一、黑名单
在配置黑名单之前首先要启用防火墙的黑名单功能,这样才会对符合黑名单表项的报文进行过滤。在防火墙目录中点击黑名单进入黑名单配置信息概览页面,单击使能按钮以启用黑名单功能。启用黑名单功能后可单击禁止按钮以关闭黑名单功能
配置黑名单
在黑名单配置信息概览页面中单击创建按钮以进入黑名单表项配置页面
在IP地址栏中输入被屏蔽的报文的源地址信息;在老化时间时间中指定经过此时间后黑名单表项将被自动删除,范围为1~1000,单位为分钟,若不指定老化时间,则此表项将不会老化。
二、安全区域
在防火墙目录中点击安全区域进入安全区域配置信息概览页面,可看到系统已经缺省创建的安全区域及其优先级和所连接的接口。
单击创建按钮进入创建安全区域页面,为安全区域设置名称和优先级,以及选择防火墙连接此区域所使用的接口。
在安全区域配置信息概览页面中选择一个安全区域并单击配置按钮可对其属性进行修改。
三、IP-MAC地址绑定
MAC和IP地址绑定,指防火墙可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于源IP地址为这个IP的报文,如果其MAC地址不是指定关系对中的地址,防火墙将予以丢弃。在防火墙目录中点击IP-MAC地址绑定进入IP-MAC地址绑定配置信息概览页面,单击创建按钮进入绑定条目配置页面,指定绑定的IP地址和MAC地址。
创建完绑定条目后,在IP-MAC地址绑定配置信息概览页面单击使能按钮启用IP-MAC地址绑定功能。
四、防火墙会话
防火墙会话表能对TCP、UDP、FTP、HTTP、SMTP、NetBIOS、RSTP、H.323等协议的流量进行监测。在防火墙目录中点击防火墙会话进入防火墙会话信息配置概览页面,在页面的上半部分可以查看到当前防火墙会话表的各个协议的超时时间。
单击配置按钮可以对各个协议的超时时间进行配置。配置完成后单击此页面的配置按钮应用当前设置,单击重置按钮将恢复到系统的缺省值。
在防火墙会话信息配置概览页面的下半部分中可以查看当前防火墙的会话信息。
例如,通过此会话信息可以看到当前地址为192.168.0.2的主机与防火墙的HTTP 80端口建立了连接。
TCP代理对目的主机或目的区域的所有主机提供保护,用来防范SYN Flood攻击。当外部主机与启用了TCP代理保护的某个主机或某个安全域中的主机建立TCP连接时,必须先与防火墙完成TCP三次握手后,才能与目的主机建立TCP连接。如果不能与防火墙完成三次握手,则不允许与目的主机建立TCP连接,有效的防止了内部主机收到恶意攻击。
在“防火墙”目录中点击TCP代理配置进入配置页面,可以通过选择页面中的“受保护的主机IP”和“受保护的安全区域”复选框为拥有特定IP地址的主机和安全区域中的所有主机提供保护,单击添加按钮启动TCP代理。
在“防火墙”目录中点击TCP代理配置进入配置页面,可以通过选择页面中的“受保护的主机IP”和“受保护的安全区域”复选框为拥有特定IP地址的主机和安全区域中的所有主机提供保护,单击添加按钮启动TCP代理。
本文转自 yirehe 51CTO博客,原文链接:http://blog.51cto.com/yirehe/40726,如需转载请自行联系原作者
