故障发生及排查故障的过程，是我们在《实例解析防火墙部署搭建与故障排除(二)》中介绍的内容，减少故障离不开合理的安全策略，本文将介绍防火墙上安全策略的配置。

四、防火墙安全策略的配置。

在防火墙上总共需要配置添加两个策略，才能解决上面的故障，如下所示。

1、在防火墙上添加允许办公区用户访问FTP服务器的安全策略。如图4所示，是添加策略的Web界面。标红色星号的选项是必须填写的。“规则名”为Vlan115-to-Vlan5;“序号”是自动生成的;“源地址”和“目的地址”的IP地址和子网掩码就按如图所示的填写即可，但注意子网掩码一定要写255.255.255.255，不能写成255.255.255.0。因为前者的子网掩码只对应一个IP地址，而后者则对应的是一个网段。如果把源地址和它的子网掩码写成192.168.115.2和255.255.255.255，意思就是只允许192.168.115.2这一个IP地址访问FTP服务器。但若是把子网掩码写成了255.255.255.0，那对应的安全策略就成了允许所有属于192.168.115.0/24这个网段的IP地址访问FTP服务器。

图4　在防火墙WEB管理界面中添加允许访问FTP服务

“动作”共有四个选项，但只能选择其中一项，“允许”就是允许与源地址和目的地址匹配的IP数据包通过，“禁止”就是不允许通过。还有两个选项是在防火墙上使用其它的安全功能时才选择的。最后一个选项是“服务”，这个是从服务的下拉菜单中选择的，选择的是ftp服务。一般在防火墙之类的安全设备上都会默认定义一些常用的安全服务，如FTP、HTTP和ICMP等。另外，还有如下所示几个功能，虽然在本例中没有使用，但也非常重要。

“源端口”中端口号的填写，可以用英文逗号分割表示多个端口，或用英文冒号分割表示端口段。两种分割方式不能同时使用。“源MAC”是指数据包中二层的源MAC地址。

“流入网口”是限制网络数据包的流入网口，可以防止IP欺骗。可选内容包括：any和所有已激活的网口。默认值为any，表示不限制接收网口。如果防火墙工作在透明模式，必须选择相应的物理网口如Gi1。如果不能确定流入网口或工作在混合模式，就选择any。

“流出网口”流出网口检查，当选择源地址转换时才能选择。在透明模式下需要选择桥设备。如果不能确定流出网口或工作在混合模式，应当选择any。

“时间调度”是指在指定的时间段内，安全规则为生效状态，在指定的时间段外，安全规则就变为无效。

2、在防火墙上添加，允许所有的Ping命令都能通过防火墙的策略。如图5所示，是在防火墙的WEB管理界面中添加此策略的示意图。“规则名”为ICMP;“序号”为18，也是系统自动生成的;注意“源地址”和“目的地址”中的IP地址、子网掩码任何内容都没有填写。其实这种情况下，不输入任何地址就代表所有的IP地址。也就是所有Ping的数据包，无论它的源地址和目的地址是什么IP地址，都允许它通过防火墙;“动作”选择允许;“服务”选择的是icmp_any，它代表的就是Ping命令所使用的服务。在图5中的，还有以下的几个功能选项在本例中也是没有使用，但也非常重要。

“长连接”设定该条规则可以支持的长连接时间。0为不限时。若限时，则有效的时间范围是30-288000分钟。如果希望在指定的时间之后断开连接，就可以设定该功能。

“深度过滤”在生效的安全规则中执行深度过滤。不过，对数据包进行应用层的过滤会影响系统的处理性能，所以一般情况下不要启用深度过滤。可以在下拉框的选项中选择“无”，从而不启用深度过滤功能。

(责任编辑：)