防火墙的配置综述

　　本篇为大家介绍如何配置防火墙中的安全策略。但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时，具体的防火墙策略配置会因具体的应用不同而有较大区别。

　　本篇为大家介绍如何配置防火墙中的安全策略。但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时，具体的防火墙策略配置会因具体的应用不同而有较大区别。

　　一.防火墙的基本配置原则

　　默认情况下，所有的防火墙都是按以下两种情况配置的：

　　所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

　　允许所有的流量，这种情况需要你特殊指定要的流量的类型。可论证地，大多数防火墙默认都是所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或允许POP3和SMTP的进程。

　　在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需以下三个基本原则：

　　(1)简单实用：对防火墙设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到，管理也越可靠和简便。

　　每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用都需要，在配置时我们也可针对具体应用进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。

　　(2)全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。

　　(3)内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络中，80%以上的都来自内部，所以我们要树立防内的观念，从根本上改变过去那种防外不防内的传统观念。对内部可以采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念，最好能部署与上述内部防护手段一起联动的机制。目前来说，要做到这一点比较困难。

　　二、防火墙的初始配置

　　像由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以CiscoPIX防火墙为例进行介绍。

　　防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接，再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，参见图1所示。

　　防火墙除了以上所说的通过控制端口(Console)进行初始配置外，也可以通过telnet和Tffp配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而Tffp方式需要专用的Tffp服务器软件，但配置界面比较友好。

　　普通用户模式无需特别命令，启动后即进入;

　　进入用户模式的命令为enable;进入配置模式的命令为configterminal;而进入端口模式的命令为inteceethernet()。不过因为防火墙的端口没有由器那么复杂，所以通常把端口模式归为配置模式，统称为全局配置模式。

　　防火墙的具体配置步骤如下：

　　1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，参见图1。

　　2.打开PIX防火电源，让系统加电初始化，然后与防火墙连接的主机。

　　华为路由器设置教程3.运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在附件程序组中)。对超级终端的配置与交换机或由器的配置一样，参见本教程前面有关介绍。

　　4.当PIX防火墙进入系统后即显示pixfirewall>的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。

　　5.输入命令：enable,进入用户模式，此时系统提示为：pixfirewall#。

　　6.输入命令：configureterminal,进入全局配置模式，对系统进行初始化设置。

　　(1).首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)

　　(2).配置防火墙内、外部网卡的IP地址

　　其中，global_ip：指的是要控制的地址;port：指的是所作用的端口，0代表所有端口;protocol：指的是连接协议，比如：TCP、UDP等;foreign_ip：表示可访问的global_ip外部IP地址;netmask：为可选项，代表要控制的子网掩码。

　　8.退出当前模式

　　此命令为exit，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与Quit命令一样。下面语句表示了用户从配置模式退到模式，再退到普通模式下的操作步骤。

　　9.查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。

　　10.查看端口状态：showintece，这个命令需在用户模式下执行，执行后即显示出防火墙所有接口配置情况。

　　11.查看静态地址映射:showstatic，这个命令也须在用户模式下执行，执行后显示防火墙的当前静态地址映射情况。

　　三、CiscoPIX防火墙的基本配置

　　2.所连电脑和防火墙的电源，进入Windows系统自带的超级终端，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、insideipaddress(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pix255>。

　　3.输入enable命令，进入Pix525用户模式,默然密码为空。

　　在默然情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

　　配置时钟，这也非常重要，这主要是为防火墙的日志记录而资金积累的，如果日志记录时间和日期都不准确，也就无法正确分析记录中的信息。这须在全局配置模式下进行。

　　前一种格式为：小时：分钟：秒月日年;而后一种格式为：小时：分钟：秒日月年，主要在日、月份的前后顺序不同。在时间上如果为0，可以为一位，如：21:0:0。

　　6.指定接口的安全级别

　　指定接口安全级别的命令为nameif，分别为内、外部网络接口指定一个适当的安全级别。在此要注意，防火墙是用来内部网络的，外部网络是通过外部接口对内部网络构成的，所以要从根本上保障内部网络的安全，需要对外部网络接口指定较高的安全级别，而内部网络接口的安全级别稍低，这主要是因为内部网络通信频繁、可信度高。在CiscoPIX系列防火墙中，安全级别的定义是由security()这个参数决定的，数字越小安全级别越高，所以security0是最高的，随后通常是以10的倍数递增，安全级别也相应降低。如下例：

　　7.配置以太网接口IP地址

　　这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为：access-groupacl_IDininteceintece_name，其中的acl_ID是指访问控制列表名称，intece_name为网络接口名称。如：

　　9.配置访问列表

　　所用配置命令为：access-list，合格格式比较复杂，如下：

　　其中的100表示访问规则号，根据当前已配置的规则条数来确定，不能与原来规则的重复，也必须是正整数。关于这个命令还将在下面的高级配置命令中晗附樯堋?/P>

　　防火墙的NAT配置与由器的NAT配置基本一样，首先也必须定义供NAT转换的内部IP地址组，接着定义内部网段。

　　表示把所有网络地址为10.1.6.0，子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。

　　随后再定义内部地址转换后可用的外部地址池，它所用的命令为global,基本命令格式为：

　　这是静态端口重定向命令。在CiscoPIX版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT)，或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器，这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。

　　命令格式有两种，分别适用于TCP/UDP通信和非TCP/UDP通信：

　　此命令中的以上各参数解释如下：internal_if_name：内部接口名称;external_if_name：外部接口名称;tcpudp：选择通信协议类型;global_ipintece：重定向后的外部IP地址或共享端口;local_ip：本地IP地址;[netmaskmask]：本地子网掩码;max_conns：允许的最大TCP连接数，默认为0，即不;emb_limit：允许从此端口发起的连接数，默认也为0，即不;norandomseq：不对数据包排序，此参数通常不用选。现在我们举一个实例，实例要求如下

　　以上重写向过程要求如图2所示，防火墙的内部端口IP地址为10.1.1.2，外部端口地址为172.18.124.216。

　　以上各项重定向要求对应的配置语句如下：

　　12.显示与保存结果

　　四、包过滤型防火墙的访问控制表(ACL)配置

　　除了以上介绍的基本配置外，在防火墙的安全策略中最重要还是对访问控制列表(ACL)进行配有关置。下面介绍一些用于此方面配置的基本命令。

　　这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过showaccess-list命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。

　　(1)创建标准访问列表

　　(2)创建扩展访问列表

　　(3)删除访问列表

　　上述命令参数说明如下：

　　normal：指定规则加入普通时间段。

　　special：指定规则加入特殊时间段。

　　listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。

　　listnumber2：是100到199之间的一个数值，表示规则是扩展访问列表规则。

　　permit：表明允许满足条件的报文通过。

　　deny：表明满足条件的报文通过。

　　protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念;为IP时有特殊含义，代表所有的IP协议。

　　source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

　　dest-mask：为目的地址的子网掩码。

　　operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range