【IT168 专稿】作为防火墙,最基本的功能就是访问控制。ngfw4000 以基于os 内核的会话检测技术为核心,结合应用代理、带宽管理、用户权限控制等功能,实现了立体的全方位的访问控制功能。
4000-UF(TC-5044)的访问策略有以下特点:
① 传统防火墙中访问策略(或访问规则)是一个全局的线性链表,针对各个网络区域的访问策略混杂在一起。在fw4000 中,每条访问策略都从属于某个网络区域,描述其他区域中的机器对此区域中的机器进行访问时应该如何控制。
② 每条访问策略必定有目的、源、动作,表示这个源对目的访问时要执行何种动作。传统的防火墙的一条访问策略只能有一个源,如果两台客户机对某台服务器有不同的访问权限,则必须写两条访问策略。4000-UF(TC-5044)的一条访问策略中对同一个目的,可以有不同的源,每个源可以有不同的访问权限。
由上所述,4000-UF(TC-5044)的的访问策略可以让管理员对整个访问策略的配置有更清晰的了解,减少了出错的概率。
上面这个数据结构描述了一个访问策略的目的,例如:要控制对区域ssn 的一台ftp 服务器的访问(假定这台服务器用网络节点ftp_server 表示),不允许读取/etc/passwd 文件(假定这个文件以资源pass_file 表示)。则目的区域=ssn,目的机器=ftp_server,目的端口= tcp 21,目的资源=pass_file。描述了访问策略的目的后,必须描述访问策略的源和它们的权限(实际上就是上述表格中的客户,它包含一个或多个源及它们的权限)。如下图所示:
还是上面的例子,现在假设/etc/passwd 文件可以被用户admin 读、写,可以被intranet 的机器读(已经在intranet 区域上定义了一个子网inside,地址范围是0.0.0.0-255.255.255.255),不能被internet 上的机器访问(已经在internet 区域上定义了一个子网outside,地址范围是0.0.0.0-255.255.255.255)。则对这同一个目的,有以下三个客户及其动作:
① 源机器=admin,访问权限=read write。
② 源机器=inside,访问权限=read。
③ 源机器=outside,访问权限=none (即空)。
