防火墙的基本配置

优质文档防火墙配置书目一 防火墙的根本配置原那么21.防火墙两种状况配置22.防火墙的配置中的三个根本原那么23.网络拓扑图3二方案设计原那么41. 先进性和成熟性42. 管用性和经济性43. 扩展性和兼容性44. 标准化和开放性55. 平安性和可维护性56. 整合型好5三防火墙的初始配置61.简述62.防火墙的具体配置步骤6四 Cisco PIX防火墙的根本配置81. 连接82. 初始化配置83. enable吩咐84定义以太端口85. clock86. 指定接口的平安级别97. 配置以太网接口IP地址98. access-group99配置访问列表910. 地址转换NAT1011. Port Redirection with Statics101.吩咐102实例1112. 显示和保存结果12五过滤型防火墙的访问限制表ACL配置131. access-list：用于创立访问规那么132. clear access-list counters：去除访问列表规那么的统计信息143. ip access-grou154. show access-list155. show firewall16一 防火墙的根本配置原那么1.防火墙两种状况配置拒绝全部的流量，这须要在你的网络中特殊指定能够进入和出去的流量的一些类型。允许全部的流量，这种状况须要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝全部的流量作为平安选项。一旦你安装防火墙后，你须要翻开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，假如你想让你的员工们能够发送和接收Email，你必需在防火墙上设置相应的规那么或开启允许POP3和SMTP的进程。 2.防火墙的配置中的三个根本原那么 1. 简洁管用：对防火墙环境设计来讲，首要的就是越简洁越好。其实这也是任何事物的根本原那么。越简洁的实现方式，越简洁理解和运用。而且是设计越简洁，越不简洁出错，防火墙的平安功能越简洁得到保证，管理也越牢靠和简便。 每种产品在开发前都会有其主要功能定位，比方防火墙产品的初衷就是实现网络之间的平安限制，入侵检测产品主要针对网络非法行为进展监控。但是随着技术的成熟和开展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比方在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是全部应用环境都须要，在配置时我们也可针对具体应用环境进展配置，不必要对每一功能都具体配置，这样一那么会大大增加配置难度，同时还可能因各方面配置不协调，引起新的平安漏洞，得不偿失。 2. 全面深化：单一的防备措施是难以保障系统的平安的，只有采纳全面的、多层次的深层防备战略体系才能实现系统的真正平安。在防火墙配置中，我们不要停留在几个外表的防火墙语句上，而应系统地看等整个网络的平安防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体此时此刻两个方面：一方面体此时此刻防火墙系统的部署上，多层次的防火墙部署体系，即采纳集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防备；另一方面将入侵检测、网络加密、病毒查杀等多种平安措施结合在一起的多层平安体系。 3. 内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%以上的威逼都来自内部，所以我们要树立防内的观念，从根本上变更过去那种防外不防内的传统观念。对内部威逼可以采纳其它平安措施，比方入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体此时此刻防火墙配置方面就是要引入全面防护的观念，最好能部署和上述内部防护手段一起联动的机制。目前来说，要做到这一点比拟困难。3.网络拓扑图二方案设计原那么1. 先进性和成熟性采纳当今国内、国际上先进和成熟的计算机应用技术，使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的须要。从现阶段的开展来看，系统的总体设计的先进性原那么主要体此时此刻运用Thin-Client/Server计算机体系是先进的、开放的体系构造，当系统应用量发生变更时具备良好的可伸缩性，幸免瓶颈的出现。2. 管用性和经济性管用性就是能够最大限度地满意实际工作的要求，是每个系统平台在搭建过程中必需考虑的一种系统性能，它是对用户最根本的承诺。办公自动化硬件平台是为实际运用而建立，应幸免过度追求超前技术而奢侈投资。3. 扩展性和兼容性系统设计除了可以适应目前的应用须要以外，应充分考虑日后的应用开展须要，随着数据量的扩大，用户数的增加以及应用范围的拓展，只要相应的调整硬件设备即可满意需求。通过采纳先进的存储平台，保证对海量数据的存取、查询以及统计等的高性能和高效率。同时考虑整个平台的统一管理，监控，降低管理本钱。4. 标准化和开放性系统设计应采纳开放技术、开放构造、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及外界信息的沟通。计算机软硬件和网络技术有国际和国内的标准，但技术标准不行能具体得四平八稳，在一些技术细微环节上各个生产厂商遵照自己的喜好设计开发，结果造成一些产品只能在较低的层面上互通，在较高层面或某些具体方面不能互通。我们不但选用符合标准的产品，而且尽量选用市场占有率高、且开展前景好的产品，以提高系统互通性和开放性。5. 平安性和可维护性随着应用的开展，系统须要处理的数据量将有较大的增长，并且将涉及到各类的关键性应用，系统的稳定性和平安性要求都相对较高，随意时刻系统故障都可能给用户带来不行估量的损失，建议采纳负载均衡的效劳器群组来提高系统整体的高可用。6. 整合型好当前采纳企业级的域限制管理模式，便利对全部公司内全部终端用户的管理，同时又可以将公司里计算机的纳入管理范围，极大地降低了网络维护量，并能整体提高当前网络平安管理！三防火墙的初始配置1.简述像路由器一样，在运用之前，防火墙也须要经过根本的初始配置。但因各种防火墙的初始配置根本类似，所以在此仅以Cisco PIX防火墙为例进展介绍。防火墙的初始配置也是通过限制端口Console和PC机通常是便于移动的笔记本电脑的串口连接，再通过Windows系统自带的超级终端HyperTerminal程序进展选项配置。防火墙的初始配置物理连接和前面介绍的交换机初始配置连接方法一样。防火墙除了以上所说的通过限制端口Console进展初始配置外，也可以通过telnet和Tffp配置方式进展高级配置，但Telnet配置方式都是在吩咐方式中配置，难度较大，而Tffp方式须要专用的Tffp效劳器软件，但配置界面比拟友好。防火墙和路由器一样也有四种用户配置模式，即：平凡模式Unprivileged mode、特权模式Privileged Mode、配置模式Configuration Mode和端口模式Interface Mode，进入这四种用户模式的吩咐也和路由器一样：平凡用户模式无需特殊吩咐，启动后即进入；进入特权用户模式的吩咐为enable；进入配置模式的吩咐为config terminal；而进入端口模式的吩咐为interface ethernet。不过因为防火墙的端口没有路由器那么困难，所以通常把端口模式归为配置模式，统称为全局配置模式。2.防火墙的具体配置步骤 1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。 2. 翻开PIX防火电源，让系统加电初始化，然后开启和防火墙连接的主机。3. 运行笔记本电脑Windows系统中的超级终端HyperTerminal程序通常在附件程序组中。对超级终端的配置和交换机或路由器的配置一样，参见本教程前面有关介绍。 4. 当PIX防火墙进入系统后即显示pixfirewall的提示符，这就证明防火墙已启动胜利，所进入的是防火墙用户模式。可以进展进一步的配置了。5. 输入吩咐：enable,进入特权用户模式，此时系统提示为：pixfirewall#。6. 输入吩咐： configure terminal,进入全局配置模式，对系统进展初始化设置。1. 首先配置防火墙的网卡参数以只有1个LAN和1个WAN接口的防火墙配置为例Interface ethernet0 auto # 0号网卡系统自动安排为WAN网卡，auto选项为系统自适应网卡类型Interface ethernet1 auto2. 配置防火墙内、外部网卡的IP地址IP address inside ip_address netmask # Inside代表内部网卡 IP address outside ip_address netmask # outside代表外部网卡 3. 指定外部网卡的IP地址范围：global 1 ip_address-ip_address 4. 指定要进展转换的内部地址 nat 1 ip_address netmask5. 配置某些限制选项：conduit global_ip port-port protocol foreign_ip netmask 其中，global_ip：指的是要限制的地址；port：指的是所作用的端口，0代表全部端口；protocol：指的是连接协议，比方：TCP、UDP等；foreign_ip：表示可访问的global_ip外部IP地址；netmask：为可选项，代表要限制的子网掩码。7. 配置保存：wr mem8. 退出当前模式 9. 查看当前用户模式下的全部可用吩咐：show，在相应用户模式下键入这个吩咐后，即显示出当前全部可用的吩咐及简洁功能描述。10. 查看端口状态：show interface，这个吩咐需在特权用户模式下执行，执行后即显示出防火墙全部接口配置状况。11. 查看静态地址映射:show static，这个吩咐也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射状况。四 Cisco PIX防火墙的根本配置1. 连接同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口；2. 初始化配置 开启所连电脑和防火墙的电源，进入Windows系统自带的超级终端，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pix255。3. enable吩咐输入enable吩咐，进入Pix 525特权用户模式,默然密码为空。假如要修改此特权用户模式密码，那么可用enable password吩咐，吩咐格式为：enable password password encrypted，这个密码必需大于16位。Encrypted选项是确定所加密码是否须要加密。4定义以太端口先必需用enable吩咐进入特权用户模式，然后输入configure terminal可简称为config t,进入全局配置模式模式。 在默然状况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置胜利的状况下已经被激活生效了，但是outside必需吩咐配置激活。5. clock 配置时钟，这也特别重要，这主要是为防火墙的日志记录而资金积累的，假如日志记录时间和日期都不精确，也就无法正确分析记录中的信息。这须在全局配置模式下进展。6. 指定接口的平安级别指定接口平安级别的吩咐为nameif，分别为内、外部网络接口指定一个适当的平安级别。在此要留意，防火墙是用来爱护内部网络的，外部网络是通过外部接口对内部网络构成威逼的，所以要从根本上保障内部网络的平安，须要对外部网络接口指定较高的平安级别，而内部网络接口的平安级别稍低，这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系列防火墙中，平安级别的定义是由security这个参数确定的，数字越小平安级别越高，所以security0是最高的，随后通常是以10的倍数递增，平安级别也相应降低。7. 配置以太网接口IP地址所用吩咐为：ip address，如要配置防火墙上的内部网接口IP地址为：192.168.1.0 255.255.255.0；外部网接口IP地址为：220.154.20.0 255.255.255.0。8. access-group 这个吩咐是把访问限制列表绑定在特定的接口上。须在配置模式下进展配置。吩咐格式为：access-group acl_ID in interface interface_name，其中的acl_ID是指访问限制列表名称，interface_name为网络接口名称。9配置访问列表 所用配置吩咐为：access-list，合格格式比拟困难。 它是防火墙的主要配置局部，上述格式中带局部是可选项，listnumber参数是规那么号，标准规那么号listnumber1是199之间的整数，而扩展规那么号listnumber2是100199之间的整数。它主要是通过访问权限permit和deny来指定的，网络协议一般有IPTCPUDPICMP等等。如只允许访问通过防火墙对主机:220.154.20.254进展www访问。其中的100表示访问规那么号，依据当前已配置的规那么条数来确定，不能和原来规那么的重复，也必需是正整数。关于这个吩咐还将在下面的高级配置吩咐中具体介绍。10. 地址转换NAT防火墙的NAT配置和路由器的NAT配置根本一样，首先也必需定义供NAT转换的内部IP地址组，接着定义内部网段。定义供NAT转换的内部地址组的吩咐是nat，它的格式为：nat (if_name) nat_id local_ip netmask max_conns em_limit，其中if_name为接口名；nat_id参数代表内部地址组号；而local_ip为本地网络地址；netmask为子网掩码；max_conns为此接口上所允许的最大TCP连接数，默认为0，表示不限制连接；em_limit为允许从今端口发出的连接数，默认也为0，即不限制。表示把全部网络地址为.0，子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。 随后再定义内部地址转换后可用的外部地址池，它所用的吩咐为global,根本吩咐格式为： global (if_name) nat_id global_ip netmask max_conns em_limit ，各参数说明同上。如：global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0 将上述nat吩咐所定的内部IP地址组转换成175.1.1.3175.1.1.64的外部地址池中的外部IP地址，其子网掩耳盗铃码为255.255.255.0。 11. Port Redirection with Statics1.吩咐这是静态端口重定向吩咐。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部效劳器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口PAT，或者是共享的外部端口。这种功能也就是可以发布内部、Mail等效劳器，这种方式并不是干脆和内部效劳器连接，而是通过端口重定向连接的，所以可使内部效劳器很平安。吩咐格式有两种，分别适用于TCP/UDP通信和非TCP/UDP通信：(1). static(internal_if_name, external_if_name)global_ipinterfacelocal_ipnetmask mask max_conns emb_limitnorandomseq2. static (internal_if_name, external_if_name) tcpudpglobal_ipinterface global_port local_ip local_port netmask mask max_conns emb_limit norandomseq 此吩咐中的以上各参数说明如下：internal_if_name：内部接口名称；external_if_name：外部接口名称；tcpudp：选择通信协议类型；global_ipinterface：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；netmask mask：本地子网掩码；max_conns：允许的最大TCP连接数，默认为0，即不限制；emb_limit：允许从今端口发起的连接数，默认也为0，即不限制；norandomseq：不对数据包排序，此参数通常不用选。2实例此时此刻我们举一个实例，实例要求如下外部用户向172.18.124.99的主机发出Telnet恳求时，重定向到.6。外部用户向172.18.124.99的主机发出FTP恳求时，重定向到.3。外部用户向172.18.124.208的端口发出Telnet恳求时，重定向到.4。外部用户向防火墙的外部地址172.18.124.216发出Telnet恳求时，重定向到.5。外部用户向防火墙的外部地址172.18.124.216发出HTTP恳求时，重定向到.5。外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP恳求时，重定向到.7的80号端口。以上重写向过程要求如图2所示，防火墙的内部端口IP地址为.2，外部端口地址为172.18.124.216。 以上各项重定向要求对应的配置语句如下：static (inside,outside) tcp 172.18.124.99 telnet .6 telnet netmask 255.255.255.255 0 0static (inside,outside) tcp 172.18.124.99 ft.3 255.255.255.255 0 0 static (inside,outside) tcp 172.18.124.208 telnet .4 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp interface telnet .5 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp interface 255.255.255.255 0 0static (inside,outside) tcp 172.18.124.208 8080 .7 255.255.255.255 0 0 12. 显示和保存结果 显示结果所用吩咐为：show config；保存结果所用吩咐为：write memory。五过滤型防火墙的访问限制表ACL配置1. access-list：用于创立访问规那么 这一访问规那么配置吩咐要在防火墙的全局配置模式中进展。同一个序号的规那么可以看作一类规那么，同一个序号之间的规那么遵照必须的原那么进展排列和选择，这个依次可以通过 show access-list 吩咐看到。在这个吩咐中，又有几种吩咐格式，分别执行不同的吩咐。1创立标准访问列表 吩咐格式：access-list normal special listnumber1 permit deny source-addr source-mask 2创立扩展访问列表 吩咐格式：access-list normal special listnumber2 permit deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 icmp-type icmp-code log 3删除访问列表吩咐格式：no access-list normal special all listnumber subitem 上述吩咐参数说明如下：normal：指定规那么参加平凡时间段。 special：指定规那么参加特殊时间段。listnumber1：是1到99之间的一个数值，表示规那么是标准访问列表规那么。 listnumber2：是100到199之间的一个数值，表示规那么是扩展访问列表规那么。permit：说明允许满意条件的报文通过。 deny：说明制止满意条件的报文通过。 protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比拟的概念；为IP时有特殊含义，代表全部的IP协议。 source-addr：为源IP地址。 source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入那么代表通配位为.0。 dest-addr：为目的IP地址。dest-mask：为目的地址的子网掩码。 operator：端口操作符，在协议类型为TCP或UDP时支持端口比拟，支持的比拟操作有：等于eq、大于gt、小于lt、不等于neq或介于range；假如操作符为range，那么后面须要跟两个端口。port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值如telnet或065535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值如telnet或065535之间的一个数值。icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值如echo-reply或者是0255之间的一个数值。icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是0255之间的一个数值。log：表示假如报文符合条件，须要做日志。listnumber：为删除的规那么序号，是1199之间的一个数值。subitem：指定删除序号为listnumber的访问列表中规那么的序号。例如，现要在华为的一款防火墙上配置一个允许源地址为.0 网络、目的地址为10.20.30.0网络的WWW访问，但不允许运用FTP的访问规那么。相应配置语句只需两行即可，如下：Quidway (config)#access-list 100 permit tc.0 255.0.0.0 10.20.30.0 255.0.0.0 eq www Quidway (config)#access-list 100 deny tc.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp 2. clear access-list counters：去除访问列表规那么的统计信息吩咐格式：clear access-list counters listnumber 这一吩咐必需在特权用户模式下进展配置。listnumber 参数是用指定要去除统计信息的规那么号，如不指定，那么去除全部的规那么的统计信息。如要在华为的一款包过滤路由器上去除当前所运用的规那么号为100的访问规那么统计信息。访问配置语句为：clear access-list counters 100 如有去除当前所运用的全部规那么的统计信息，那么以上语句需改为：Quidway#clear access-list counters3. ip access-group 运用此吩咐将访问规那么应用到相应接口上。运用此吩咐的no形式来删除相应的设置，对应格式为：ip access-group listnumber in out 此吩咐须在端口用户模式下配置，进入端口用户模式的吩咐为：interface ethernet，括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用ip access-group 吩咐来配置访问规那么。listnumber参数为访问规那么号，是1199之间的一个数值包括标准访问规那么和扩展访问规那么两类；in 表示规那么应用于过滤从接口接收到的报文；而out表示规那么用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规那么；这些规那么之间遵照规那么序号的大小进展排列，序号大的排在前面，也就是优先级高。对报文进展过滤时，将采纳发觉符合的规那么即得出过滤结果的方法来加快过滤速度。所以，建议在配置规那么时，尽量将对同一个网络配置的规那么放在同一个序号的访问列表中；在同一个序号的访问列表中，规那么之间的排列和选择依次可以用show access-list吩咐来查看。例如将规那么100应用于过滤从外部网络接口上接收到的报文，配置语句为同样为在倾为包过滤路由器上：ip access-group 100 in 假如要删除某个访问限制表列绑定设置，那么可用no ip access-group listnumber in out 吩咐。4. show access-list 此配置吩咐用于显示包过滤规那么在接口上的应用状况。吩咐格式为：show access-list all listnumber interface interface-name 这一吩咐须在特权用户模式下进展配置，其中all参数表示显示全部规那么的应用状况，包括平凡时间段内及特殊时间段内的规那么；假如选择listnumber参数，那么仅需显示指定规那么号的过滤规那么；interface 表示要显示在指定接口上应用的全部规那么序号；interface-name参数为接口的名称。 运用此吩咐来显示所指定的规那么，同时查看规那么过滤报文的状况。每个规那么都有一个相应的计数器，假如用此规那么过滤了一个报文，那么计数器加1；通过对计数器的视察可以看出所配置的规那么中，哪些规那么是比拟有效，而哪些根本无效。例如，此时此刻要显示当前所运用序号为100的规那么的运用状况，可执行Quidway#show access-list 100语句即可，随即系统即显示这条规那么的运用状况，格式如下：Using normal packet-filtering access rules now. 100 deny icm.0 0.0.255.255 any host-redirect (3 matches,252 bytes - rule 1) 100 permit icm.0 0.0.255.255 any echo (no matches - rule 2) 100 deny udp any any eq rip (no matches - rule 3) 5. show firewall 此吩咐须在特权用户模式下执行，它显示当前防火墙状态。吩咐格式特别简洁，也为：show firewall。这里所说的防火墙状态，包括防火墙是否被启用，启用防火墙时是否采纳了时间段包过滤及防火墙的一些统计信息。6. Telnet 这是用于定义能过防火配置限制端口进展远程登录的有关参数选项，也须在全局配置用户模式下进展配置。 吩咐格式为：telnet ip_address netmask if_name 其中的ip_address参数是用来指定用于Telnet登录的IP地址，netmask为子网掩码，if_name用于指定用于Telnet登录的接口，通常不用指定，那么表示此IP地址适用于全部端口。如： telnet 192.168.1.1 假如要去除防火墙上某个端口的Telnet参数配置，那么须用clear telnet吩咐，其格式为：clear telnet ip_address netmask if_name，其中各选项说明同上。它和另一个吩咐no telnet功能根本一样，不过它是用来删除某接口上的Telnet配置，吩咐格式为：no telnet ip_address netmask if_name。