防火墙的安装和配置.pptVIP

 第8章 防火墙安装与配置 本章内容 ● 防火墙安装 ● 防火墙配置 ● 配置Cisco PIX防火墙 ● 恢复PIX的口令 ● 升级PIX版本 8.1 防火墙安装 8.1.1 PIX防火墙安装定制 在开始考虑安装PIX之前，必须决定哪种PIX模式能够满足你的业务需要。PIX系列产品中有许多相同的特征和功能；每个PIX模式中接口和连接数量是不同的。下面的问题将帮助理解你的网络需求，并把你的注意力集中到防火墙必须包含的服务和性能上。 有多少用户（连接）将会通过防火墙？ 防火墙支持语音和多媒体应用吗？ 本单位需要多少接口？ 本单位需要VPN服务吗？若需要，安全级别是什么：56位DES、168位3DES还是两者都要？ 防火墙需要如VPN加速卡等附件设备吗？ 本单位希望使用PIX设备管理器吗？ 本单位需要用容错性吗？ 回答这些问题不仅能帮助你为单位选择适当的PIX模型，还能帮助你购买正确的许可证。 8.1.2 安装前 部署中的安装前阶段是确定PIX型号、许可证、特性和 物理位置的阶段。 选择许可证 选择PIX型号 1.选择许可证 无限制（Unrestricted） 当防火墙使用无限制（UR）许可证时允许安装和使用最大数量的接口和RAM。无限制许可证支持故障倒换功能。 受限（Restricted） 当防火墙使用受限制（R）许可证时，其支持的接口数量受到限制，另外，系统中的RAM的可用数量也受到限制。一个使用受限制许可证的防火墙不能通过配置故障倒换功能来实现冗余。 故障倒换（Failover） 当使用故障倒换（FO）软件许可证的PIX防火墙与使用无限制许可证的PIX防火墙协同工作时，将被置于故障倒换模式。 2．选择PIX型号 型号选择主要基于两个方面：性能和容错性。 性能被分为两类：吞吐量和并发连接。 容错性是在PIX515平台中第一次被引入。 8.1.3 安装 接口配置 电缆连接 初始PIX输入 1.接口配置 在PIX上对安全策略进行配置的第一步是确定要使用的接口并收集他的基本配置信息。每一个PIX都至少有两个接口：内部接口（较安全）和外部接口（较不安全）。使用表8-2可以帮组你简化配置PIX接口的过程，记录每个接口的基本信息是有用的。 2.电缆连接 在启动PIX之前，把控制端口（Console）电缆连接到PC机 （通常是便于移动的笔记本电脑）的COM端口，再通过 Windows系统自带的超级终端（HyperTerminal）程序进 行选项配置。防火墙的初始配置物理连接与前面介绍的交换 机初始配置连接方法一样，如图8-1所示。 3.初始PIX输入 当PIX515通电后，会看到前置面板上的3个LED灯，如图8-2所示，分别标有POWER，NETWORK 和ACT。当防火墙部件是活动的failover时，ACT LED会亮。如果没有配置Failover，ACT LED将总是亮着。当至少一个接口通过流量时，NETWORK LED会亮。 当你第一次启动PIX防火墙的时候，你应该看到如图8-3所示的以下输出：  8.2 防火墙配置 8.2.1 防火墙的基本配置原则 拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。 在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则： 　1．简单实用： 　2．全面深入： 3．内外兼顾： 8.2.2 防火墙的初始配置 像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以Cisco PIX防火墙为例进行介绍。 防火墙与路由器一样也有四种用户配置模式，即：非特权模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样：　　 防火墙的具体配置步骤如下： 1．将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，如图8-1。 2．打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。 3．运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器