《一般硬件防火墙配置讲解》由会员分享,可在线阅读,更多相关《一般硬件防火墙配置讲解(17页珍藏版)》请在金锄头文库上搜索。
1、本篇要为大家介绍一些合用的知识,那就是如何配置防火中的安全策略。 但要注意的是,防火墙的详细配置方法也不是如出一辙的,不要说不同样品 牌,就是同一品牌的不同样型号也不完好同样,所以在此也只能对一些通用防 火墙配置方法作一基本介绍。同时,详细的防火墙策略配置会因详细的应用环 境不同样而有较大差异。第一介绍一些基本的配置原则。一.防火墙的基本配置原则默认情况下,所有的防火墙都是按以下两种情况配置的:拒绝所有的流量,这需要在你的网络中特别指定能够进入和出去的流量 的一些种类。赞同所有的流量,这种情况需要你特别指定要拒绝的流量的种类。可论证 地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安
2、装防火墙 后,你需要打开一些必要的端口来使防火墙内的用户在经过考据此后能够接见 系统。换句话说,若是你想让你的员工们能够发送和接收Email,你必定在防火墙 上设置相应的规则或开启赞同 POP3 和 SMTP 的进度。在防火墙的配置中,我们第一要依照的原则就是安全合用,从这个角度考 虑,在防火墙的配置过程中需坚持以下三个基根源则:( 1) .简单合用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的 基根源则。越简单的实现方式,越简单理解和使用。而且是设计越简单,越不 简单出错,防火墙的安全功能越简单获取保证,管理也越可靠和简略。每种产品在开发前都会有其主要功能定位,比方防火墙
3、产品的初衷就是实 现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是 随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一 些增值功能,比方在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测 上增加了病毒查杀功能。但是这些增值功能其实不是所有应用环境都需要,在 配置时我们也可针对详细应用环境进行配置,不用要对每一功能都详细配置,样一则会大大加强配置难度,同时还可能因各方面配置不协调,引起新的安全 漏洞,得不偿失。( 2) .全面深入:单一的防守措施是难以保障系统的安全的,只有采用全面的、多层次的深 层防守战略系统才能实现系统的真切安全。在防火墙配置中,我们不
4、要停留在 几个表面的防火墙语句上,而应系统地看等整个网络的安全防范系统,尽量使 各方面的配置相互加强,从深层次上防范整个系统。这方面能够表现在两个方 面:一方面表现在防火墙系统的部署上,多层次的防火墙部署系统,即采用集 互联网界线防火墙、部门界线防火墙和主机防火墙于一体的层次防守;另一方 面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全系 统。( 3) .内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境中, 80% 以上的威胁 都来自内部,所以我们要成立防内的看法,从根本上改变过去那种防外不防 内的传统看法。对内部威胁能够采用其余安全措施,比方入侵检测、主机防 范
5、、漏洞扫描、病毒查杀。这方面表现在防火墙配置方面就是要引入全面防范 的看法,最好能部署与上述内部防范手段一起联动的体系。当前来说,要做到 这一点比较困难。二、防火墙的初始配置像路由器同样,在使用从前,防火墙也需要经过基本的初始配置。但因各 种防火墙的初始配置基本近似,所以在此仅以 Cisco PIX 防火墙为例进行介绍。防火墙的初始配置也是经过控制端口( Console )与 PC 机(平时是便于搬动 的笔录本电脑)的串口连接,再经过 Windows 系统自带的超级终端(HyperTerminal )程序进行选项配置。防火墙的初始配置物理连接与前面介绍 的交换机初始配置连接方法同样,拜会图 1
6、 所示。图 1防火墙与路由器同样也有四种用户配置模式,即:一般模式(Unprivileged mode、特权模式(Privileged Mode、配置模式 (Configura tion Mode和端口模式(In terface Mode,进入这四种用户模式的 命令也与路由器同样:一般用户模式无需特别命令,启动后即进入;防火墙的详细配置步骤以下:1. 将防火墙的 Console 端口用一条防火墙自带的串行电缆连接到笔录本电脑 的一个空余串口上 .2. 打开PIX防火电源,让系统加电初始化,此后开启与防火墙连接的主机。3. 运行笔录本电脑Windows系统中的超级终端(HyperTerminal
7、)程序(平 时在 附件 程序组中)。对超级终端的配置与交换机或路由器的配置同样,拜会 本教程前面有关介绍。4. 当PIX防火墙进入系统后即显示pixfirewal的提示符,这就证明防火墙 已启动成功,所进入的是防火墙用户模式。能够进行进一步的配置了。5. 输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall。#6. 输入命令:configure t ermina进入全局配置模式,对系统进行初始化设置。( 1).第一配置防火墙的网卡参数(以只有 1个 LAN 和 1个 WAN 接口的防 火墙配置为例)2).配置防火墙内、外面网卡的 IP 地址(3).指定外面网卡的 I
8、P 地址范围:global 1 ip_address-ip_address( 4).指定要进行变换的内部地址(5).配置某些控制选项:其中, global_i:p指的是要控制的地址; port:指的是所作用的端口, 0 代表所有端口; protocol:指的是连接协议,比方:TCP 、UDP 等; foreign_i:p为可选项,代表要控制的子网掩码。7. 配置保存:wr mem8. 退出当前模式此命令为exit能够任何用户模式下执行,执行的方法也相当简单,只输入 命令自己即可。它与 Quit 命令同样。下面三条语句表示了用户从配置模式退到 特权模式,再退到一般模式下的操作步骤。pixfire
9、wall(config)# exitpixfirewall# exitpixfirewall9. 查察当前用户模式下的所有可用命令:show ,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令 及简单功能描述。10. 查察端口状态:show interfac,e 这个命令需在特权用户模式下执行,执行后即显示出防火 墙所有接口配置情况。11.查察静态地址照射 :showstatic这个命令也须在特权用户模式下执行,执行后显示防火墙的当 前静态地址照射情况。三、Cisco PIX防火墙的基本配置1. 同样是用一条串行电缆从电脑的 COM 口连到 Cisco PIX 525防火墙的 con
10、sole 口;2. 开启所连电脑和防火墙的电源,进入 Windows 系统自带的 超级终端 ,通 讯参数可按系统缄默。进入防火墙初始化配置,在其中主要设置有:Date(日期)time 时间)hostname(主机名称)inside ip addres内(部网卡 IP 地址)domain(主域 等,完成后也就成立了一个初始化设置了。此时的提示符 为:p i x255 。3. 输入enable命令,进入Pix 525特权用户模式缄默密码为空。若是要更正 此特权用户模式密码,则可用enable password命令,命令格式为:enable password password encrypted,
11、这个密码必定大于 16位。 Encrypted 选项是确定所加密码可否需要加密。4 定义以太端口:先必定用enable命令进入特权用户模式,此后输入configure termin(可简 称为config)t,进入全局配置模式。详细配置pix525enablePassword:pix525c onfig t5. clock 配置时钟,这也特别重要,这主若是为防火墙的日志记录而资本积累的, 若是日志记录时间和日期都不正确,也就无法正确解析记录中的信息。这须在 全局配置模式下进行。时钟设置命令格式有两种,主若是日期格式不同样,分别为:clock set hh:mm:ss month day mon
12、th year 和 clock set hh:mm:ssday month year 前一种格式为:小时:分钟:秒月日年;此后一种格式为:小时:分钟:秒日月年,主要在日、月份的前后序次不同样。在时间上若是为 0,能够为一 位,如: 21:0:0。6. 指定接口的安全级别指定接口安全级其余命令为nameif,分别为内、外面网络接口指定一个适当的安全级别。在此要注意,防火墙是用来保护内部网络的,外面网络是经过 外面接口对内部网络构成威胁的,所以要从根本上保障内部网络的安全,需要 对外面网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主 若是因为内部网络通讯频频、可信度高。在Cisco
13、PIX系列防火墙中,安全级别的定义是由 securit(y )这个参数决定的,数字越小安全级别越高,所以 securityC是最高的,随后平时是以10的倍数递加,安全级别也相应降低。以下 例:7. 配置以太网接口 IP地址所用命令为:ip address如要配置防火墙上的内部网接口 IP地址为:;外面网接口 I哋址为:。配置方法以下:pix525(config)#ip address inside 192.168.1.0 255.255.255.0pix525(config)#ip address outside 220.154.20.0 255.255.255.08. access-grou
14、p这个命令是把接见控制列表绑定在特定的接口上。须在配置模式下进行配 置。命令格式为:access-group acl_ID in int erface int erface_na其中的acl_ID是 扌旨接见 控制列表名称,int erface_nam e为网络接口名称。如:access-group acl_ou t in int erface outs:在外面网络接口上绑命名称为acl_ou t的接见控制列表。clear access-grou:p除去所有绑定的接见控制绑定设置。no access-group acl_ID in interface interface_:name除去指定的接
15、见控制绑定设置。show access-group acl_ID in interface interface_n:ame显示指定的接见控制绑定设置。9配置接见列表所用配置命令为:access-lis,t 合格格式比较复杂,以下:标准规则的创办命令:access-list normal | special listnumber1 permit | deny source-addr source-mask 扩展规则的创办命令:access-list normal | special listnumber2 permit | deny protocol source- addr source-mask operator port1port2dest-addr dest-mask operator port1 port2 | icmp-type icmp-code log 其中的 100 表示接见规则号,依照当前已配置的规则条数来确定,不能够 与原来规则的重复,也必定是正整数。关于这个命令还将在下面的高级配置命令 中详细介绍。10.地址变换( NAT )防火墙的 NAT 配置与路由器的 NAT 配置基真同样,第一也必定定义供 N
