SmartHammerG503防火墙原理与配置(2)

　　缺省策略的判断依据是：

　　1、  当进入接口安全级别低于或等于离开接口的安全级别时，策略为deny；

　　2、  当进入接口安全级别高于离开接口的安全级别时，策略为permit。

　　各接口安全级别缺省为0，即各接口安全级别相同，在这种情况下，禁止所有访问。通过调整接口的安全级别，可以改变缺省策略。

　　接口安全级别配置

　　安全级别在接口下进行配置，定义好内部接口，外部接口并配置好安全级别后，防火墙的功能已经开始起作用了。

　　SmartHammer# configure terminal

　　SmartHammer(config)# interface ge0

　　SmartHammer(config-if)# ip security-level 90

　　SmartHammer(config-if)# exit

　　SmartHammer(config)# interface ge1

　　SmartHammer(config-if)# ip security-level 10

　　SmartHammer(config-if)# end

　　安全策略－过滤规则的配置：

　　为了丰富防火墙对业务的控制能力，SmartHammer防火墙采用access-list 作为安全策略的过滤规则，来对匹配的数据报文做不同的处理，access-list 只是简单的作为规则链，具有如下特点：

　　access-list 不同于传统的ACL概念，

　　access-list 没有缺省策略

　　access-list 也与接口安全级别没有关系

　　access-list 的启用基于接口，对于设备本身，可当作一个接口来考虑

　　access-list 在没有加载到接口前，过滤规则不起作用

　　可通过ip access-group in命令在进入接口上启用ACL规则链进行第一次访问控制，数据包经过路由后，对于发往其它接口的数据包，可通过ip access-group out命令在离开接口上启用ACL规则链进行第二次访问控制。

　　对于发往设备的数据包，可通过local ip access-group in启用ACL规则链进行第二次访问控制。对于设备发出的数据包，防火墙不做控制

　　配置例子：

　　access-list inside permit tcp 192.168.0.0/16 any 0.0.0.0/0 80

　　inside ：访问策略的名称

　　permit：动作，允许或拒绝（permit\deny）

　　tcp：协议名称或协议号，如TCP、UDP、ICMP

　　192.168.0.0/16 ：数据包源IP地址，可以是主机地址或网段地址，不加子网掩码为主机地址

　　any：数据包源端口号，只对TCP、UDP数据有效，any为所有的端口

　　0.0.0.0/0：数据包目的IP地址，可以是主机地址或网段地址

　　80：数据包目的端口号，只对TCP、UDP数据有效

　　支持基于时间的ACL，由于用的不多在此不做赘述，看参阅HSOS配置手册

　　基于角色的安全策略：

　　SmartHammer(config)# access-list admin permit ip admin-ip any any 80

　　admin-ip：地址组名称，下面为其定义的地址组

　　SmartHammer(config)# ip-group admin-ip

　　SmartHammer(config-ip-group)# address 192.168.0.10

　　SmartHammer(config-ip-group)# address 10.1.1.10

　　SmartHammer(config)# access-list user deny tcp 192.168.0.0/16 any serverip highport

　　serverip：地址组名称，下面为其定义的地址组

　　SmartHammer(config)# ip-group serverip

　　SmartHammer(config-ip-group)# address 10.1.0.4

　　SmartHammer(config-ip-group)# address 10.1.0.5