防火墻的基本功能，是通過六個命令來完成的。一般情況下，除非有特殊的安全需求，這個六個命令基本上可以搞定防火墻的配置。下面筆者就結合CISCO的防火墻，來談談防火墻的基本配置，希望能夠給大家一點參考。

　　第一個命令：interface

　　Interface是防火墻配置中最基本的命令之一，他主要的功能就是開啟關閉接口、配置接口的速度、對接口進行命名等等。在買來防火墻的時候，防火墻的各個端都都是關閉的，所以，防火墻買來后，若不進行任何的配置，防止在企業的網絡上，則防火墻根本無法工作，而且，還會導致企業網絡不同。

　　1、 配置接口速度

　　在防火墻中，配置接口速度的方法有兩種，一種是手工配置，另外一種是自動配置。手工配置就是需要用戶手工的指定防火墻接口的通信速度;而自動配置的話，則是指防火墻接口會自動根據所連接的設備，來決定所需要的通信速度。

　　如：interface ethernet0 auto --為接口配置“自動設置連接速度”

　　Interface ethernet2 100ful --為接口2手工指定連接速度，100MBIT/S。

　　這里，參數ethernet0或者etnernet2則表示防火墻的接口，而后面的參數表示具體的速度。

　　筆者建議

　　在配置接口速度的時候，要注意兩個問題。

　　一是若采用手工指定接口速度的話，則指定的速度必須跟他所連接的設備的速度相同，否則的話，會出現一些意外的錯誤。如在防火墻上，若連接了一個交換機的話，則交換機的端口速度必須跟防火墻這里設置的速度相匹配。

　　二是雖然防火墻提供了自動設置接口速度的功能，不過，在實際工作中，作者還是不建議大家采用這個功能。因為這個自動配置接口速度，會影響防火墻的性能。而且，其有時候也會判斷失誤，給網絡造成通信故障。所以，在一般情況下，無論是筆者，還是思科的官方資料，都建議大家采用手工配置接口速度。

　　2、 關閉與開啟接口

　　防火墻上有多個接口，為了安全起見，打開的接口不用的話，則需要及時的進行關閉。一般可用shutdown命令來關閉防火墻的接口。但是這里跟思科的IOS軟件有一個不同，就是如果要打開這個接口的話，則不用采用no shutdown命令。在防火墻的配置命令中，沒有這一條。而應該采用不帶參數的shutdown命令，來把一個接口設置為管理模式。

　　筆者建議

　　在防火墻配置的時候，不要把所有的接口都打開，需要用到幾個接口，就打開幾個接口。若把所有的接口都打開的話，會影響防火墻的運行效率，而且，對企業網絡的安全也會有影響。或者說，他會降低防火墻對于企業網絡的控制強度。

　　第二個命令：nameif

　　一般防火墻出廠的時候，思科也會為防火墻配置名字，如ethernet0等等，也就是說，防火墻的物理位置跟接口的名字是相同的。但是，很明顯，這對于我們的管理是不利的，我們不能夠從名字直觀的看到，這個接口到底是用來做什么的，是連接企業的內部網絡接口，還是連接企業的外部網絡接口。所以，網絡管理員，希望能夠重命令這個接口的名字，利用比較直觀的名字來描述接口的用途，如利用outside命令來表示這個接口是用來連接外部網絡;而利用inside命令來描述這個接口是用來連接內部網絡。同時，在給端口進行命名的時候，還可以指定這個接口的安全等級。

　　Nameif命令基本格式如下

　　Nameif hardware-id if-name security-level

　　其中，hardware-id表示防火墻上接口的具體位置，如ethernet0或者ethernet1等等。這些是思科防火墻在出廠的時候就已經設置好的，不能夠進行更改。若在沒有對接口進行重新命名的時候，我們只能夠通過這個接口位置名稱，來配置對應的接口參數。

　　而if-name 則是我們為這個接口指定的具體名字。一般來說，這個名字希望能夠反映出這個接口的用途，就好象給這個接口取綽號一樣，要能夠反映能出這個接口的實際用途。另外，這個命名的話，我們網絡管理員也必須遵守一定的規則。如這個名字中間不能用空格，不同用數字或者其他特殊字符(這不利于后續的操作)，在長度上也不能夠超過48個字符。

　　security-level表示這個接口的安全等級。一般情況下，可以把企業內部接口的安全等級可以設置的高一點，而企業外部接口的安全等級則可以設置的低一點。如此的話，根據防火墻的訪問規則，安全級別高的接口可以防衛安全級別低的接口。也就是說，不需要經過特殊的設置，企業內部網絡就可以訪問企業外部網絡。而如果外部網絡訪問內部網絡，由于是安全級別低的接口訪問安全級別高的接口，則必須要要進行一些特殊的設置，如需要訪問控制列表的支持，等等。

　　筆者建議

　　在給接口配置安全等級的時候，一般不需要設置很復雜的安全等級。在安全要求一般的企業，只需要把接口的安全登記分為兩級(一般只用兩個接口，一個連接外部網絡，一個連接內部網絡)，如此的話，防火墻的安全級別管理，會方便許多。

　　另外，就是企業內部網絡的安全級別要高于外部網絡的安全級別。因為從企業安全方面考慮，我們的基本原則是內部網絡訪問外部網絡可以放開，而外部網絡訪問內部網絡的話，就要有所限制，則主要是出于限制病毒、木馬等給企業網絡所造成的危害的目的。不過，若企業內部對外部訪問也有限制的話，如不允許訪問FTP服務器，等等，則可以借助訪問控制列表或者其他技術手段來實現。

　　在對接口進行命名的時候，要能夠反映這個接口的用途，否則的話，對其進行命名也就沒有什么意思了。一般的話，如可以利用inside或者 outside來表示連接內網與外網的接口。如此的話在，網絡管理員在一看到這個接口名字，就知道這個接口的用途。這幾可以提高我們防火墻維護的效率。對于我們按照這個名字來對接口進行配置的時候，就比較容易實現，而不需要再去想我需要配置的接口名字是什么。若我們真的忘記了接口名字的話，則可以利用show nameif命令來檢驗接口名字的配置。

　　第三個命令：IP address

　　在防火墻管理中，要為每個啟用的防火墻接口配置IP地址。一般來說，防火墻的IP地址支持兩種取得方式，一是通過自動獲得，如可以通過企業內網的DHCP服務器取得IP地址;二是用戶通過手工指定IP地址。

　　這個命令的具體格式為

　　Ip adress if-name IP [NETMASK]

　　若我們用上面的IF-NAME命令，給防火墻的接口配置好別名之后，則在后續的其他命令中，如這個配置IP地址的命令，則就不需要采用接口的位置名，而直接可以利用這個別名為具體的接口設置相關的參數。

　　若我們通過手工指定IP地址的時候，需要注意幾個問題。一是若企業中還有DHCP服務器的話，則要注意這個網絡地址沖突的問題。這個防火墻上的接口IP地址，在企業的整個網絡中，也必須保持唯一，否則的話，就會造成IP地址沖突的錯誤。所以，若企業中還有DHCP服務器的話，則在DHCP服務器配置的時候，需要注意，這個防火墻接口所用的IP地址不應該在DHCP服務器的自動分配IP的地址池中，否則的話，很容易造成IP地址的沖突。

　　另外，在給他手工配置IP地址的時候，為了管理上的方便，最好能夠指定連續的IP地址。也就是說，防火墻各個接口的IP地址為連續的。筆者在企業的IP地址規劃中，特意為防火墻的接口預留了4個IP地址。即使，現在沒有使用到這個接口，為了避免以后用到時，IP地址不連續，所以，在整個網絡的IP地址規劃中，還是為其預留了足夠多的IP地址。

　　這里的網絡掩碼不是必須的。若網絡管理員在配置防火墻的時候，沒有配置這個網絡掩碼的話，則防火墻會自動根據企業內部網絡的結構，則防火墻會自動給其設置一個網絡掩碼。所以，在一般的情況下，這個網絡掩碼可以不用設置，免得填寫錯誤的話，還造成不必要的損失。

　　筆者建議

　　若是采用DHCP方式取得接口的IP地址的，則在DHCP服務器配置的時候，最好能夠給防火墻的各個接口配置連續的IP地址。如此的話，可以方便我們對防火墻的接口進行管理。若企業的網絡規模比較大，安全級別比較高的話，則一般建議不要采用DHCP的方式，而需要給防火墻的各個接口手工指定IP地址。

　　第四個命令：NAT 與GLOBAL、STATIC命令

　　使用NAT(網絡地址轉換)命令，網絡管理員可以將內部的一組IP地址轉換成為外部的公網地址;而global命令則用于定義用網絡地址轉換命令NAT轉換成的地址或者地址的范圍。簡單的說，利用NAT命令與GLOBAL命令，能夠實現IP地址之間的轉換，還可以實現IP地址到端口的映射。

　　這個網絡地址轉換命令在實際工作中非常的有用。我們都知道，現在公網IP地址非常的缺乏，基本上，一家企業只有一到兩個公網地址。而對于企業來說，他們的文件服務器、OA系統、郵件服務器等等可能都需要外部訪問，而如果沒有NAT技術的話 ，則在公網中要進行訪問的話，必須具有公網的IP地址。這就大大限制了企業內部信息化系統的外部訪問，家庭辦公、出差時訪問企業內部網絡等等，變的無法實現。而現在網絡地址轉換技術，就是為解決這個問題而產生的。在網絡地址轉換技術的幫助下，可以把企業內部的IP地址跟端口唯一的映射到外部公網的IP地址。如此的話，內網的IP地址就有了一個合法的公網IP地址，則在公司外面的員工就可以通過互聯網訪問企業內部的信息化系統。

　　在實際工作中，用的最多的就是將本地地址轉換為一個擔擱的全局地址，而不是一個地址范圍。如公司內部的ERP服務器IP地址為 192.168.0.6，此時，若我們希望，外部的員工，如在其他城市的一個銷售辦事處，他們能夠利用202.96.96.240這個公網地址訪問這臺服務器。若要實現這個需求，該如何配置呢?

　　Static (inside,outside) 192.168.0.6 202.96.96.236

　　此時，外部用戶就可以利用這個202.96.96.236公網IP地址，來訪問企業內部的ERP系統。

　　其實，配置了這條命令之后，在防火墻服務器中，就有了這個一一對應的關系。當外部網絡通過訪問202.96.96.236這個IP地址時，在防火墻服務器中，就會把這個IP地址轉換為192.268.0.6，如此就實現了外部網絡訪問企業的內部信息化系統。

　　不過，此時若不止這么一個信息化系統，現在OA系統(192.168.0.5)與ERP系統(192.168.0.6)，在家辦公的人或者出差在外的人都需要能夠訪問這兩個服務器，此時，該如何處理呢?

　　如企業有兩個公網IP地址，那也好辦，只需要把OA系統與ERP系統分別對應到一個公網IP地址即可。但是，現在的問題是，企業只有一個IP地址，此時，該如何處理呢?為此，我們可以利用static命令，實現端口的重定向。簡單的說，端口重定向，允許外部的用戶連接一個內部特定的IP地址與端口，并且讓防火墻將這個數據流量重定向到合適的內部地址中去。

　　作者提醒

　　1、 應該有足夠的全局IP地址去匹配NAT命令指定的本機IP地址。否則的話，可以結合使用PAT(根據端口對應IP地址)來解決全局地址的短缺問題。而對于絕大部分中國企業來說，基本上地址都是不夠的，要采用PAT技術來解決地址短缺問題。PAT技術，最多允許64000個客戶端(內部IP地址)使用同一個公網的IP地址。

　　2、 網絡地址轉換除了可以解決公網ID地址短缺問題的話，還有一個很好的副作用。就是可以把內部的主機隱藏起來，從而實現內部主機的安全性。如上面的例子中，如外面的用戶需要訪問企業內部的ERP服務器的話，則他們只需要知道公網地址就可以了，不需要知道到底他們訪問的是內部的那臺服務器，這臺服務器的IP地址是多少。如此的話，就可以最大限度的保護企業內部服務器的安全。

　　第五個命令：ICMP命令

　　當我們做好相關的配置之后，接下去的工作我們就需要利用測試命令，來判斷我們所配置的準確性。最基本的兩個測試命令，就是PING與DEBUG 命令。

　　Ping 命令我們網絡管理員都是很熟悉的了。但是，在防火墻中有一個比較特殊的地方，就是在默認情況下，防火墻會拒絕所有來自于外部接口的ICMP輸入流量。當我們PING 一個外網的IP地址時，若跟對方連接通暢的話，則對方會返回一個ICMP響應的回答。而防火墻默認的情況下，是會拒絕這個ICMP流量的。這主要是出于安全方面的考慮。但是，在我們進行測試的時候，我們不喜歡防火墻禁止接收這個ICMP響應回答，不然的話，我們就無法進行測試工作了。

　　所以，在防火墻剛剛開始配置的時候，我們往往需要讓防火墻允許接收這個流量，我們需要利用permit命令來讓防火墻通過這個流量。

　　我們可以利用這條命令來實現這個需求：icmp permit any any outside。這個命令的意識就是允許ICMP協議在防火墻上暢通無阻的運行，允許防火墻接收來自外部的ICMP流量。

　　筆者提醒

　　不過，在測試完以后，最好還是能夠還原原先的設置，即讓防火墻拒絕接收這個來自外部接口ICMP流量，這對于提高企業內部的安全性，非常有幫助，如可以很好的防止DOS攻擊，等等。

　　第六個命令：write memory.

　　一般來說，我們在對防火墻配置所做的更改，是不會直接寫入當防火墻的閃存中的。防火墻如此的設計，是為了防止網絡管理員萬一不小心，做了一些難以恢復的設置時，只需要重新啟動一下防火墻，就可以恢復以前的設置了。也就是說在，對防火墻的更新配置，在沒有應該命令把他寫入到閃存中，防火墻一般都是先把它存放在RAM 中。而RAM中的數據，當防火墻重新啟動后，都會丟失。

　　所以，當配置測試完成之后，千萬要記住，要利用write memory命令，把相關的更改配置寫入到閃存中。如此的話，才能夠在防火墻重新啟動后，這些相關的配置仍然能夠起作用。

　　筆者提醒

　　在沒有測試之前，最好不要把更改配置寫入到閃存中。因為一旦寫入到閃存中，你若做了一些難以恢復的配置，而在測試的時候出現了問題，此時，你只能夠重置防火墻，以前的配置將會全部丟失，回復到出廠狀態，那對于我們網絡管理員來說，是個很大的打擊。所以，一般需要對相關的配置測試無誤后，才能夠利用這個命令，永久的保存配置。

　　不過，在防火墻配置的時候，要注意不要斷電，否則的話，你做的配置將會全功盡棄。不過，若在防火墻一端，接上UPS電源，是一個比較明智的做法。