防火墙的基本配置

防火墙配

置

目录

一．防火墙的基本配置原则 (4)

1.防火墙两种情况配置 (4)

2.防火墙的配置中的三个基本原则 (4)

3.网络拓扑图 (6)

二．方案设计原则 (6)

1. 先进性与成熟性 (6)

2. 实用性与经济性 (7)

3. 扩展性与兼容性 (7)

4. 标准化与开放性 (7)

5. 安全性与可维护性 (7)

6. 整合型好 (8)

三．防火墙的初始配置 (8)

1.简述 (8)

2.防火墙的具体配置步骤 (9)

四．Cisco PIX防火墙的基本配置 (10)

1. 连接 (10)

2. 初始化配置 (11)

3. enable命令 (11)

4．定义以太端口 (11)

5. clock (11)

6. 指定接口的安全级别 (12)

7. 配置以太网接口IP地址 (12)

8. access-group (12)

9．配置访问列表 (12)

10. 地址转换（NAT） (13)

11. Port Redirection with Statics (14)

1.命令 (14)

2．实例 (15)

12. 显示与保存结果 (16)

五．过滤型防火墙的访问控制表（ACL）配置 (16)

1. access-list：用于创建访问规则 (16)

2. clear access-list counters：清除访问列表规则的统计信息 (19)

3. ip access-grou (19)

4. show access-list (20)

5. show firewall (21)

一．防火墙的基本配置原则

1.防火墙两种情况配置

拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

2.防火墙的配置中的三个基本原则

（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。

每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，

得不偿失。

（2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。

（3）. 内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%以上的威胁都来自内部，所以我们要树立防内的观念，从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念，最好能部署与上述内部防护手段一起联动的机制。目前来说，要做到这一点比较困难。

3.网络拓扑图

二．方案设计原则

1. 先进性与成熟性

采用当今国内、国际上先进和成熟的计算机应用技术，使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的需要。从现阶段的发展来看，系统的总体设计的先进性原则主要体现在使用Thin-Client/Server计算机体系是先进的、开放的体系结构，当系统应用量发生变化时具备良好的可伸缩性，避免瓶颈的出现。

2. 实用性与经济性

实用性就是能够最大限度地满足实际工作的要求，是每个系统平台在搭建过程中必须考虑的一种系统性能，它是对用户最基本的承诺。办公自动化硬件平台是为实际使用而建立，应避免过度追求超前技术而浪费投资。

3. 扩展性与兼容性

系统设计除了可以适应目前的应用需要以外，应充分考虑日后的应用发展需要，随着数据量的扩大，用户数的增加以及应用范围的拓展，只要相应的调整硬件设备即可满足需求。通过采用先进的存储平台，保证对海量数据的存取、查询以及统计等的高性能和高效率。同时考虑整个平台的统一管理，监控，降低管理成本。

4. 标准化与开放性

系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及外界信息的沟通。

计算机软硬件和网络技术有国际和国内的标准，但技术标准不可能详细得面面俱到，在一些技术细节上各个生产厂商按照自己的喜好设计开发，结果造成一些产品只能在较低的层面上互通，在较高层面或某些具体方面不能互通。我们不但选用符合标准的产品，而且尽量选用市场占有率高、且发展前景好的产品，以提高系统互通性和开放性。

5. 安全性与可维护性

随着应用的发展，系统需要处理的数据量将有较大的增长，并且将涉及到各类的关键性应用，系统的稳定性和安全性要求都相对较高，任意时刻系统故障都可能给用户带来不可估