这一部分包括以下内容:
这一部分提供WALK-THROUGH,在此可以修改新装阿姆瑞特防火墙的安全策略。WALK-THROUGH认为已按照《阿姆瑞特防火墙快速入门》的步骤安装了新的阿姆瑞特防火墙。
我们将在WALK-THROUGH中使用以下名称和IP地址:
选择的管理接口为if1
if1接口的IP地址为192.168.101.240,掩码为255.255.255.0
运行阿姆瑞特防火墙管理器的服务器或工作站位于同一子网内,IP地址为192.168.101.100
阿姆瑞特防火墙管理器把防火墙命名为Paris
注:当然,进行具体安装时,必须用实际的接口名称和IP地址取代以上信息。
首次安装阿姆瑞特防火墙时,其缺省规则集的限制十分有限:
允许管理服务器对防火墙进行远程管理
允许网络中与if1接口连接的主机向防火墙发送ICMP响应请求
允许防火墙将ICMP响应请求返给请求主机
其它所有数据流都是被无条件丢弃的。
在WALK-THROUGH中,我们将对规则集进行修改,不再允许向防火墙发送ICMP响应请求。虽然禁止ICMP回显响应看似没有必要,但原因容易理解并能用所有平台上的标准工具确认安全规则所做的修改。
我们从确认防火墙对ICMP回显请求的回复着手。借助ping能够实现此功能。在管理站上打开标准的命令提示,并且让阿姆瑞特防火墙运行起来。
在命令提示处,敲入:
ping 192.168.101.240
如果一切正常,ping应该显示以下窗口显示的类似输出。如果ping显示“Request timed out”的信息,则说明某部分的防火墙初始配置没有成功。请查阅《阿姆瑞特防火墙快速入门》里的排故部分,以便尽力找出存在的错误。
|
切换到阿姆瑞特防火墙管理器。找到并选择防火墙。点击右侧的防火墙,从版本控制子菜单中选择签出。防火墙和所有子文件夹的图标旁边都会出现小红点。 |
|
在防火墙文件夹的右下角查找并选择Rules子文件夹。防火墙规则集将按如下图所示的栅格的形式罗列。注意列表中的名为MgmtPing的规则,它允许ICMP回显请求并对请求做出回复。
通过点击这条规则所在行的任何地方,选择该规则。点击右键,从显示的菜单中选择属性。出现以下对话框。注意地址过滤部分,说明该规则仅与从接口if1接收到的数据流以及作为目的地址的内核接口(内核接口表示防火墙的内核,供最终到达防火墙本身的数据流使用)匹配。
点击对话框上的第二个项,将出现服务的页面。注意该规则仅适用于Echo Request类型的ICMP数据包。
点击对话框的第一个项,切回到Rule页面。点击动作下拉对话框里的箭头按钮,显示可用的动作。点击Drop动作,把允许到达内核的所有ICMP响应请求的规则改为丢弃。点击OK按钮关闭规则对话框。
在以树状形式显示的列表中选择Paris防火墙节点。点击右键。从版本控制子菜单选择签入。出现类似下面显示的对话框。输入版本描述,点击确定,关闭对话框。
防火墙现在出现一个蓝色的信息图标。选择防火墙上方的防火墙文件夹。右侧的列表说明防火墙需要配置。如果内核配置文件栏显示1时,数据库配置文件栏的显示为2。这意味着管理数据库的配置文件版本比防火墙目前正在运行的更新。
点击部署配置工具条按钮。
出现与所示下图类似的对话框。点击下一步按钮。新配置被上传到防火墙。上传结束后,防火墙开始启用新配置。点击完成按钮关闭对话框。
现在防火墙上的信息图标和需要配置的状态会消失。这表明防火墙正在使用最新的配置。
重复ping操作测试新安全策略。现在,防火墙应该禁止ICMP响应数据包,ping后显示的信息为“Request timed out”。
恭喜!您已经成功地修改了第一次设置的阿姆瑞特防火墙安全策略。
注意:细心的读者可能已经注意到,如果删除BounceICMP规则,同样可以达到上述目的。因为防火墙会丢弃所有没有明确允许通过的数据包。可是,您有很多理由去明确删除特定的数据包,有一个常用的例子就是为了能够对这些数据包进行日志记录。
