防火墻的基本功能，是通過(guò)六個(gè)命令來(lái)完成的。一般情況下，除非有特殊的安全需求，這個(gè)六個(gè)命令基本上可以搞定防火墻的配置。下面筆者就結(jié)合CISCO的防火墻，來(lái)談?wù)劮阑饓Φ幕九渲茫Ｍ軌蚪o大家一點(diǎn)參考。

　　第一個(gè)命令：interface

　　Interface是防火墻配置中最基本的命令之一，他主要的功能就是開(kāi)啟關(guān)閉接口、配置接口的速度、對(duì)接口進(jìn)行命名等等。在買來(lái)防火墻的時(shí)候，防火墻的各個(gè)端都都是關(guān)閉的，所以，防火墻買來(lái)后，若不進(jìn)行任何的配置，防止在企業(yè)的網(wǎng)絡(luò)上，則防火墻根本無(wú)法工作，而且，還會(huì)導(dǎo)致企業(yè)網(wǎng)絡(luò)不同。

　　1、 配置接口速度

　　在防火墻中，配置接口速度的方法有兩種，一種是手工配置，另外一種是自動(dòng)配置。手工配置就是需要用戶手工的指定防火墻接口的通信速度;而自動(dòng)配置的話，則是指防火墻接口會(huì)自動(dòng)根據(jù)所連接的設(shè)備，來(lái)決定所需要的通信速度。

　　如：interface ethernet0 auto --為接口配置“自動(dòng)設(shè)置連接速度”

　　Interface ethernet2 100ful --為接口2手工指定連接速度，100MBIT/S。

　　這里，參數(shù)ethernet0或者etnernet2則表示防火墻的接口，而后面的參數(shù)表示具體的速度。

　　筆者建議

　　在配置接口速度的時(shí)候，要注意兩個(gè)問(wèn)題。

　　一是若采用手工指定接口速度的話，則指定的速度必須跟他所連接的設(shè)備的速度相同，否則的話，會(huì)出現(xiàn)一些意外的錯(cuò)誤。如在防火墻上，若連接了一個(gè)交換機(jī)的話，則交換機(jī)的端口速度必須跟防火墻這里設(shè)置的速度相匹配。

　　二是雖然防火墻提供了自動(dòng)設(shè)置接口速度的功能，不過(guò)，在實(shí)際工作中，作者還是不建議大家采用這個(gè)功能。因?yàn)檫@個(gè)自動(dòng)配置接口速度，會(huì)影響防火墻的性能。而且，其有時(shí)候也會(huì)判斷失誤，給網(wǎng)絡(luò)造成通信故障。所以，在一般情況下，無(wú)論是筆者，還是思科的官方資料，都建議大家采用手工配置接口速度。

　　2、 關(guān)閉與開(kāi)啟接口

　　防火墻上有多個(gè)接口，為了安全起見(jiàn)，打開(kāi)的接口不用的話，則需要及時(shí)的進(jìn)行關(guān)閉。一般可用shutdown命令來(lái)關(guān)閉防火墻的接口。但是這里跟思科的IOS軟件有一個(gè)不同，就是如果要打開(kāi)這個(gè)接口的話，則不用采用no shutdown命令。在防火墻的配置命令中，沒(méi)有這一條。而應(yīng)該采用不帶參數(shù)的shutdown命令，來(lái)把一個(gè)接口設(shè)置為管理模式。

　　筆者建議

　　在防火墻配置的時(shí)候，不要把所有的接口都打開(kāi)，需要用到幾個(gè)接口，就打開(kāi)幾個(gè)接口。若把所有的接口都打開(kāi)的話，會(huì)影響防火墻的運(yùn)行效率，而且，對(duì)企業(yè)網(wǎng)絡(luò)的安全也會(huì)有影響。或者說(shuō)，他會(huì)降低防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的控制強(qiáng)度。

　　第二個(gè)命令：nameif

　　一般防火墻出廠的時(shí)候，思科也會(huì)為防火墻配置名字，如ethernet0等等，也就是說(shuō)，防火墻的物理位置跟接口的名字是相同的。但是，很明顯，這對(duì)于我們的管理是不利的，我們不能夠從名字直觀的看到，這個(gè)接口到底是用來(lái)做什么的，是連接企業(yè)的內(nèi)部網(wǎng)絡(luò)接口，還是連接企業(yè)的外部網(wǎng)絡(luò)接口。所以，網(wǎng)絡(luò)管理員，希望能夠重命令這個(gè)接口的名字，利用比較直觀的名字來(lái)描述接口的用途，如利用outside命令來(lái)表示這個(gè)接口是用來(lái)連接外部網(wǎng)絡(luò);而利用inside命令來(lái)描述這個(gè)接口是用來(lái)連接內(nèi)部網(wǎng)絡(luò)。同時(shí)，在給端口進(jìn)行命名的時(shí)候，還可以指定這個(gè)接口的安全等級(jí)。

　　Nameif命令基本格式如下

　　Nameif hardware-id if-name security-level

　　其中，hardware-id表示防火墻上接口的具體位置，如ethernet0或者ethernet1等等。這些是思科防火墻在出廠的時(shí)候就已經(jīng)設(shè)置好的，不能夠進(jìn)行更改。若在沒(méi)有對(duì)接口進(jìn)行重新命名的時(shí)候，我們只能夠通過(guò)這個(gè)接口位置名稱，來(lái)配置對(duì)應(yīng)的接口參數(shù)。

　　而if-name 則是我們?yōu)檫@個(gè)接口指定的具體名字。一般來(lái)說(shuō)，這個(gè)名字希望能夠反映出這個(gè)接口的用途，就好象給這個(gè)接口取綽號(hào)一樣，要能夠反映能出這個(gè)接口的實(shí)際用途。另外，這個(gè)命名的話，我們網(wǎng)絡(luò)管理員也必須遵守一定的規(guī)則。如這個(gè)名字中間不能用空格，不同用數(shù)字或者其他特殊字符(這不利于后續(xù)的操作)，在長(zhǎng)度上也不能夠超過(guò)48個(gè)字符。

　　security-level表示這個(gè)接口的安全等級(jí)。一般情況下，可以把企業(yè)內(nèi)部接口的安全等級(jí)可以設(shè)置的高一點(diǎn)，而企業(yè)外部接口的安全等級(jí)則可以設(shè)置的低一點(diǎn)。如此的話，根據(jù)防火墻的訪問(wèn)規(guī)則，安全級(jí)別高的接口可以防衛(wèi)安全級(jí)別低的接口。也就是說(shuō)，不需要經(jīng)過(guò)特殊的設(shè)置，企業(yè)內(nèi)部網(wǎng)絡(luò)就可以訪問(wèn)企業(yè)外部網(wǎng)絡(luò)。而如果外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)，由于是安全級(jí)別低的接口訪問(wèn)安全級(jí)別高的接口，則必須要要進(jìn)行一些特殊的設(shè)置，如需要訪問(wèn)控制列表的支持，等等。

　　筆者建議

　　在給接口配置安全等級(jí)的時(shí)候，一般不需要設(shè)置很復(fù)雜的安全等級(jí)。在安全要求一般的企業(yè)，只需要把接口的安全登記分為兩級(jí)(一般只用兩個(gè)接口，一個(gè)連接外部網(wǎng)絡(luò)，一個(gè)連接內(nèi)部網(wǎng)絡(luò))，如此的話，防火墻的安全級(jí)別管理，會(huì)方便許多。

　　另外，就是企業(yè)內(nèi)部網(wǎng)絡(luò)的安全級(jí)別要高于外部網(wǎng)絡(luò)的安全級(jí)別。因?yàn)閺钠髽I(yè)安全方面考慮，我們的基本原則是內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)可以放開(kāi)，而外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的話，就要有所限制，則主要是出于限制病毒、木馬等給企業(yè)網(wǎng)絡(luò)所造成的危害的目的。不過(guò)，若企業(yè)內(nèi)部對(duì)外部訪問(wèn)也有限制的話，如不允許訪問(wèn)FTP服務(wù)器，等等，則可以借助訪問(wèn)控制列表或者其他技術(shù)手段來(lái)實(shí)現(xiàn)。

　　在對(duì)接口進(jìn)行命名的時(shí)候，要能夠反映這個(gè)接口的用途，否則的話，對(duì)其進(jìn)行命名也就沒(méi)有什么意思了。一般的話，如可以利用inside或者 outside來(lái)表示連接內(nèi)網(wǎng)與外網(wǎng)的接口。如此的話在，網(wǎng)絡(luò)管理員在一看到這個(gè)接口名字，就知道這個(gè)接口的用途。這幾可以提高我們防火墻維護(hù)的效率。對(duì)于我們按照這個(gè)名字來(lái)對(duì)接口進(jìn)行配置的時(shí)候，就比較容易實(shí)現(xiàn)，而不需要再去想我需要配置的接口名字是什么。若我們真的忘記了接口名字的話，則可以利用show nameif命令來(lái)檢驗(yàn)接口名字的配置。

　　第三個(gè)命令：IP address

　　在防火墻管理中，要為每個(gè)啟用的防火墻接口配置IP地址。一般來(lái)說(shuō)，防火墻的IP地址支持兩種取得方式，一是通過(guò)自動(dòng)獲得，如可以通過(guò)企業(yè)內(nèi)網(wǎng)的DHCP服務(wù)器取得IP地址;二是用戶通過(guò)手工指定IP地址。

　　這個(gè)命令的具體格式為

　　Ip adress if-name IP [NETMASK]

　　若我們用上面的IF-NAME命令，給防火墻的接口配置好別名之后，則在后續(xù)的其他命令中，如這個(gè)配置IP地址的命令，則就不需要采用接口的位置名，而直接可以利用這個(gè)別名為具體的接口設(shè)置相關(guān)的參數(shù)。

　　若我們通過(guò)手工指定IP地址的時(shí)候，需要注意幾個(gè)問(wèn)題。一是若企業(yè)中還有DHCP服務(wù)器的話，則要注意這個(gè)網(wǎng)絡(luò)地址沖突的問(wèn)題。這個(gè)防火墻上的接口IP地址，在企業(yè)的整個(gè)網(wǎng)絡(luò)中，也必須保持唯一，否則的話，就會(huì)造成IP地址沖突的錯(cuò)誤。所以，若企業(yè)中還有DHCP服務(wù)器的話，則在DHCP服務(wù)器配置的時(shí)候，需要注意，這個(gè)防火墻接口所用的IP地址不應(yīng)該在DHCP服務(wù)器的自動(dòng)分配IP的地址池中，否則的話，很容易造成IP地址的沖突。

　　另外，在給他手工配置IP地址的時(shí)候，為了管理上的方便，最好能夠指定連續(xù)的IP地址。也就是說(shuō)，防火墻各個(gè)接口的IP地址為連續(xù)的。筆者在企業(yè)的IP地址規(guī)劃中，特意為防火墻的接口預(yù)留了4個(gè)IP地址。即使，現(xiàn)在沒(méi)有使用到這個(gè)接口，為了避免以后用到時(shí)，IP地址不連續(xù)，所以，在整個(gè)網(wǎng)絡(luò)的IP地址規(guī)劃中，還是為其預(yù)留了足夠多的IP地址。

　　這里的網(wǎng)絡(luò)掩碼不是必須的。若網(wǎng)絡(luò)管理員在配置防火墻的時(shí)候，沒(méi)有配置這個(gè)網(wǎng)絡(luò)掩碼的話，則防火墻會(huì)自動(dòng)根據(jù)企業(yè)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，則防火墻會(huì)自動(dòng)給其設(shè)置一個(gè)網(wǎng)絡(luò)掩碼。所以，在一般的情況下，這個(gè)網(wǎng)絡(luò)掩碼可以不用設(shè)置，免得填寫錯(cuò)誤的話，還造成不必要的損失。

　　筆者建議

　　若是采用DHCP方式取得接口的IP地址的，則在DHCP服務(wù)器配置的時(shí)候，最好能夠給防火墻的各個(gè)接口配置連續(xù)的IP地址。如此的話，可以方便我們對(duì)防火墻的接口進(jìn)行管理。若企業(yè)的網(wǎng)絡(luò)規(guī)模比較大，安全級(jí)別比較高的話，則一般建議不要采用DHCP的方式，而需要給防火墻的各個(gè)接口手工指定IP地址。

　　第四個(gè)命令：NAT 與GLOBAL、STATIC命令

　　使用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)命令，網(wǎng)絡(luò)管理員可以將內(nèi)部的一組IP地址轉(zhuǎn)換成為外部的公網(wǎng)地址;而global命令則用于定義用網(wǎng)絡(luò)地址轉(zhuǎn)換命令NAT轉(zhuǎn)換成的地址或者地址的范圍。簡(jiǎn)單的說(shuō)，利用NAT命令與GLOBAL命令，能夠?qū)崿F(xiàn)IP地址之間的轉(zhuǎn)換，還可以實(shí)現(xiàn)IP地址到端口的映射。

　　這個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換命令在實(shí)際工作中非常的有用。我們都知道，現(xiàn)在公網(wǎng)IP地址非常的缺乏，基本上，一家企業(yè)只有一到兩個(gè)公網(wǎng)地址。而對(duì)于企業(yè)來(lái)說(shuō)，他們的文件服務(wù)器、OA系統(tǒng)、郵件服務(wù)器等等可能都需要外部訪問(wèn)，而如果沒(méi)有NAT技術(shù)的話 ，則在公網(wǎng)中要進(jìn)行訪問(wèn)的話，必須具有公網(wǎng)的IP地址。這就大大限制了企業(yè)內(nèi)部信息化系統(tǒng)的外部訪問(wèn)，家庭辦公、出差時(shí)訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)等等，變的無(wú)法實(shí)現(xiàn)。而現(xiàn)在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，就是為解決這個(gè)問(wèn)題而產(chǎn)生的。在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的幫助下，可以把企業(yè)內(nèi)部的IP地址跟端口唯一的映射到外部公網(wǎng)的IP地址。如此的話，內(nèi)網(wǎng)的IP地址就有了一個(gè)合法的公網(wǎng)IP地址，則在公司外面的員工就可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)企業(yè)內(nèi)部的信息化系統(tǒng)。

　　在實(shí)際工作中，用的最多的就是將本地地址轉(zhuǎn)換為一個(gè)擔(dān)擱的全局地址，而不是一個(gè)地址范圍。如公司內(nèi)部的ERP服務(wù)器IP地址為 192.168.0.6，此時(shí)，若我們希望，外部的員工，如在其他城市的一個(gè)銷售辦事處，他們能夠利用202.96.96.240這個(gè)公網(wǎng)地址訪問(wèn)這臺(tái)服務(wù)器。若要實(shí)現(xiàn)這個(gè)需求，該如何配置呢?

　　Static (inside,outside) 192.168.0.6 202.96.96.236

　　此時(shí)，外部用戶就可以利用這個(gè)202.96.96.236公網(wǎng)IP地址，來(lái)訪問(wèn)企業(yè)內(nèi)部的ERP系統(tǒng)。

　　其實(shí)，配置了這條命令之后，在防火墻服務(wù)器中，就有了這個(gè)一一對(duì)應(yīng)的關(guān)系。當(dāng)外部網(wǎng)絡(luò)通過(guò)訪問(wèn)202.96.96.236這個(gè)IP地址時(shí)，在防火墻服務(wù)器中，就會(huì)把這個(gè)IP地址轉(zhuǎn)換為192.268.0.6，如此就實(shí)現(xiàn)了外部網(wǎng)絡(luò)訪問(wèn)企業(yè)的內(nèi)部信息化系統(tǒng)。

　　不過(guò)，此時(shí)若不止這么一個(gè)信息化系統(tǒng)，現(xiàn)在OA系統(tǒng)(192.168.0.5)與ERP系統(tǒng)(192.168.0.6)，在家辦公的人或者出差在外的人都需要能夠訪問(wèn)這兩個(gè)服務(wù)器，此時(shí)，該如何處理呢?

　　如企業(yè)有兩個(gè)公網(wǎng)IP地址，那也好辦，只需要把OA系統(tǒng)與ERP系統(tǒng)分別對(duì)應(yīng)到一個(gè)公網(wǎng)IP地址即可。但是，現(xiàn)在的問(wèn)題是，企業(yè)只有一個(gè)IP地址，此時(shí)，該如何處理呢?為此，我們可以利用static命令，實(shí)現(xiàn)端口的重定向。簡(jiǎn)單的說(shuō)，端口重定向，允許外部的用戶連接一個(gè)內(nèi)部特定的IP地址與端口，并且讓防火墻將這個(gè)數(shù)據(jù)流量重定向到合適的內(nèi)部地址中去。

　　作者提醒

　　1、 應(yīng)該有足夠的全局IP地址去匹配NAT命令指定的本機(jī)IP地址。否則的話，可以結(jié)合使用PAT(根據(jù)端口對(duì)應(yīng)IP地址)來(lái)解決全局地址的短缺問(wèn)題。而對(duì)于絕大部分中國(guó)企業(yè)來(lái)說(shuō)，基本上地址都是不夠的，要采用PAT技術(shù)來(lái)解決地址短缺問(wèn)題。PAT技術(shù)，最多允許64000個(gè)客戶端(內(nèi)部IP地址)使用同一個(gè)公網(wǎng)的IP地址。

　　2、 網(wǎng)絡(luò)地址轉(zhuǎn)換除了可以解決公網(wǎng)ID地址短缺問(wèn)題的話，還有一個(gè)很好的副作用。就是可以把內(nèi)部的主機(jī)隱藏起來(lái)，從而實(shí)現(xiàn)內(nèi)部主機(jī)的安全性。如上面的例子中，如外面的用戶需要訪問(wèn)企業(yè)內(nèi)部的ERP服務(wù)器的話，則他們只需要知道公網(wǎng)地址就可以了，不需要知道到底他們?cè)L問(wèn)的是內(nèi)部的那臺(tái)服務(wù)器，這臺(tái)服務(wù)器的IP地址是多少。如此的話，就可以最大限度的保護(hù)企業(yè)內(nèi)部服務(wù)器的安全。

　　第五個(gè)命令：ICMP命令

　　當(dāng)我們做好相關(guān)的配置之后，接下去的工作我們就需要利用測(cè)試命令，來(lái)判斷我們所配置的準(zhǔn)確性。最基本的兩個(gè)測(cè)試命令，就是PING與DEBUG 命令。

　　Ping 命令我們網(wǎng)絡(luò)管理員都是很熟悉的了。但是，在防火墻中有一個(gè)比較特殊的地方，就是在默認(rèn)情況下，防火墻會(huì)拒絕所有來(lái)自于外部接口的ICMP輸入流量。當(dāng)我們PING 一個(gè)外網(wǎng)的IP地址時(shí)，若跟對(duì)方連接通暢的話，則對(duì)方會(huì)返回一個(gè)ICMP響應(yīng)的回答。而防火墻默認(rèn)的情況下，是會(huì)拒絕這個(gè)ICMP流量的。這主要是出于安全方面的考慮。但是，在我們進(jìn)行測(cè)試的時(shí)候，我們不喜歡防火墻禁止接收這個(gè)ICMP響應(yīng)回答，不然的話，我們就無(wú)法進(jìn)行測(cè)試工作了。

　　所以，在防火墻剛剛開(kāi)始配置的時(shí)候，我們往往需要讓防火墻允許接收這個(gè)流量，我們需要利用permit命令來(lái)讓防火墻通過(guò)這個(gè)流量。

　　我們可以利用這條命令來(lái)實(shí)現(xiàn)這個(gè)需求：icmp permit any any outside。這個(gè)命令的意識(shí)就是允許ICMP協(xié)議在防火墻上暢通無(wú)阻的運(yùn)行，允許防火墻接收來(lái)自外部的ICMP流量。

　　筆者提醒

　　不過(guò)，在測(cè)試完以后，最好還是能夠還原原先的設(shè)置，即讓防火墻拒絕接收這個(gè)來(lái)自外部接口ICMP流量，這對(duì)于提高企業(yè)內(nèi)部的安全性，非常有幫助，如可以很好的防止DOS攻擊，等等。

　　第六個(gè)命令：write memory.

　　一般來(lái)說(shuō)，我們?cè)趯?duì)防火墻配置所做的更改，是不會(huì)直接寫入當(dāng)防火墻的閃存中的。防火墻如此的設(shè)計(jì)，是為了防止網(wǎng)絡(luò)管理員萬(wàn)一不小心，做了一些難以恢復(fù)的設(shè)置時(shí)，只需要重新啟動(dòng)一下防火墻，就可以恢復(fù)以前的設(shè)置了。也就是說(shuō)在，對(duì)防火墻的更新配置，在沒(méi)有應(yīng)該命令把他寫入到閃存中，防火墻一般都是先把它存放在RAM 中。而RAM中的數(shù)據(jù)，當(dāng)防火墻重新啟動(dòng)后，都會(huì)丟失。

　　所以，當(dāng)配置測(cè)試完成之后，千萬(wàn)要記住，要利用write memory命令，把相關(guān)的更改配置寫入到閃存中。如此的話，才能夠在防火墻重新啟動(dòng)后，這些相關(guān)的配置仍然能夠起作用。

　　筆者提醒

　　在沒(méi)有測(cè)試之前，最好不要把更改配置寫入到閃存中。因?yàn)橐坏懭氲介W存中，你若做了一些難以恢復(fù)的配置，而在測(cè)試的時(shí)候出現(xiàn)了問(wèn)題，此時(shí)，你只能夠重置防火墻，以前的配置將會(huì)全部丟失，回復(fù)到出廠狀態(tài)，那對(duì)于我們網(wǎng)絡(luò)管理員來(lái)說(shuō)，是個(gè)很大的打擊。所以，一般需要對(duì)相關(guān)的配置測(cè)試無(wú)誤后，才能夠利用這個(gè)命令，永久的保存配置。

　　不過(guò)，在防火墻配置的時(shí)候，要注意不要斷電，否則的話，你做的配置將會(huì)全功盡棄。不過(guò)，若在防火墻一端，接上UPS電源，是一個(gè)比較明智的做法。