《防火墙命令手册》由会员分享,可在线阅读,更多相关《防火墙命令手册(22页珍藏版)》请在金锄头文库上搜索。
1、防火墙命令手册目录1 简介32 功能简述32.1 连接监测32.2 包过滤策略42.3 协议状态检测42.4 基于MAC地址的桥过滤43 配置防火墙54 典型配置171简介Internet的发展给政府结构、企事业单位带来了革命性的改革和开放。他们正努力 通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。通过Internet, 企业可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战 和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企 业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的”战壕”,而这 个”战壕”就是
2、防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术, 越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为 最甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安 全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能 根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的 抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内 部网和Internet之间的任何活动,保证了内部网络的安全。
3、除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系 VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网, 有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。2功能简述2.1连接监测基于状态的资源和连接控制基于这样的观点:如果连接长时间没有应答,一直处 于半连接状态,会浪费连接资源。同样虽然连接已经建立,但长时间没有数据流穿过,也会浪费了连接资源。连接监测功能通过追踪和统计连接建立的过程和数量,来管理系统和ICMP, TCP,UDP,Generic协议的连接状态,提高网络访问的性能。2.2包过滤策略包过滤策略能够保护内部网
4、络资源,防止外来者接触。同时限制内部网络用户对 外部网络的访问。防火墙包过滤策略根据IP包中IP、TCP、UDP协议的头部信息,以及承载IP的 Ethernet帧头的MAC地址、IP报文进入系统的入口设备以及IP报文离开系统的出口设 备决定对IP包进行的操作,由此控制对网络内部或网络外部资源的访问,提高网络的 安全性能。由于包过滤策略能处理MAC地址、IP,TCP,UDP协议的头部信息,这样既控制 了网络中的通过系统数据流量,又能维持一定的系统性能。注意:MAC地址只能用于包过滤策略的源端。因为 Ethernet帧的目的MAC地址通 常是网关设备自己。基于策略的连接数限制基于策略的连接数限制功
5、能统计匹配每个策略的总连接数和每个主机的连接数, 并能够对这些连接数量加以限制。2.3协议状态检测系统实现了对以下协议的状态检测功能:FTP,H323和SIP。在这些协议当中,主连接的净载荷中,包含有动态协商的附加连接的信息(端口号和 IP地址)。系统不 要求配置附加连接的包过滤策略。而当进行conntrack时,通过对可能产生附加连接的 报文进行检查,可以在附加连接建立之前获得精确的信息,利用这些信息就可以检测 出这些附加连接并对附加连接实施与主连接一样的包过滤策略。2.4基于MAC地址的桥过滤在桥模式(bridge mode)下,系统支持对以太网帧进行基于 MAC地址的过滤。系统在对以太网
6、帧进行路由之前进行 MAC地址的过滤。基于MAC地址的过滤实现以下三种过滤: 对封装内容不是IP协议包的以太网帧进行过滤。 对目的MAC地址是组播地址的以太网帧进行过滤。 对帧头中的源 MAC地址或目的MAC地址匹配配置的MAC过滤条目的以太 网帧进行过滤。对于每个被过滤的以太网帧产生系统日志。注:对所有的组播帧,其目的 MAC地址的第一个字节都是0x01。3配置防火墙命令ip inspect onloff使用模式配置模式(config)#功能启用/关闭IP Inspect功能。缺省为关闭参数解释命令no ip inspect check loose使用模式配置模式(config)#功能不执行
7、松散TCP状态检查。缺省为不执行松散TCP状态检查。参数解释命令no|default ip inspect limit connection max system使用模式配置模式(config)#功能限定系统总的连接数(缺省为2000000)参数解释命令no|default ip inspect limit connection max 使用模式配置模式(config)#功能限定系统总的TCP,UDP,ICMP或其它协议连接数(缺省为2000000)参数解释命令noldefault ip inspect limit halfopen high system使用模式配置模式(config)#功能
8、限定系统半开放的连接数最高水准(缺省为2000000,0:全限定)参数解释命令no|default ip inspect limit halfopen high 使用模式配置模式(config)#功能限定系统半开放的TCP,UDP,ICMP或其它协议连接数最高水准(缺省为2000000,0:全限定)参数解释命令no|default ip inspect limit halfopen low system使用模式配置模式(config)#功能限定系统半开放的连接数最低水准(缺省为40000)参数解释命令no|default ip inspect limit halfopen low 使用模式配置
9、模式(config)#功能限定系统半开放的TCP,UDP,ICMP或其它协议连接数最低水准(缺省为40000)参数解释命令no|default ip inspect limit halfopen-rate high system使用模式配置模式(config)#功能限定系统每分钟半开放的连接数最高水准(缺省为2000000,0:全限定)参数解释命令noldefault ip inspect limit halfopen-rate high 使用模式配置模式(config)#功能限定系统每分钟半开放的TCP,UDP,ICMP或其它协议连接数最高水准(缺省为2000000,0:全限定)参数解释命令
10、no|default ip inspect limit halfopen-rate low system使用模式配置模式(config)#功能限定系统每分钟半开放的连接数最低水准(缺省为40000)参数解释命令no|default ip inspect limit halfopen low 使用模式配置模式(config)#功能限定系统每分钟半开放的TCP,UDP,ICMP或其它协议连接数最低水准(缺省为40000)参数解释命令 ip inspect limit all使用模式配置模式(config)#功能设置系统所有连接监测限定为缺省值参数解释命令no|default ip inspect
11、idletime tcp 使用模式配置模式(config)#功能设置Tcp协议连接各个状态空闲时间.参数解释命令 ip inspect idletime tcp all使用模式配置模式(config)#功能设置TCP协议连接各个状态空闲时间为缺省值参数解释命令 ip inspect idletime udp all使用模式配置模式(config)#功能设置UDP协议连接各个状态空闲时间为缺省值参数解释命令no|default ip inspect idletime udp halfopen 使用模式配置模式(config)#功能设置UDP连接半开放状态空闲时间,缺省为10秒参数解释命令no|d
12、efault ip inspect idletime udp stream 使用模式配置模式(config)#功能设置Udp数据流空闲时间,缺省为30秒参数解释命令no|default ip inspect idletime gre timeout 使用模式配置模式(config)#功能在config模式下,设置gre连接空闲时间,缺省为10秒参数解释命令noldefault ip inspect idletime gre stream 使用模式配置模式(config)#功能设置gre数据流空闲时间,缺省为30秒参数解释命令 ip inspect idletime gre all使用模式配置模
13、式(config)#功能设置gre协议连接各个状态空闲时间为缺省值参数解释命令no|default ip inspect idletime icmp halfopen 使用模式配置模式(config)#功能设置i cmp连接半开放状态空闲时间,缺省为10秒参数解释命令no|default ip inspect idletime generic使用模式配置模式(config)#功能设置其它协议连接半开放状态和全开放状态空闲时间,缺省为30秒参数解释命令show ip inspect count使用模式配置模式(enable)#功能显示系统和各个协议的连在enable模式下,接计数统计参数解释命令show ip inspect limit使用模式配置模式(enable)#
