天融信防火墙配置指南

一、对象与规则

现在大多防火墙都采用了面向对象的设计。

针对对象的行为进行的快速识别处理，

就是

规则。

比如：甲想到

A

城市

B

地点。由这个行为就可以制定一些规则进行约束，例如：

1

)用户身份识别，是不是甲用户(说明：在实际应用中，甲用户可能是一群人或所有

的人)

。

2

)用户当前的目标是不是

A

城市，是不是

B

地点。

3

)用户当前状态中是否符合规定，比如，是不是带了危险品什么的。

用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻：

用户

-->

访问者

城市

-->

主机

地点

-->

端口

为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达

A

城市

B

地点，并

且没有携带任何危险品，

就允许他或他们通过，

否则就禁止通行。

翻译成防火墙的规则就是：

如果访问者访问目标区域中的开放主机中的允许访问的端口，

并且访问的过程中没有防火墙

禁止的恶意行为，就允许通过。

二、路由功能与地址转换

现在防火墙都集成了路由功能。

路由功能简单的说法就是告诉访问者怎么走，

相当于引

路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路

由器再告诉甲，该乘飞机到洛杉矶。

我们使用的互联网是基于

TCP/IP

协议的。

所有在网络上的主机都是有

IP

地址的，

相当

于在互联网上的用户身份，没有

IP

地址是无法进行网络访问的。互联网中的主机中(包括

访问者与被访问者)是不可能存在两个相同的

IP

的。

当前互联网中应用的大都是

IPV4

。比如：我们姜堰教育城域网的

IP

是

58.222.239.1

到

58.222.239.254

。由于当初的

IP

规划没想到后来会有这么多的计算机，所以发展到现在，

IP

地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个

IP

地址，这就产

生了源地址转换又称为源地址伪装技术(

SNA

T

)

。比如

A

学校有

100

台计算机，但是只有