这一部分包括以下内容:
防火墙配置中的许多参数都是相同的,有些情况下,所有防火墙都在一个组织里。
服务定义是这些参数很好的例子。例如HTTP服务,无论用在什么样的防火墙上,都可能被定义成使用TCP协议,目的端口80的服务。另一个例子就是所有网段的网络定义,它被定义为地址是0.0.0.0,掩码为0.0.0.0的网络。对不同防火墙进行这种不同定义的可能性是不存在的。
只有几个防火墙共用一个参数的情况是可能存在的,一个LAN-到-LAN VPN解决方案中使用了三个防火墙。VPN解决方案使用的Pre-Shared Key和Ipsec提议列表对所用的三个防火墙都是相同的。而且,没有参与VPN解决方案的任何防火墙当然不应该知道使用了Pre-Shared Key。
管理共享参数的一个办法当然是在每个防火墙配置中对其进行单独定义。现在,这种方法肯定起作用,但是会让管理员感到头疼。其一,创建和管理所有参数的实际操作非常费时,其二,随着管理员努力的增加,出现错误的风险就越明显。想象一下,在有几百个防火墙的大型VPN解决方案中升级Pre-Shared Key的情景吧。
阿姆瑞特防火墙通过命名空间的方式,对这一问题提供复杂的解决方案。命名空间是一个基本的能够存放防火墙和文件夹的容器。实际上,命名空间还可以包含额外的命名空间,这就意味着能够设计高级配置。查看命名空间的一个途径是认为有一种可能性:分组防火墙都有有些共同的参数。
在安全编辑器的树状查看栏里,命名空间用带图标的节点表示,球体前显示一对文件夹。在右边的例子里,已经创建了名为My_Namespace的命名空间。从此例中可以看出,很多配置部分存在于该命名空间里。命名空间当前可用的部分是:主机和网络,应用层网关,网络服务,日志服务器和VPN设置。最后的防火墙节点是包含属于该命名空间的防火墙所在的防火墙(命名空间)的文件夹。命名空间里定义的所有配置项可以自动被该命名空间定义的所有防火墙(和命名空间)使用。这意味着如果我们在命名空间定义了一个名为WebServerNet的网络,我们就能够在下面所有防火墙里使用此网络定义。如果我们以后需要修改该网络定义,只需在命名空间进行修改即可。所有使用此定义的防火墙将自动更新配置。当然,管理员不知道的话,不得将这些改动用在实际防火墙上。
当用阿姆瑞特防火墙管理器管理几个防火墙时,如在大公司的网络或管理防火墙解决方案里,命名空间的概念最有用。但是,甚至在更小的,只要两台可管理防火墙的安装里,命名空间可以简化成每日管理。
缺省状态下,总有一个命名空间创建于管理数据源,我们把它称为 全局命名空间,是所有防火墙和其他命名空间的根。全局命名空间 用来定义能够被 全局 (也即所有在数据源里的防火墙)使用的参数。
全局命名空间包含许多预定义配置项目以简化管理。例如:主机和网络部分包含定义为0.0.0.0,掩码为0.0.0.0的全网段。服务部分包含所有通用服务定义,如HTTP, SMTP和NetBIOS。VPN设置部分含有缺省IKE和Ipsec建议清单。
自然,可以像在任何其他命名空间一样,在全局命名空间添加或修改配置项目。但是,不得删除或重新命名全局命名空间。
创建命名空间时,在要创建命名空间的命名空间里查找并选择防火墙节点。在防火墙节点上点击右键,新建 子菜单选择 命名空间。显示要求填写新命名空间的对话框。输入描述名称,点击 确定 创建命名空间。点击 取消,取消创建过程。
给命名空间重新命名时,先 签出 实际命名空间,然后在命名上点击右键,在文本菜单选择 属性。出现的对话框含有一个编辑框,可以在此输入新名称。点击 确定 保存新名称,关闭对话框。点击 取消,取消创建过程。 签入 命名空间结束操作。
注: 全局命名空间不会被重命名。
只有首先删除防火墙文件夹下面所有的节点,才能删除一个命名空间。要删除空命名空间时,在实际命名空间上点击右键,在文本菜单选择 删除,选择Yes进行确认。
注: 删除命名空间是不可撤消的操作。全局命名空间不会被删除。
如果根据上下文解释命名空间的概念,就很容易理解。右图说明使用4个防火墙的公司示范。3个防火墙London,
Paris和Rome以VPN的形式把三个办公室连接起来。第四个防火墙Interior用于保护内部网络。
三个防火墙使用相同的VPN参数,如Pre-Shared keys和建议清单。而且,为了使VPN通道发挥作用,三个防火墙需要知道每个防火墙背后的网络情况。因此,该网络的管理员选择了创建名为Corporate_VPN (1)的命名空间。该VPN参数已被添加到VPN设置(2)部分里。VPN防火墙需要知道的网络定义已被添加到主机和网络(3)部分。
内部防火墙不是VPN的一员,所以被放置在Corporate_VPN命名空间之外。结果是内部防火墙不能使用(2)里定义的VPN参数。
但是,所有防火墙规则集使用的是同样的服务。比如,允许这些办公室在VPN方式下使用HTTP服务,也允许通过内部防火墙。因此,所有防火墙都在使用全局命名空间中部分(4)服务里定义的HTTP服务。
现在,管理员需要修改位于Paris防火墙后的网络定义,修改在主机和网络(3)部分进行。因为所有防火墙VPN通道均使用此网络定义,所以,安全编辑器将自动对三个防火墙更新此新定义。相反,内部防火墙不受修改的影响。
缺省的操作模式是如果在命名空间修改一项配置,那么下面使用此项配置的所有防火墙都将自动更新其配置。这种操作模式即称为 自动配置继承,就是指自动对下面节点更新配置的操作。
但是某些情况下,这种模式并不理想。首先,当修改命名空间时,命名空间本身和下面所有节点在修改过程中是锁定的。在多管理员解决方案里,这样做会造成不必要的资源冲突。
(这一点在配置和版本控制部分将进行详细描述)。
第二,如果不同管理员负责具体防火墙的配置(例如在管理防火墙情况下),他们可能更希望严格控制对他负责的防火墙配置做的所有改动。
为了解决这个问题,可取消具体命名空间本身具有的自动配置模式,即不选择命名空间对话框里相应属性检查框。请注意应先 签出 命名空间,然后在属性对话框进行改动。
用上面命名空间情况示范能够更容易地理解这些设置对操作的影响方式。设想我们取消了全局命名空间本身具有的自动配置功能,但Corporate_VPN命名空间仍具有此功能。Corporate_VPN命名空间的行为保持不变,这意味着,例如三个防火墙将随时反应VPN设置部分(2)。
另一方面,对全局命名空间的改动会产生不同效果。首先,当修改一个取消配置自动继承的命名空间时,该操作不会锁定下面所有节点。第二,下面防火墙不会自动更新其配置。
相反,在下一次签出下面防火墙时,将通知管理员防火墙使用的一或几项配置已被修改。于是,管理员会选择是否接受修改。 命名冲突 部分对此有详细介绍。