Firewall_serviceObjView
SonicOS 增强版支持扩展 IP 协议支持,以便用户基于这些协议来创建服务和访问规则。有关支持的 IP 协议的完整列表,请参见支持的协议。
Dell SonicWALL 安全设备使用服务来配置允许或拒绝向网络发送流量的网络访问规则。Dell SonicWALL 安全设备包含默认服务。默认服务为不可编辑的预定义服务。您也可以创建自定义服务,以配置用于满足您的特定业务需求的防火墙服务。
从视图样式中选择所有服务将同时显示自定义服务和默认服务。
默认服务视图在服务表格和服务组表格中显示 Dell SonicWALL 安全设备的默认服务。“服务组”表格将包含多项默认服务的集群显示为单个服务对象。不能删除或编辑这些预定义服务。服务表格显示服务的以下属性:
• 名称 — 服务的名称。
• 协议 — 服务的协议。
• 起始端口 — 服务的起始端口编号。
• 终止端口 — 服务的终止端口编号。
• 配置 — 显示不可用的编辑和删除图标(不能编辑或删除默认服务,因此需要添加新服务才能使“编辑”和“删除”图标变为可用)。
应用于常用应用程序的服务被分组为默认服务组。不能更改或删除这些组。单击“默认服务组”条目左侧的“+”将显示组中包含的所有个别默认服务。例如,DNS(名称服务)条目具有两项服务,分别标记为 DNS(名称服务)TCP(用于端口 53)和 DNS(名称服务)UDP(用于端口 53)。这些具有相同名称的多个条目被分组在一起,并作为单项服务进行处理。不能编辑或删除默认服务组。
以下列表提供了自定义服务的配置任务:
• 添加自定义服务
• 编辑自定义服务
• 删除自定义服务
• 添加自定义服务组
• 编辑自定义服务组
• 删除自定义服务组
以下 IP 协议可用于自定义服务:
• ICMP (1)—(Internet 控制消息协议)用于发送错误和控制消息的 TCP/IP 协议。
• IGMP (2)—(Internet 组管理协议)用于管理 TCP/IP 网络中的组播组的协议。
• TCP (6)—(传输控制协议)TCP/IP 的 TCP 部分。TCP 是 TCP/IP 中的传输协议。TCP 可确保准确、完整地发送消息。
• UDP (17)—(用户数据报协议)TCP/IP 协议套件中的一项协议,用于在不要求可靠交付的情况下替代 TCP。
• GRE (47)—(通用路由封装)一项隧道协议,用于封装 IP 隧道内部的各种协议数据包类型,从而创建到防火墙的虚拟点到点链路或在 IP 互联网络中路由设备。
• ESP (50)—(封装的安全有效负载)一种用于将 IP 数据报封装在另一个数据报内部的方法,由 IPsec 用作一种灵活的数据传输方法。
• AH (51)—(身份验证标头)一种安全协议,可提供数据身份验证和可选的防中继转发服务。AH 嵌在需要保护的数据内(完整的 IP 数据报)。
• EIGRP (88)—(增强型内部网关路由协议)IGRP 的高级版本。提供出色的融合属性和操作效率,并结合了链路状态协议与距离向量协议的优势。
• OSPF (89) —(开放最短路径优先)一种路由协议,用于基于节点间的距离和多个质量参数来确定在 TCP/IP 网络中路由 IP 流量的最佳路径。OSPF 是一种内部网关协议 (IGP),用于在自治系统内工作。它也是一种链路状态协议,所提供的路由器到路由器更新流量少于它被用来替代的 RIP 协议(距离向量协议)。
• PIMSM (103)—(协议独立组播稀疏模式)两种 PIM 操作模式(密集和稀疏)之一。PIM 稀疏模式尽量约束数据分配,使得网络中只有极少数量的路由器接收数据。仅当 RP(汇聚点)处明确请求数据包时,才会发送数据包。在稀疏模式下,接收方的分布很广泛,并且假设下游网络不一定会使用发送给它们的数据报。使用稀疏模式的代价是,它依赖于定期刷新显式加入消息,并且需要 RP。
• L2TP (115)—(第二层隧道协议)一种用于在互联网上运行 PPP 会话的协议。L2TP 不包含加密,但默认使用 IPsec,以便提供从远程用户到企业 LAN 的虚拟专用网络 (VPN) 连接。
添加用于预定义服务类型的自定义服务
可以为任意预定义服务类型添加自定义服务:
|
您所创建的所有自定义服务均在服务表格中列出。可通过创建自定义服务组来对自定义服务进行分组,以方便实施策略。如果某个协议没有在默认服务表格中列出,您可以将其添加到“服务”表格中。
1. 单击添加按钮。
在名称字段中输入服务的名称。
3. 从协议下拉菜单选择 IP 协议类型。
根据所选的 IP 协议,输入“端口范围”或 IP 协议“子类型”:
• 对于 TCP 和 UDP 协议,指定“端口范围”。无需指定“子类型”。
• 在 Dell SonicWALL NSA 系列设备上,对于 ICMP、IGMP、OSPF 和 PIMSM 协议,请从“子类型”下拉菜单中选择子类型。
• 对于剩余的协议,无需指定“端口范围”或“子类型”。
5. 单击确定。该服务随即出现在自定义服务表格中。
6. 单击启用日志复选框,以禁用或启用服务活动的记录。
添加自定义 IP 类型服务
仅使用预定义 IP 类型时,如果安全设备遇到其他任何 IP 协议类型的流量,它会将其作为未识别流量予以丢弃。但也存在一张由 IANA(互联网编号分配机构)管理的包含其他注册 IP 类型的大型扩展列表:http://www.iana.org/assignments/protocol-numbers,因此,尽管丢弃不常见(未识别)IP 类型的流量的刚性做法是安全的,但在功能上会受到限制。
SonicOS 增强版 3.5 及最新版本提供自定义 IP 类型服务对象支持,使得管理员可以构建表示任何 IP 类型的服务对象,然后编写防火墙访问规则来识别和控制任何类型的 IPv4 流量。
Note 通用服务任何将不会处理自定义 IP 类型服务对象。也就是说,仅仅定义一个用于 IP 类型 126 的自定义 IP 类型服务对象将不会允许 IP 类型 126 流量通过默认的 LAN > WAN 允许规则。
还必须创建一条访问规则,专门包含该自定义 IP 类型服务对象,以提供对它的识别和处理(如下所述)。
示例
假设一名管理员需要允许来自 WAN 区域(WAN 子网)所有客户端的 RSVP(资源保留协议 - IP 类型 46)和 SRP(Spectralink™ 无线电协议 – IP 类型 119)流入 LAN 区域中的某个服务器(例如 10.50.165.26),该管理员可定义自定义 IP 类型服务对象来处理这两项服务:
1. 在网络 > 服务页面中,单击页面右上角的转至服务对象链接跳转至“服务”部分。
2. 单击添加。
对服务对象进行相应的命名。
4. 从“协议”下拉列表中选择自定义 IP 类型。
5. 输入自定义 IP 类型的协议编号。对于自定义 IP 类型而言,端口范围不可定义或不适用。
Note 不允许为预定义 IP 类型定义自定义 IP 类型,这样做将会导致错误消息。
单击确定。
在网络 > 服务页面的服务组部分,选择添加群组。
8. 添加一个由自定义 IP 类型服务组成的服务组。
在防火墙 > 访问规则 > WLAN > LAN 中,选择添加。
10. 定义一条访问规则,允许 myServices 从 WLAN 子网流向地址对象 10.50.165.26。
Note 相应地选择您的区域、服务和地址对象。可能有必要创建一条用于双向流量的访问规则;例如,一条来自 LAN > WLAN、允许 myServices 从 10.50.165.26 流向 WLAN 子网的附加规则。
单击确定。
现在将能识别 IP 协议 46 和 119 流量,并允许其从 WLAN 子网流向 10.50.165.26。
单击配置下面的编辑图标,在编辑服务窗口中编辑服务。该窗口包含与添加服务窗口相同的配置设置。
单击删除图标,以删除个别自定义服务。可通过单击删除按钮来删除所有自定义服务。
添加自定义服务组
您可以添加自定义服务,然后创建服务组(包括默认服务),以便对其应用相同的策略。例如,您可以通过添加两项服务作为一个自定义服务组,在一周内的某些小时或天内仅允许 SMTP 和 POP3 流量。
要创建自定义服务组,请执行以下步骤:
1. 单击添加组。
在“名称”字段中输入自定义组的名称。
3. 在左边列中的列表中选择个别服务。也可以通过按住 Ctrl 键并单击服务来选择多项服务。
4. 单击 - > 将服务添加到组。
5. 要从组中删除服务,请在右边列中的列表中选择个别服务。也可以通过按住键盘上的 Ctrl 键并单击服务来选择多项服务。
6. 单击 < - 删除服务。
7. 完成后,单击确定将组添加到自定义服务组中。
单击自定义服务组名称左边的箭头将展开显示内容,以显示自定义服务组条目中包含的所有个别自定义服务、默认服务和自定义服务组。
单击配置下面的编辑图标,在编辑服务组窗口中编辑自定义服务组。该窗口包含与添加服务组窗口相同的配置设置。
单击删除图标,以删除个别自定义服务组条目。可通过单击“删除”按钮来删除所有自定义服务组。