圖S4-33所示。圖S4-32放行HTTP服務(wù)圖S4-33放行FTP策略在防火墻選項(xiàng)卡中選擇策略選項(xiàng)查看策略列表。在這里我們設(shè)置了四條策略，第一條策略我們只放行DNS服務(wù)，第二條策略我們針對未通過認(rèn)證的用戶設(shè)置認(rèn)證的安全策略，第三條策略和第四條策略我們針對不同角色用戶放行不同的服務(wù)，如圖S4-34所示。圖S4-34Web認(rèn)證策略列表第八步：用戶驗(yàn)證。

內(nèi)網(wǎng)用戶打開IE輸入某網(wǎng)站地址后可以看到頁面馬上被重定向到認(rèn)證頁面，輸入user1用戶名和密碼，如圖S4-35所示。該用戶名和密碼認(rèn)證通過后，訪問某Web頁面獲得成功，如圖S4-36所示。而通過FTP地址訪問同一頁面時卻未能打開，如圖S4-37所示。圖 S4-35Web認(rèn)證驗(yàn)證測試用戶user1圖S4-36進(jìn)入到Web認(rèn)證界面圖S4-37Web認(rèn)證功能測試

相關(guān)知識

(1)?Web安全認(rèn)證中的用戶組必須建立在當(dāng)前的AAA服務(wù)器下，并在此基礎(chǔ)上創(chuàng)建用戶，否則會出現(xiàn)用戶密碼登錄錯誤。

(2)對于不同的用戶組可以賦予不同的權(quán)限，制定不同的安全策略。

思考

為什么在內(nèi)網(wǎng)訪問外網(wǎng)的過程中要設(shè)置Web安全認(rèn)證？任務(wù)4-4網(wǎng)絡(luò)通信軟件訪問控制與實(shí)現(xiàn)

知識導(dǎo)入

什么是禁用IM(InstantMessaging)

IM是InstantMessaging(即時通訊、實(shí)時傳訊)的縮寫，是一種可以讓使用者在網(wǎng)絡(luò)上建立某種私人聊天室(chatroom)的實(shí)時通訊服務(wù)。目前在互聯(lián)網(wǎng)上受歡迎的即時通訊軟件包括騰訊QQ、百度HI、飛信、易信、阿里旺旺、yy、Skype、GoogleTalk、icq、FastMsg等。禁用IM操作就是通過防火墻禁用網(wǎng)絡(luò)通信軟件的使用，禁止內(nèi)網(wǎng)用戶使用QQ、MSN等聊天軟件，從而提高員工的工作效率。

案例及分析

某企業(yè)內(nèi)網(wǎng)/24，要求在防火墻上禁止網(wǎng)絡(luò)通信軟件的使用，限制使用QQ、MSN。要求內(nèi)網(wǎng)用戶不能登錄騰訊QQ和微軟MSN。

一、網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖DS4-38所示。圖S4-38網(wǎng)絡(luò)拓?fù)涠?、配置步驟

第一步：啟用外網(wǎng)口安全域的應(yīng)用程序識別。

登錄到防火墻配置界面，選擇網(wǎng)絡(luò)選項(xiàng)卡中的安全域，進(jìn)入外網(wǎng)口安全域untrust的配置界面，勾選應(yīng)用程序識別，設(shè)置該項(xiàng)的目的是可以識別動態(tài)端口的應(yīng)用層協(xié)議，如圖S4-39所示。

第二步：創(chuàng)建禁用QQ和MSN的策略。

在防火墻選項(xiàng)卡中選擇策略選項(xiàng)，創(chuàng)建從內(nèi)網(wǎng)到外網(wǎng)的拒絕QQ和MSN的策略。制訂策略時分別在服務(wù)中選擇QQ服務(wù)和MSN服務(wù)，行為中選擇拒絕。如果該方向有從內(nèi)網(wǎng)到外網(wǎng)的放行策略，一定要將拒絕QQ和拒絕MSN的策略放到該策略的上面，如圖S4-40所示。圖S4-39啟用安全域應(yīng)用識別圖S4-40制訂拒絕QQ/MSN策略第三步：驗(yàn)證測試。

我們可以登錄QQ、MSN，測試以上網(wǎng)絡(luò)通信軟件不能再登錄使用，如圖S4-41所示。圖S4-41驗(yàn)證禁用IM策略

相關(guān)知識

禁用及時通信軟件的常見現(xiàn)象：

第1種現(xiàn)象：用戶不能使用QQ等工具聊天；不能訪問某些網(wǎng)絡(luò)；不能玩某些網(wǎng)絡(luò)游戲(如聯(lián)眾)。第2種現(xiàn)象：上網(wǎng)沖浪的過程中，出于單位網(wǎng)絡(luò)安全的考慮，管理員會限制某些網(wǎng)絡(luò)協(xié)議，這就導(dǎo)致用戶不能使用FTP等資源；管理員限制了一些網(wǎng)絡(luò)游戲的服務(wù)器端IP地址，而這些游戲又不支持普通HTTP代理導(dǎo)致游戲無法運(yùn)行。

現(xiàn)在也有一些軟件專門用于禁用通信軟件的網(wǎng)絡(luò)通信恢復(fù)的，有興趣的人員可以上網(wǎng)搜索相關(guān)技術(shù)，這里不再描述。思考

防火墻禁用QQ等通信軟件后，如何恢復(fù)該功能？任務(wù)4-5網(wǎng)頁地址過濾控制與實(shí)現(xiàn)

知識導(dǎo)入

1.什么是URL

URL(UniformResourceLocator)稱為統(tǒng)一資源定位符，是對可以從互聯(lián)網(wǎng)上得到的資源的位置和訪問方法的一種簡潔的表示，是互聯(lián)網(wǎng)上標(biāo)準(zhǔn)資源的地址?；ヂ?lián)網(wǎng)上的每個文件都有一個唯一的URL，它包含的信息可以指出文件的位置以及瀏覽器應(yīng)該怎么處理它。

2.什么是URL過濾

URL過濾通過將用戶的Web請求發(fā)送到URL過濾服務(wù)器來工作，過濾服務(wù)器對照容許站點(diǎn)數(shù)據(jù)庫來檢查每個請求。容許的請求容許用戶直接訪問該站點(diǎn)，禁止的請求要么向用戶發(fā)送一個禁止訪問信息，要么將用戶重定向到另一個站點(diǎn)。

3.?URL過濾的用途

URL過濾的典型用途是確保用戶只能訪問合適的站點(diǎn)。

案例及分析

某企業(yè)內(nèi)網(wǎng)/24，要求通過防火墻的設(shè)置禁止內(nèi)網(wǎng)用戶訪問某些網(wǎng)站。這里限制內(nèi)網(wǎng)用戶訪問百度首頁。一、網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖DS4-42所示。圖S4-42網(wǎng)絡(luò)拓?fù)涠?、操作流?/p>

第一步：創(chuàng)建HTTPprofile，啟用URL過濾功能。

登錄防火墻配置界面，在應(yīng)用選項(xiàng)卡中選擇HTTP控制選項(xiàng)，進(jìn)行HTTPProfile配置。在Profile名稱中輸入新建的HTTPprofile，名稱為http_profile，將URL過濾設(shè)置成啟用狀態(tài)點(diǎn)擊確定即可，如圖S4-43所示。圖S4-43創(chuàng)建HTTPProfile文件http_profile第二步：創(chuàng)建profile組，添加http_profile。

在對象選項(xiàng)卡中選擇Profile組，新建一個名為“profile_group”的profile組，并將之前創(chuàng)建好的http_profile加入到該profile組中點(diǎn)擊確定，如圖S4-44所示。圖S4-44創(chuàng)建profile組第三步：設(shè)置URL過濾規(guī)則。

在安全選項(xiàng)卡中選擇URL過濾選項(xiàng)，設(shè)置URL過濾規(guī)則。案例中要求只是限制訪問百度首頁，我們在黑名單URL中輸入百度網(wǎng)站的地址，點(diǎn)擊添加，將其添加到黑名單列表中，如圖S4-45所示。圖S4-45設(shè)置URL過濾第四步：在安全策略中引用profile組。

在安全選項(xiàng)卡中選擇策略，制定內(nèi)網(wǎng)到外網(wǎng)的安全策略，其中在profile組中引用URL過濾的profile組profile_group，點(diǎn)擊確認(rèn)即可，如圖S4-46所示。

第五步：測試驗(yàn)證。

內(nèi)網(wǎng)用戶在訪問百度首頁時便會提示訪問被拒絕，如圖S4-47所示。圖S4-46制定URL安全策略圖S4-47URL過濾驗(yàn)證

相關(guān)知識

URL過濾能夠增強(qiáng)網(wǎng)絡(luò)安全，并強(qiáng)化用戶資源的使用策略，對于多數(shù)工作場合是一項(xiàng)必需的措施。這種方法已成為企業(yè)網(wǎng)絡(luò)上的一種基本方法，其目標(biāo)是阻止雇員訪問可能損害工作效率或公司利益的內(nèi)容。被阻止的網(wǎng)站可能是那些威脅到企業(yè)安全或包含惡意內(nèi)容的網(wǎng)站，也可能是耗用大量帶寬的網(wǎng)站，URL過濾的實(shí)施并不難，企業(yè)遵循最佳方法就可以使其實(shí)施過程容易和高效。URL過濾的實(shí)施過程主要有幾個法則：將URL過濾作為統(tǒng)一安全方案中的一種特性，簡單配置和管理，廣泛的URL種類過濾，手工過濾，檢查規(guī)則，用戶響應(yīng)，綜合性策略，合并多種技術(shù)的能力，強(qiáng)大的安全措施和避免過度阻止。

思考

在用戶訪問外網(wǎng)過程中，要求同時過濾和網(wǎng)頁，如何實(shí)現(xiàn)URL過濾？任務(wù)4-6網(wǎng)頁內(nèi)容過濾控制與實(shí)現(xiàn)

知識導(dǎo)入

1.什么是關(guān)鍵詞過濾

關(guān)鍵詞過濾，也稱關(guān)鍵字過濾，指網(wǎng)絡(luò)應(yīng)用中，對傳輸信息進(jìn)行預(yù)先的程序過濾、嗅探指定的關(guān)鍵字詞，并進(jìn)行智能識別，檢查網(wǎng)絡(luò)中是否有違反指定策略的行為。

2.網(wǎng)頁內(nèi)容過濾的意義

網(wǎng)絡(luò)內(nèi)容過濾技術(shù)采取適當(dāng)?shù)募夹g(shù)措施，對互聯(lián)網(wǎng)不良信息進(jìn)行過濾，既可阻止不良信息對人們的侵害，適應(yīng)社會對意識形態(tài)方面的要求；同時，通過規(guī)范用戶的上網(wǎng)行為，提高工作效率，合理利用網(wǎng)絡(luò)資源，減少病毒對網(wǎng)絡(luò)的侵害，這就是內(nèi)容過濾技術(shù)的根本內(nèi)涵。

案例及分析

某企業(yè)內(nèi)網(wǎng)/24，要求通過防火墻的設(shè)置實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問外網(wǎng)時，對網(wǎng)頁內(nèi)容進(jìn)行過濾，限制一些敏感詞匯。針對要訪問的網(wǎng)頁，如果包含一次或一次以上的“黃秋生”字樣，則將該網(wǎng)頁過濾掉，不允許用戶訪問。

一、網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖DS4-48所示。圖S4-48網(wǎng)絡(luò)拓?fù)涠?、操作流?/p>

第一步：在內(nèi)容過濾中創(chuàng)建類別。

登錄防火墻配置界面，點(diǎn)擊應(yīng)用選項(xiàng)卡中的內(nèi)容過濾選項(xiàng)，選擇類別子菜單，創(chuàng)建一個名為test的內(nèi)容過濾類別，點(diǎn)擊添加即可，如圖S4-49所示。圖S4-49創(chuàng)建test內(nèi)容過濾類別第二步：指定要過濾的關(guān)鍵字并設(shè)置屬性。

在應(yīng)用選項(xiàng)卡中，選擇內(nèi)容過濾選項(xiàng)中的子菜單關(guān)鍵字，設(shè)置要過濾的關(guān)鍵字為“黃秋生”，匹配類型選擇精確匹配，在類別中選擇第一步新建的內(nèi)容過濾類別test，并設(shè)置相應(yīng)的信任值，我們使用默認(rèn)的100，點(diǎn)擊添加即可，如圖S4-50所示。

第三步：創(chuàng)建類別組，添加類別成員并設(shè)置警戒值。

在應(yīng)用選項(xiàng)卡中選擇內(nèi)容過濾選項(xiàng)，選擇其子菜單項(xiàng)類別組進(jìn)行配置。為前面的內(nèi)容過濾類別test，創(chuàng)建一個與之對應(yīng)的類別組名為test類別組，如圖S4-51所示。圖S4-50設(shè)置內(nèi)容過濾關(guān)鍵字圖S4-51創(chuàng)建內(nèi)容過濾類別組將之前創(chuàng)建好的test類別添加到該組中，并設(shè)置相應(yīng)的警戒值，實(shí)驗(yàn)中我們要求只要包含一次“黃秋生”的關(guān)鍵字就進(jìn)行過濾，此處我們可以使用默認(rèn)的“100”，如圖S4-52所示。圖S4-52添加類別組成員第四步：創(chuàng)建內(nèi)容過濾Profile，并添加類別組。

在應(yīng)用選項(xiàng)卡選擇內(nèi)容過濾選項(xiàng)的子菜單Profile進(jìn)行配置。創(chuàng)建一個名為內(nèi)容過濾profile的內(nèi)容Profile，在服務(wù)中選擇HTTP，類別組中選擇test類別組，點(diǎn)擊添加，如圖S4-53所示。

第五步：創(chuàng)建一個profile組，將內(nèi)容過濾profile加入到該profile組。

在對象選項(xiàng)卡中