Firewall-1使用点滴
文 波
Sun公司的Soltice Firewall 13.0是目前国内应用较多的软件安全产品。下面是使用中常见的一些问题及解决方法。
外部网络接口问题
由于Firewall 1有不同用户数的限制,如50、100、250、无限制用户数等。用户数规定了Firewall
1能够管理的内部节点的数目。因此,在配置Firewall 1时,必须对防火墙主机的内部接口与外部接口做明确的定义。具体配置文件:
$ FWDIR/conf/external.if
内容是主机网口的物理名称:hme0(快速以太网)或le0(以太网)等。
地址转换问题(NAT)
Network Address Translation(NAT)功能是将防火墙的内部保护管理的私用IP地址转化为正式IP,在受防火墙保护的情况下去连接外部的网络。
在Firewall 1中,地址转换主要有两种方式:HIDE方式和STATIC方式。HIDE方式将多个内部IP动态转化为一个正式的IP,为多对一的转换方式,这样的方式只能允许内部的主机访问外部主机,而外部主机不能够访问内部的主机。
另一种方式是STATIC方式,该方式将内部IP与外部IP进行一一对应地静态转换,这样,不仅内部主机可以访问外部主机,外部主机同样可以访问内部主机。
在配置NAT后,为了保证从外部返回的数据包能够正确地到达它内部的正确地址,必须保证:
* 从外部路由回来的数据包首先能够到达网关,即防火墙主机;
* 防火墙主机能够将该数据包路由返回到正确的内部主机。
以下面的配置为例:内部的主机10.0.0.1做STATIC方式的地址转换,正式IP为199.203.73.3。完整的配置步骤是:
* 内部主机10.0.0.1上,将其default gateway设置为防火墙主机,用以保证到外部的数据包经由防火墙主机;
* 防火墙主机上,设置10.0.0.1到199.203.73.3的地址转换规则,并安装生效;
* 防火墙主机上,利用ARP代理的方式,代理199.203.73.3的MAC地址:
/usr/sbin/arp s199.203.73.3pub
* 在防火墙主机上,为返回的数据包设置路由:
/usr/sbin/route add 199.203.73.310.0.0.11
超出License数目的报警
通常在使用的过程中,Firewall 1自动对内部的IP主机进行计数,一旦超出其用户许可所允许的范围,它便会在系统的控制台上不停地报警。
解决的办法有两个:一是升级你的用户许可,购买更多的适合你的内部网络节点数目的产品;另外便是一个临时性的解决方案,Firewall记录主机数目文件为$
FWDIR/database/fwd.h,将该文件清空,让其重新记数,可以暂时解决一下问题。