3、 出口访问控制(outgoing)
SmoothWall Express的出口访问控制允许我们限制局域网中的主机可以访问的外部服务,例如只允许企业局域网内的主机访问互联网上的WEB、电子邮件和阅读新闻等服务,这样就可以防止内部员工在工作时间进行其它与工作不相关的网络操作,也就减少了感染木马等带来的安全风险。我们可以通过下面的方式添加相应的出口访问规则:
单击SmoothWall ExpressWEB管理界面中的“Networking”—“outgoing”,进入如图4.4所示的界面。在此界面的Interface default选项框中,确保“Traffic Origination on GREEN is”的下拉列表框中已经选择了“Blocked with exceptions”,意思是除了指定的服务可以访问外,其它的全部禁止。
然后就要在添加例外(Add exception)框中添加可以被访问的外部服务,在Interface下拉框中选择GREEN,在Application or Service(s)下拉框中选择允许被访问的服务,例如SSH服务,然后在Port文本框中输入允许访问此服务的端口,并确保“Enable”多选框已经被选择,最后单击“Add”按钮就可以完成一条出口访问规则的添加。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
图14 出口访问控制界面
4、 内网访问控制(Internal)
SmoothWall Express的内网访问控制,允许我们指定DMZ区域或无线网络中某台主机可以访问内部局域网中某台主机的指定服务。通常,DMZ区域和无线网络中的主机都不被内网信任的,如果这些区域中的主机需要访问内网主机上的服务,为了增加安全性,我们就可以通过内网访问控制来限制可以访问的内网主机,以及可以访问的服务。
单击SmoothWall ExpressWEB管理界面中的“Networking”—“Internal”进入如图4.5所示的界面,在Add a new rule选项框中的Source IP文本框中输入源IP地址,也就是DMZ或无线网络中主机使用的IP地址;在Protocol下拉框中选择一种连接协议如TCP协议;在Destination IP文本框中输入允许访问的内网主机的IP地址;在Application or Service(s)下拉框中选择允许访问的服务;在Destination Port文本框中输入允许访问的内网主机上的目标端口,确保“Enable”多选框已经被选择,然后单击“Add”按钮就可以添加一条内网访问控制规则。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
图15 内网访问控制界面