网络场景

某公司使用TL-FW6300搭建网络，防火墙连接互联网，并划分多个网段内部使用，网络拓扑结构如下图所示。

需求分析

安全需求

n 需求1：访客网络可以访问互联网，但是不能访问内部其他网络；
n 需求2：销售部可以访问内部服务器网络以及互联网，但是禁止访问常见的游戏、视频、炒股类网站和应用；
n 需求3：研发部、财务部、行政部可以访问内部服务器网络，但是不能访问互联网，仅允许访问公司外部官方网站www.test.com；
n 需求4：出差员工可以通过互联网访问内网的8080端口的WEB服务器；
n 需求5：内部各个部门以及访客区域之间禁止互相访问；
n 需求6：管理接口仅用于管理防火墙自身。

审计需求

n 需求1：对所有流经防火墙的数据进行审计，并记录到审计日志；
n 需求2：将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了TP-LINK安全审计系统的审计服务器。

设置步骤

1. 配置接口参数。

点击“网络”——“接口设置”，如下图所示。

（1）设置GE1连接互联网
本例中以设置静态IP联网方式为例。

按照运营商提供的联网参数进行填写即可。
（2）设置GE2连接服务器区
服务器区域网段是172.16.0.0/24，配置如下图所示。

l 连接方式：设置接口IP地址的配置方式，本例中选择“静态IP”。
l IP地址：设置接口的IP地址，本例中为“172.16.0.1”。
l 子网掩码：设置接口的子网掩码，本例中为“255.255.255.0”。
l 网关地址：设置接口的网关地址，本例中不填。
l 上行带宽：设置接口的上行带宽值，本例中保持默认。
l 下行带宽：设置接口的下行带宽值，本例中保持默认。
l MTU：设置接口的MTU值，本例中保持默认。
l 首选DNS服务器：设置接口的首选DNS服务器IP地址，本例中保持默认，不填写。
l 备用DNS服务器：设置接口的备用DNS服务器IP地址，本例中保持默认，不填写。
l MAC地址：设置接口的MAC地址，本例中保持默认。
l 备注：添加备注，方便后期维护，本例中为“服务器”。
1. 设置完毕点击“确定”，如下图所示。

（3）设置GE3—GE7连接到其他内部各个区域的接口
配置方法与服务器区类似，如下图所示。






接口参数设置完毕。

2. 设置NAPT

配置各个网段通过GE1进行NAT联网。如下图所示。

l 出接口：选择连接宽带的接口，本例中为“GE1”。
l 源地址范围：设置为内部的网段，本例中为了简化设置，网段归纳为“172.16.0.0/16”。

3. 设置DHCP服务器

为内网设备分配IP地址。如下图所示。


为每个网段添加一个DHCP服务器，简化客户端配置。

4. 设置安全区域

为每个接口定义所属的安全区域。打开“网络”——“安全区域”菜单，如下图所示。

将GE3-GE7以及MGMT添加到trust安全区域，点击trust区域的编辑图标，如下图所示。

l 备注：添加备注，本例中为“内网”。
l 接口：选择属于trust安全区域的接口，本例中包括“GE3-GE7以及MGMT”。点击“确定”，添加完成，如下图所示。




相同设置方法将GE1添加到untrust安全区域，将GE2添加到dmz安全区域，添加完成，如下图所示。

5. 设置对象参数

(1) 地址
添加各个区域的IP地址段。打开“对象”——“地址”——“地址”页面，点击“新增”，如下图所示。


以服务器区IP地址为例：
l 地址名称：自定义，本例中为“Servers”。
l IP类型：本例中选择IP/Mask，设置IP地址段“172.16.0.0/24”。
l 备注：添加备注“服务器区”
按照上述方式依次添加防火墙内部各个区域的地址段，添加完毕如下图所示。

添加地址组，打开“对象”——“地址”——“地址组”页面，点击“新增”，如下图所示。

l 组名称：自定义，本例中为“Servers”。
l 地址名称：选择已经定义的地址名称，本例中选择服务器地址段“Servers”。
l 备注：添加备注方便后期维护，本例中为“服务器IP地址段”。
点击确定添加成功，如下图所示。

按照此方式添加其他地址组，包括访客、销售部、研发部、财务部和行政部的地址组。另外单独添加一个包含研发部、财务部以及行政部的内网部门Internal。添加完毕如下如所示。

(2) 时间段
本例中无特定时间限制，所以使用默认的所有时间条目“Any”即可，如下图所示。

(3) 服务
设置外网可以访问的内部WEB服务器服务条目，首先新增服务，打开“对象”——“服务”——“服务”，点击“新增”，如下图所示。

l 服务名称：自定义，本例为“WEB_Server”。
l 协议类型：选择“TCP”。
l 源端口范围：本例中任意端口，即“0-65535”。
l 目的端口范围：本例中为8080，即“8080-8080”。.
l 备注：自定义，本例中为“内部WEB服务器”。
点击“确定”，添加完毕。如下图所示。


接下来新增服务组，打开“对象”——“服务”——“服务组”，点击“新增”，如下图所示。

l 组名称：自定义，本例中为“WEB_Server”。
l 服务类型：选择已定义的服务名称，本例中选择“WEB_Server”。
l 备注：添加备注，方便后期维护，本例中为“内部WEB服务器”。
点击“确定”，添加完成，如下图所示。

(4) 网站
设置内部网络可以访问的公司官网网址，打开“对象”——“网站”——“网站组”，点击“新增”，如下图所示。

l 组名称：自定义，本例为“公司官网”。
l 组成员：设置公司官网的网址，本例为“www.test.com”。
l 备注：添加备注，方便后期维护，本例为“公司官方网站”。
l 点击“确定”，新建完成，如下图所示。


(5) 应用
定义销售部禁止访问的应用，打开“对象”——“应用”——“应用组”，点击“新增”，如下图所示。

l 名称：设置应用组名称，本例为“entertainment”。
l 软件：选择需要控制的软件，本例中选择“游戏、视频、炒股”软件。
l 备注：添加备注方便后期维护，本例中为“游戏、视频、炒股”。
点击“确定”，添加完毕。如下图所示。

(6) 安全配置文件
设置内网设备允许访问的公司官方网站的URL过滤条目。打开“对象”——“安全配置文件”——“URL过滤”，点击“新增”，如下图所示。

l 名称：设置URL过滤条目的名称，本例为“official_WEB”。
l 策略类型：本例中选择“仅允许访问下列的URL”。
l 过滤方式：本例中选择“网站分组”。
l 网站分组：选择已经添加的网站分组，本例中选择“公司官网”。
l 备注：添加备注，便于后期维护，本例中设置“允许访问公司官网”。
点击“确定”，添加完成，如下图所示。

经过以上设置，设置安全策略所需的对象已经准备完毕。接下来进行安全策略的配置。

6. 设置安全策略

打开“策略”——“安全策略”页面，如下图所示。


防火墙出厂默认已经存在一条禁止所有的安全策略。所以接下来需要根据之前定义的需求将需要允许的内容一一添加上去，分别是：
n 需求1：访客网络可以访问互联网，但是不能访问内部其他网络；
n 需求2：销售部可以访问内部服务器网络以及互联网，但是禁止访问常见的游戏、视频、炒股类网站和应用；
n 需求3：研发部、财务部、行政部可以访问内部服务器网络，但是不能访问互联网，仅允许访问公司外部官方网站www.test.com；
n 需求4：出差员工可以通过互联网访问内网的8080端口的WEB服务器；
n 需求5：）内部各个部门以及访客区域之间禁止互相访问；
n 需求6：管理接口仅用于管理防火墙自身。
(1) 设置第1条需求，点击“新增”，如下图所示。

l 规则名称：自定义，本例为“GUEST_Internet”。
l 描述：自定义，本例为“访客上网”。
l 源安全区域：选择访客网络所在区域，本例中选择“trust”。
l 目的安全区域：选择互联网所在区域，本例中选择“untrust”。
l 源地址：选择访客网络IP地址范围，本例中选择“GUEST”。
l 目的地址：选择Internet网络IP地址范围，本例中选择“Any”。
l 服务组：选择服务组，本例中选择“Any”。
l 应用组：选择应用组，本例中选择“Any”。
l 时间段：选择时间段，本例中选择“Any”。
l 动作：选择命中规则后的处理动作，本例中选择“允许”。
l 内容安全：选择URL过滤和文件过滤配置文件，本例中留空，不选择。
l 记录策略命中日志：本例中不启用。
l 状态：选择“启用”。
l 添加到指定位置（第几条）：本例中无需设置。
点击“确定”，添加成功。如下图所示。

(2) 设置第2条需求，点击“新增”，如下图所示。
相同方法设置销售部允许上互联网。
设置销售部允许访问服务器网段。点击“新增”，如下图所示。

关键设置如下：
l 源安全区域：选择销售部网络所在区域，本例中选择“trust”。
l 目的安全区域：选择服务器所在区域，本例中选择“dmz”。
l 源地址：选择销售部IP地址范围，本例中选择“Sales”。
l 目的地址：选择服务器IP地址范围，本例中选择“Servers”。
l 设置完毕，点击“确定”，添加完成。
设置销售部禁止访问娱乐软件，点击“新增”，如下图所示。

关键设置如下：
l 源安全区域：选择销售部网络所在区域，本例中选择“trust”。
l 目的安全区域：选择互联网所在区域，本例中选择“untrust”。
l 源地址：选择销售部IP地址范围，本例中选择“Sales”。
l 目的地址：选择Internet网络IP地址范围，本例中选择“IPGROUP_ANY”。
l 添加到指定位置（第几条）：该规则应当放在销售上网规则的前面，本例中设置为“2”。
设置完毕，点击“确定”，添加完成。如下图所示。

销售部规则添加完毕。
(3) 设置第3条需求，研发部、财务部、行政部可以访问内部服务器网络，但是不能访问互联网，仅允许访问公司外部官方网站。
(4) 相同设置方法设置研发部、财务部、行政部可以访问内部服务器网络。如下图所示。


设置研发部、财务部、行政部允许访问公司外部官方网站www.test.com。点击“新增”，如下图所示。




关键设置如下：
l 源安全区域：选择研发部、财务部、行政部网络所在区域，本例中选择“trust”。
l 目的安全区域：选择官方网站服务器所在区域，本例中选择“untrust”。
l 源地址：选择研发部、财务部、行政部IP地址范围，本例中选择“Internal”。
l 目的地址：选择Internet网络IP地址范围，本例中选择“IPGROUP_ANY”。
l URL过滤：选择已设定的官方网站条目“official_WEB”。
设置完毕，点击“确定”，添加完成。如下图所示。

出差员工可以通过互联网访问内网的8080端口的WEB服务器。
点击“新增”，如下图所示。

关键设置如下：
l 源安全区域：选择互联网所在区域，本例中选择“untrust”。
l 目的安全区域：选择服务器所在区域，本例中选择“dmz”。
l 源地址：选择互联网IP地址范围，本例中选择“IPGROUP_ANY”。
l 目的地址：选择服务器IP地址范围，本例中选择“Servers”。
l 服务组：选择已设定的内部WEB服务器的服务组“WEB_Server”。
设置完毕，点击“确定”，添加完成。如下图所示。

(5) 第5、6条需求默认已经如此，无需专门设置。至此所有安全策略设置完毕。

7. 设置审计策略

设置审计需求一：对所有流经防火墙的数据进行审计，并记录到审计日志。
以审计管理员身份登录防火墙，打开“对象”——“审计配置文件”，点击“新增”，设置需要审计的URL以及IM行为：

l 名称：设置审计配置文件的名称，本例为“audit_all”。
l 描述：添加描述，便于后期维护，本例中设置为：“审计所有网站”。
l IM行为审计：通讯软件行为审计，目前仅支持记录QQ上下线，本例中设置为“启用”。
l HTTP行为审计（URL访问）：设置需要审计的URL，本例中设置为“记录所有URL”
l 网站组选择：仅记录指定URL时，可选择要记录的URL，本例中已设置为“记录所有URL”，故无需选择。
点击“确定”，添加完成，如下图所示。

打开“策略”——“审计策略”，如下图所示：

可以看到系统默认有一条不审计的策略。下面我们根据审计需求设置审计策略，之前的需求为：对所有流经防火墙的数据进行审计。故设置如下图所示：

l 策略名称：可自定义，本例设置为“audit_all_data”。
l 描述：添加描述，便于后期维护，本例设置为“审计所有流量”。
l 源安全区域：选择源安全区域，本例中选择“Any”。
l 目的安全区域：选择目的安全区域，本例中选择“Any”。
l 源地址：选择源地址，本例中选择“Any”。
l 目的地址：选择目的地址，本例中选择“Any”。
l 服务组：选择服务组，本例中选择“Any”。
l 应用组：选择应用组，本例中选择“Any”。
l 时间段：选择时间段，本例中选择“Any”。
l 动作：选择命中规则后的处理动作，本例中选择“审计”。
l 审计配置文件：选择审计配置文件，本例中选择“audit_all”。
l 添加到指定位置（第几条）：本例中无需设置。
点击“确定”，添加成功。如下图所示。

通过上述步骤，则完成了防火墙审计策略的设置。

8. 对接审计服务器

设置需求二：将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了TP-LINK安全审计系统的审计服务器。
设置好审计策略后，可以登录防火墙查看审计信息，但防火墙自身存储能力有限，为了存储更多更久的审计信息，可以把审计信息上传到安装了TP-LINK安全审计系统的服务器上。设置方法如下：
以审计管理员身份登录防火墙，打开“系统”——“日志配置”，做如下设置：

l 上传用户上网行为：本例中选择为“启用”。
l 行为审计服务器地址：本例中设置为“172.16.0.2”
然而，仅通过上述设置无法实现防护墙与审计服务器的对接，还需要设置一条安全策略，允许防火墙去访问审计服务器，设置方法如下：
以系统管理员身份登录防火墙，打开“对象”——“地址”，增加审计服务器地址，设置如下图所示：

l 地址名称：本例中设置为“audit_server_ip”。
l IP类型：本例选择为“IP/Mask”，设置为“172.16.0.2 / 32”。
l 备注：本例设置为“审计服务器地址”。
再新增地址组，将审计服务器地址添加到组，设置如下图所示：

l 组名称：本例设置为“audit_server”。
l 地址名称：本例选择为“audit_server_ip”。
l 备注：本例设置为“审计服务器”。
打开“策略”——“安全策略”，点击“新增”，设置一条安全策略，允许防火墙访问服务器，如下图所示：

l 规则名称：自定义，本例为“allow_audit”。
l 描述：自定义，本例为“允许防火墙访问审计服务器”。
l 源安全区域：选择防火墙所在区域，即设置为“local”。
l 目的安全区域：选择审计服务器所在区域，本例中选择“dmz”。
l 源地址：由于安全区域已经选择为“local”，故源地址可不选择，保持默认为“Any”。
l 目的地址：选择审计服务器的地址，本例中选择“audit_server”。
l 服务组：选择服务组，本例中选择“Any”。
l 应用组：选择应用组，本例中选择“Any”。
l 时间段：选择时间段，本例中选择“Any”。
l 动作：选择命中规则后的处理动作，本例中选择“允许”。
l 内容安全：选择URL过滤和文件过滤配置文件，本例中留空，不选择。
l 记录策略命中日志：本例中不启用。
l 状态：选择“启用”。
l 添加到指定位置（第几条）：本例中无需设置。
点击“确定”，添加成功。

通过上述步骤，防火墙上的审计信息就可以上传至审计服务器，这就满足了审计需求一。
而对于需求二：将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了TP-LINK安全审计系统的审计服务器。可以用系统管理员身份登录防火墙，打开“系统”——“日志”，做如下设置：

l 选择系统日志等级：是否选择要上传的系统日志的等级，本例中勾选，且选择为“所有等级”。
l 选择系统日志模块类别：是否选择要上传的系统日志模块类别，本例中勾选，且选择为“所有模块”。
l 发送日志：是否发送日志，本例中勾选，且设置服务器地址为“172.16.0.2”。
通过上述步骤，就完成了防火墙与审计服务器的对接，且满足了审计需求。