亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

防火墻配置中必備的六個(gè)主要命令解析
2010-06-30   網(wǎng)絡(luò)

 防火墻的基本功能,是通過(guò)六個(gè)命令來(lái)完成的。一般情況下,除非有特殊的安全需求,這個(gè)六個(gè)命令基本上可以搞定防火墻的配置。下面筆者就結(jié)合CISCO的防火墻,來(lái)談?wù)劮阑饓Φ幕九渲茫M軌蚪o大家一點(diǎn)參考。

  第一個(gè)命令:interface

  Interface是防火墻配置中最基本的命令之一,他主要的功能就是開(kāi)啟關(guān)閉接口、配置接口的速度、對(duì)接口進(jìn)行命名等等。在買來(lái)防火墻的時(shí)候,防火墻的各個(gè)端都都是關(guān)閉的,所以,防火墻買來(lái)后,若不進(jìn)行任何的配置,防止在企業(yè)的網(wǎng)絡(luò)上,則防火墻根本無(wú)法工作,而且,還會(huì)導(dǎo)致企業(yè)網(wǎng)絡(luò)不同。

  1、 配置接口速度

  在防火墻中,配置接口速度的方法有兩種,一種是手工配置,另外一種是自動(dòng)配置。手工配置就是需要用戶手工的指定防火墻接口的通信速度;而自動(dòng)配置的話,則是指防火墻接口會(huì)自動(dòng)根據(jù)所連接的設(shè)備,來(lái)決定所需要的通信速度。

  如:interface ethernet0 auto --為接口配置“自動(dòng)設(shè)置連接速度”

  Interface ethernet2 100ful --為接口2手工指定連接速度,100MBIT/S。

  這里,參數(shù)ethernet0或者etnernet2則表示防火墻的接口,而后面的參數(shù)表示具體的速度。

  筆者建議

  在配置接口速度的時(shí)候,要注意兩個(gè)問(wèn)題。

  一是若采用手工指定接口速度的話,則指定的速度必須跟他所連接的設(shè)備的速度相同,否則的話,會(huì)出現(xiàn)一些意外的錯(cuò)誤。如在防火墻上,若連接了一個(gè)交換機(jī)的話,則交換機(jī)的端口速度必須跟防火墻這里設(shè)置的速度相匹配。

  二是雖然防火墻提供了自動(dòng)設(shè)置接口速度的功能,不過(guò),在實(shí)際工作中,作者還是不建議大家采用這個(gè)功能。因?yàn)檫@個(gè)自動(dòng)配置接口速度,會(huì)影響防火墻的性能。而且,其有時(shí)候也會(huì)判斷失誤,給網(wǎng)絡(luò)造成通信故障。所以,在一般情況下,無(wú)論是筆者,還是思科的官方資料,都建議大家采用手工配置接口速度。

  2、 關(guān)閉與開(kāi)啟接口

  防火墻上有多個(gè)接口,為了安全起見(jiàn),打開(kāi)的接口不用的話,則需要及時(shí)的進(jìn)行關(guān)閉。一般可用shutdown命令來(lái)關(guān)閉防火墻的接口。但是這里跟思科的IOS軟件有一個(gè)不同,就是如果要打開(kāi)這個(gè)接口的話,則不用采用no shutdown命令。在防火墻的配置命令中,沒(méi)有這一條。而應(yīng)該采用不帶參數(shù)的shutdown命令,來(lái)把一個(gè)接口設(shè)置為管理模式。

  筆者建議

  在防火墻配置的時(shí)候,不要把所有的接口都打開(kāi),需要用到幾個(gè)接口,就打開(kāi)幾個(gè)接口。若把所有的接口都打開(kāi)的話,會(huì)影響防火墻的運(yùn)行效率,而且,對(duì)企業(yè)網(wǎng)絡(luò)的安全也會(huì)有影響?;蛘哒f(shuō),他會(huì)降低防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的控制強(qiáng)度。

  第二個(gè)命令:nameif

  一般防火墻出廠的時(shí)候,思科也會(huì)為防火墻配置名字,如ethernet0等等,也就是說(shuō),防火墻的物理位置跟接口的名字是相同的。但是,很明顯,這對(duì)于我們的管理是不利的,我們不能夠從名字直觀的看到,這個(gè)接口到底是用來(lái)做什么的,是連接企業(yè)的內(nèi)部網(wǎng)絡(luò)接口,還是連接企業(yè)的外部網(wǎng)絡(luò)接口。所以,網(wǎng)絡(luò)管理員,希望能夠重命令這個(gè)接口的名字,利用比較直觀的名字來(lái)描述接口的用途,如利用outside命令來(lái)表示這個(gè)接口是用來(lái)連接外部網(wǎng)絡(luò);而利用inside命令來(lái)描述這個(gè)接口是用來(lái)連接內(nèi)部網(wǎng)絡(luò)。同時(shí),在給端口進(jìn)行命名的時(shí)候,還可以指定這個(gè)接口的安全等級(jí)。

  Nameif命令基本格式如下

  Nameif hardware-id if-name security-level

  其中,hardware-id表示防火墻上接口的具體位置,如ethernet0或者ethernet1等等。這些是思科防火墻在出廠的時(shí)候就已經(jīng)設(shè)置好的,不能夠進(jìn)行更改。若在沒(méi)有對(duì)接口進(jìn)行重新命名的時(shí)候,我們只能夠通過(guò)這個(gè)接口位置名稱,來(lái)配置對(duì)應(yīng)的接口參數(shù)。

  而if-name 則是我們?yōu)檫@個(gè)接口指定的具體名字。一般來(lái)說(shuō),這個(gè)名字希望能夠反映出這個(gè)接口的用途,就好象給這個(gè)接口取綽號(hào)一樣,要能夠反映能出這個(gè)接口的實(shí)際用途。另外,這個(gè)命名的話,我們網(wǎng)絡(luò)管理員也必須遵守一定的規(guī)則。如這個(gè)名字中間不能用空格,不同用數(shù)字或者其他特殊字符(這不利于后續(xù)的操作),在長(zhǎng)度上也不能夠超過(guò)48個(gè)字符。

  security-level表示這個(gè)接口的安全等級(jí)。一般情況下,可以把企業(yè)內(nèi)部接口的安全等級(jí)可以設(shè)置的高一點(diǎn),而企業(yè)外部接口的安全等級(jí)則可以設(shè)置的低一點(diǎn)。如此的話,根據(jù)防火墻的訪問(wèn)規(guī)則,安全級(jí)別高的接口可以防衛(wèi)安全級(jí)別低的接口。也就是說(shuō),不需要經(jīng)過(guò)特殊的設(shè)置,企業(yè)內(nèi)部網(wǎng)絡(luò)就可以訪問(wèn)企業(yè)外部網(wǎng)絡(luò)。而如果外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò),由于是安全級(jí)別低的接口訪問(wèn)安全級(jí)別高的接口,則必須要要進(jìn)行一些特殊的設(shè)置,如需要訪問(wèn)控制列表的支持,等等。

  筆者建議

  在給接口配置安全等級(jí)的時(shí)候,一般不需要設(shè)置很復(fù)雜的安全等級(jí)。在安全要求一般的企業(yè),只需要把接口的安全登記分為兩級(jí)(一般只用兩個(gè)接口,一個(gè)連接外部網(wǎng)絡(luò),一個(gè)連接內(nèi)部網(wǎng)絡(luò)),如此的話,防火墻的安全級(jí)別管理,會(huì)方便許多。

  另外,就是企業(yè)內(nèi)部網(wǎng)絡(luò)的安全級(jí)別要高于外部網(wǎng)絡(luò)的安全級(jí)別。因?yàn)閺钠髽I(yè)安全方面考慮,我們的基本原則是內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)可以放開(kāi),而外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的話,就要有所限制,則主要是出于限制病毒、木馬等給企業(yè)網(wǎng)絡(luò)所造成的危害的目的。不過(guò),若企業(yè)內(nèi)部對(duì)外部訪問(wèn)也有限制的話,如不允許訪問(wèn)FTP服務(wù)器,等等,則可以借助訪問(wèn)控制列表或者其他技術(shù)手段來(lái)實(shí)現(xiàn)。

  在對(duì)接口進(jìn)行命名的時(shí)候,要能夠反映這個(gè)接口的用途,否則的話,對(duì)其進(jìn)行命名也就沒(méi)有什么意思了。一般的話,如可以利用inside或者 outside來(lái)表示連接內(nèi)網(wǎng)與外網(wǎng)的接口。如此的話在,網(wǎng)絡(luò)管理員在一看到這個(gè)接口名字,就知道這個(gè)接口的用途。這幾可以提高我們防火墻維護(hù)的效率。對(duì)于我們按照這個(gè)名字來(lái)對(duì)接口進(jìn)行配置的時(shí)候,就比較容易實(shí)現(xiàn),而不需要再去想我需要配置的接口名字是什么。若我們真的忘記了接口名字的話,則可以利用show nameif命令來(lái)檢驗(yàn)接口名字的配置。

  第三個(gè)命令:IP address

  在防火墻管理中,要為每個(gè)啟用的防火墻接口配置IP地址。一般來(lái)說(shuō),防火墻的IP地址支持兩種取得方式,一是通過(guò)自動(dòng)獲得,如可以通過(guò)企業(yè)內(nèi)網(wǎng)的DHCP服務(wù)器取得IP地址;二是用戶通過(guò)手工指定IP地址。

  這個(gè)命令的具體格式為

  Ip adress if-name IP [NETMASK]

  若我們用上面的IF-NAME命令,給防火墻的接口配置好別名之后,則在后續(xù)的其他命令中,如這個(gè)配置IP地址的命令,則就不需要采用接口的位置名,而直接可以利用這個(gè)別名為具體的接口設(shè)置相關(guān)的參數(shù)。

  若我們通過(guò)手工指定IP地址的時(shí)候,需要注意幾個(gè)問(wèn)題。一是若企業(yè)中還有DHCP服務(wù)器的話,則要注意這個(gè)網(wǎng)絡(luò)地址沖突的問(wèn)題。這個(gè)防火墻上的接口IP地址,在企業(yè)的整個(gè)網(wǎng)絡(luò)中,也必須保持唯一,否則的話,就會(huì)造成IP地址沖突的錯(cuò)誤。所以,若企業(yè)中還有DHCP服務(wù)器的話,則在DHCP服務(wù)器配置的時(shí)候,需要注意,這個(gè)防火墻接口所用的IP地址不應(yīng)該在DHCP服務(wù)器的自動(dòng)分配IP的地址池中,否則的話,很容易造成IP地址的沖突。

  另外,在給他手工配置IP地址的時(shí)候,為了管理上的方便,最好能夠指定連續(xù)的IP地址。也就是說(shuō),防火墻各個(gè)接口的IP地址為連續(xù)的。筆者在企業(yè)的IP地址規(guī)劃中,特意為防火墻的接口預(yù)留了4個(gè)IP地址。即使,現(xiàn)在沒(méi)有使用到這個(gè)接口,為了避免以后用到時(shí),IP地址不連續(xù),所以,在整個(gè)網(wǎng)絡(luò)的IP地址規(guī)劃中,還是為其預(yù)留了足夠多的IP地址。

  這里的網(wǎng)絡(luò)掩碼不是必須的。若網(wǎng)絡(luò)管理員在配置防火墻的時(shí)候,沒(méi)有配置這個(gè)網(wǎng)絡(luò)掩碼的話,則防火墻會(huì)自動(dòng)根據(jù)企業(yè)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),則防火墻會(huì)自動(dòng)給其設(shè)置一個(gè)網(wǎng)絡(luò)掩碼。所以,在一般的情況下,這個(gè)網(wǎng)絡(luò)掩碼可以不用設(shè)置,免得填寫錯(cuò)誤的話,還造成不必要的損失。

  筆者建議

  若是采用DHCP方式取得接口的IP地址的,則在DHCP服務(wù)器配置的時(shí)候,最好能夠給防火墻的各個(gè)接口配置連續(xù)的IP地址。如此的話,可以方便我們對(duì)防火墻的接口進(jìn)行管理。若企業(yè)的網(wǎng)絡(luò)規(guī)模比較大,安全級(jí)別比較高的話,則一般建議不要采用DHCP的方式,而需要給防火墻的各個(gè)接口手工指定IP地址。

  第四個(gè)命令:NAT 與GLOBAL、STATIC命令

  使用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)命令,網(wǎng)絡(luò)管理員可以將內(nèi)部的一組IP地址轉(zhuǎn)換成為外部的公網(wǎng)地址;而global命令則用于定義用網(wǎng)絡(luò)地址轉(zhuǎn)換命令NAT轉(zhuǎn)換成的地址或者地址的范圍。簡(jiǎn)單的說(shuō),利用NAT命令與GLOBAL命令,能夠?qū)崿F(xiàn)IP地址之間的轉(zhuǎn)換,還可以實(shí)現(xiàn)IP地址到端口的映射。

  這個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換命令在實(shí)際工作中非常的有用。我們都知道,現(xiàn)在公網(wǎng)IP地址非常的缺乏,基本上,一家企業(yè)只有一到兩個(gè)公網(wǎng)地址。而對(duì)于企業(yè)來(lái)說(shuō),他們的文件服務(wù)器、OA系統(tǒng)、郵件服務(wù)器等等可能都需要外部訪問(wèn),而如果沒(méi)有NAT技術(shù)的話 ,則在公網(wǎng)中要進(jìn)行訪問(wèn)的話,必須具有公網(wǎng)的IP地址。這就大大限制了企業(yè)內(nèi)部信息化系統(tǒng)的外部訪問(wèn),家庭辦公、出差時(shí)訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)等等,變的無(wú)法實(shí)現(xiàn)。而現(xiàn)在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù),就是為解決這個(gè)問(wèn)題而產(chǎn)生的。在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的幫助下,可以把企業(yè)內(nèi)部的IP地址跟端口唯一的映射到外部公網(wǎng)的IP地址。如此的話,內(nèi)網(wǎng)的IP地址就有了一個(gè)合法的公網(wǎng)IP地址,則在公司外面的員工就可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)企業(yè)內(nèi)部的信息化系統(tǒng)。

  在實(shí)際工作中,用的最多的就是將本地地址轉(zhuǎn)換為一個(gè)擔(dān)擱的全局地址,而不是一個(gè)地址范圍。如公司內(nèi)部的ERP服務(wù)器IP地址為 192.168.0.6,此時(shí),若我們希望,外部的員工,如在其他城市的一個(gè)銷售辦事處,他們能夠利用202.96.96.240這個(gè)公網(wǎng)地址訪問(wèn)這臺(tái)服務(wù)器。若要實(shí)現(xiàn)這個(gè)需求,該如何配置呢?

  Static (inside,outside) 192.168.0.6 202.96.96.236

  此時(shí),外部用戶就可以利用這個(gè)202.96.96.236公網(wǎng)IP地址,來(lái)訪問(wèn)企業(yè)內(nèi)部的ERP系統(tǒng)。

  其實(shí),配置了這條命令之后,在防火墻服務(wù)器中,就有了這個(gè)一一對(duì)應(yīng)的關(guān)系。當(dāng)外部網(wǎng)絡(luò)通過(guò)訪問(wèn)202.96.96.236這個(gè)IP地址時(shí),在防火墻服務(wù)器中,就會(huì)把這個(gè)IP地址轉(zhuǎn)換為192.268.0.6,如此就實(shí)現(xiàn)了外部網(wǎng)絡(luò)訪問(wèn)企業(yè)的內(nèi)部信息化系統(tǒng)。

  不過(guò),此時(shí)若不止這么一個(gè)信息化系統(tǒng),現(xiàn)在OA系統(tǒng)(192.168.0.5)與ERP系統(tǒng)(192.168.0.6),在家辦公的人或者出差在外的人都需要能夠訪問(wèn)這兩個(gè)服務(wù)器,此時(shí),該如何處理呢?

  如企業(yè)有兩個(gè)公網(wǎng)IP地址,那也好辦,只需要把OA系統(tǒng)與ERP系統(tǒng)分別對(duì)應(yīng)到一個(gè)公網(wǎng)IP地址即可。但是,現(xiàn)在的問(wèn)題是,企業(yè)只有一個(gè)IP地址,此時(shí),該如何處理呢?為此,我們可以利用static命令,實(shí)現(xiàn)端口的重定向。簡(jiǎn)單的說(shuō),端口重定向,允許外部的用戶連接一個(gè)內(nèi)部特定的IP地址與端口,并且讓防火墻將這個(gè)數(shù)據(jù)流量重定向到合適的內(nèi)部地址中去。

  作者提醒

  1、 應(yīng)該有足夠的全局IP地址去匹配NAT命令指定的本機(jī)IP地址。否則的話,可以結(jié)合使用PAT(根據(jù)端口對(duì)應(yīng)IP地址)來(lái)解決全局地址的短缺問(wèn)題。而對(duì)于絕大部分中國(guó)企業(yè)來(lái)說(shuō),基本上地址都是不夠的,要采用PAT技術(shù)來(lái)解決地址短缺問(wèn)題。PAT技術(shù),最多允許64000個(gè)客戶端(內(nèi)部IP地址)使用同一個(gè)公網(wǎng)的IP地址。

  2、 網(wǎng)絡(luò)地址轉(zhuǎn)換除了可以解決公網(wǎng)ID地址短缺問(wèn)題的話,還有一個(gè)很好的副作用。就是可以把內(nèi)部的主機(jī)隱藏起來(lái),從而實(shí)現(xiàn)內(nèi)部主機(jī)的安全性。如上面的例子中,如外面的用戶需要訪問(wèn)企業(yè)內(nèi)部的ERP服務(wù)器的話,則他們只需要知道公網(wǎng)地址就可以了,不需要知道到底他們?cè)L問(wèn)的是內(nèi)部的那臺(tái)服務(wù)器,這臺(tái)服務(wù)器的IP地址是多少。如此的話,就可以最大限度的保護(hù)企業(yè)內(nèi)部服務(wù)器的安全。

  第五個(gè)命令:ICMP命令

  當(dāng)我們做好相關(guān)的配置之后,接下去的工作我們就需要利用測(cè)試命令,來(lái)判斷我們所配置的準(zhǔn)確性。最基本的兩個(gè)測(cè)試命令,就是PING與DEBUG 命令。

  Ping 命令我們網(wǎng)絡(luò)管理員都是很熟悉的了。但是,在防火墻中有一個(gè)比較特殊的地方,就是在默認(rèn)情況下,防火墻會(huì)拒絕所有來(lái)自于外部接口的ICMP輸入流量。當(dāng)我們PING 一個(gè)外網(wǎng)的IP地址時(shí),若跟對(duì)方連接通暢的話,則對(duì)方會(huì)返回一個(gè)ICMP響應(yīng)的回答。而防火墻默認(rèn)的情況下,是會(huì)拒絕這個(gè)ICMP流量的。這主要是出于安全方面的考慮。但是,在我們進(jìn)行測(cè)試的時(shí)候,我們不喜歡防火墻禁止接收這個(gè)ICMP響應(yīng)回答,不然的話,我們就無(wú)法進(jìn)行測(cè)試工作了。

  所以,在防火墻剛剛開(kāi)始配置的時(shí)候,我們往往需要讓防火墻允許接收這個(gè)流量,我們需要利用permit命令來(lái)讓防火墻通過(guò)這個(gè)流量。

  我們可以利用這條命令來(lái)實(shí)現(xiàn)這個(gè)需求:icmp permit any any outside。這個(gè)命令的意識(shí)就是允許ICMP協(xié)議在防火墻上暢通無(wú)阻的運(yùn)行,允許防火墻接收來(lái)自外部的ICMP流量。

  筆者提醒

  不過(guò),在測(cè)試完以后,最好還是能夠還原原先的設(shè)置,即讓防火墻拒絕接收這個(gè)來(lái)自外部接口ICMP流量,這對(duì)于提高企業(yè)內(nèi)部的安全性,非常有幫助,如可以很好的防止DOS攻擊,等等。

  第六個(gè)命令:write memory.

  一般來(lái)說(shuō),我們?cè)趯?duì)防火墻配置所做的更改,是不會(huì)直接寫入當(dāng)防火墻的閃存中的。防火墻如此的設(shè)計(jì),是為了防止網(wǎng)絡(luò)管理員萬(wàn)一不小心,做了一些難以恢復(fù)的設(shè)置時(shí),只需要重新啟動(dòng)一下防火墻,就可以恢復(fù)以前的設(shè)置了。也就是說(shuō)在,對(duì)防火墻的更新配置,在沒(méi)有應(yīng)該命令把他寫入到閃存中,防火墻一般都是先把它存放在RAM 中。而RAM中的數(shù)據(jù),當(dāng)防火墻重新啟動(dòng)后,都會(huì)丟失。

  所以,當(dāng)配置測(cè)試完成之后,千萬(wàn)要記住,要利用write memory命令,把相關(guān)的更改配置寫入到閃存中。如此的話,才能夠在防火墻重新啟動(dòng)后,這些相關(guān)的配置仍然能夠起作用。

  筆者提醒

  在沒(méi)有測(cè)試之前,最好不要把更改配置寫入到閃存中。因?yàn)橐坏懭氲介W存中,你若做了一些難以恢復(fù)的配置,而在測(cè)試的時(shí)候出現(xiàn)了問(wèn)題,此時(shí),你只能夠重置防火墻,以前的配置將會(huì)全部丟失,回復(fù)到出廠狀態(tài),那對(duì)于我們網(wǎng)絡(luò)管理員來(lái)說(shuō),是個(gè)很大的打擊。所以,一般需要對(duì)相關(guān)的配置測(cè)試無(wú)誤后,才能夠利用這個(gè)命令,永久的保存配置。

  不過(guò),在防火墻配置的時(shí)候,要注意不要斷電,否則的話,你做的配置將會(huì)全功盡棄。不過(guò),若在防火墻一端,接上UPS電源,是一個(gè)比較明智的做法。

熱詞搜索:

上一篇:設(shè)定防火墻路由訪存表 防止黑客深入侵
下一篇:解析網(wǎng)絡(luò)防火墻工作方式與優(yōu)缺點(diǎn)

分享到: 收藏