防火墙的基本配置.docVIP

防 火 墙 配 置 目录 TOC \o 1-3 \h \z \u 一． 防火墙的基本配置原则 2 1.防火墙两种情况配置 2 2.防火墙的配置中的三个基本原则 2 3.网络拓扑图 3 二．方案设计原则 4 1. 先进性与成熟性 4 2. 实用性与经济性 4 3. 扩展性与兼容性 4 4. 标准化与开放性 5 5. 安全性与可维护性 5 6. 整合型好 5 三．防火墙的初始配置 6 1.简述 6 2.防火墙的具体配置步骤 6 四． Cisco PIX防火墙的基本配置 8 1. 连接 8 2. 初始化配置 8 3. enable命令 8 4．定义以太端口 8 5. clock 8 6. 指定接口的安全级别 9 7. 配置以太网接口IP地址 9 8. access-group 9 9．配置访问列表 9 10. 地址转换（NAT） 10 11. Port Redirection with Statics 10 1.命令 10 2．实例 11 12. 显示与保存结果 12 五．过滤型防火墙的访问控制表（ACL）配置 13 1. access-list：用于创建访问规则 13 2. clear access-list counters：清除访问列表规则的统计信息 14 3. ip access-grou 15 4. show access-list 15 5. show firewall 16 一． 防火墙的基本配置原则 1.防火墙两种情况配置 拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。 2.防火墙的配置中的三个基本原则 （1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。 （2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 （3）. 内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%以上的威胁都来自内部，所以我们要树立防内的观念，从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念，最好能部署与上述内部防护手段一起联动的机制。目前来说，要做到这一点比较困难。 3.网络拓扑图 二．方案设计原则 1. 先进性与成熟性 采用当今国内、国际上先进和成熟的计算机应用技术，使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的需要。从现阶段的发展来看，系统的总体设计的先进性原则主要体现在使用Thin-Client/Server计算机体系是先进的、开放的体系结构，当系统应用量发生变化时具备良好的可伸缩性，避免瓶颈的出现。 2. 实用性与经济性 实用性就是能够最大限度地满足实际工作的要求，是每个系统平台在搭建过程中必须考虑的一种系统性能，它是对用户最基本的承