|
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展�����,安全問題越來越得到眾多企業(yè)網(wǎng)絡(luò)管理人員的重視��,不過俗話說巧婦難為無米之炊�,再好的網(wǎng)絡(luò)管理員如果沒有一套高效的安全設(shè)備搭建內(nèi)網(wǎng)安全體系的話,病毒與黑客入侵的問題同樣會(huì)頻繁發(fā)生��。一般來說我們都是通過防火墻來保護(hù)內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備的安全����,今天筆者就為各位從實(shí)例講解配置防火墻的方法。
一����,硬件連接與實(shí)施:
在講解防火墻具體參數(shù)配置之前我們首先要掌握如何連接防火墻各個(gè)端口,一般來說硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口�����,速度根據(jù)檔次與價(jià)格不同而在百兆與千兆之間有所區(qū)別���。(如圖1)
對于中小企業(yè)來說一般出口帶寬都在100M以內(nèi)��,所以我們選擇100M相關(guān)產(chǎn)品即可��。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵�,一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域,針對外網(wǎng)訪問數(shù)據(jù)進(jìn)行過濾和監(jiān)控����。
如果防火墻上有WAN接口,那么直接將WAN接口連接外網(wǎng)即可����,如果所有接口都標(biāo)記為LAN接口,那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè)LAN接口作為外網(wǎng)連接端口����。相應(yīng)的其他LAN接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。
小提示:
如果企業(yè)有多個(gè)外網(wǎng)出口�,那么選擇最后兩個(gè)LAN接口依次作為WAN口1與WAN口2連接相關(guān)線路解決雙線問題。
二���,防火墻的特色配置:
從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒有太大的差別�,一部分防火墻具備CONSOLE接口通過超級(jí)終端的方式初始化配置����,而另外一部分則直接通過默認(rèn)的LAN接口和管理地址訪問進(jìn)行配置�。
與路由器交換機(jī)不同的是在防火墻配置中我們需要?jiǎng)澐侄鄠€(gè)不同權(quán)限不同優(yōu)先級(jí)別的區(qū)域,另外還需要針對相應(yīng)接口隸屬的區(qū)域進(jìn)行配置�,例如1接口劃分到A區(qū)域���,2接口劃分到B區(qū)域等等,通過不同區(qū)域的訪問權(quán)限差別來實(shí)現(xiàn)防火墻保護(hù)功能�。默認(rèn)情況下防火墻會(huì)自動(dòng)建立trust信任區(qū),untrust非信任區(qū)���,DMZ堡壘主機(jī)區(qū)以及LOCAL本地區(qū)域����。相應(yīng)的本地區(qū)域優(yōu)先級(jí)最高����,其次是trust信任區(qū),DMZ堡壘主機(jī)區(qū)���,最低的是untrust非信任區(qū)域���。
在實(shí)際設(shè)置時(shí)我們必須將端口劃分到某區(qū)域后才能對其進(jìn)行各個(gè)訪問操作,否則默認(rèn)將阻止對該接口的任何數(shù)據(jù)通訊��。
除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多���,無外乎通過超級(jí)終端下的命令行參數(shù)進(jìn)行配置或者通過WEB管理界面配置��。
三�,軟件的配置與實(shí)施:
下面筆者介紹中小企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)下如何配置防火墻,筆者以H3C的F100防火墻為例進(jìn)行介紹�����,其他廠商的防火墻在配置上與之類似�����,各位讀者舉一反三即可����。我們介紹的是當(dāng)企業(yè)外網(wǎng)IP地址固定并通過光纖連接的具體配置。
首先我們來看看當(dāng)企業(yè)外網(wǎng)出口指定IP時(shí)如何配置防火墻參數(shù)���。我們選擇接口四連接外網(wǎng)�����,接口一連接內(nèi)網(wǎng)���。這里假設(shè)電信提供給我們的外網(wǎng)IP地址為202.10.1.194 255.255.255.0�。
第一步:通過CONSOLE接口以及本機(jī)的超級(jí)終端連接F100防火墻�,執(zhí)行system命令進(jìn)入配置模式��。
第二步:通過firewall packet default permit設(shè)置默認(rèn)的防火墻策略為“容許通過”�����。
第三步:進(jìn)入接口四設(shè)置其IP地址為202.10.1.194�����,命令為
int e0/4
ip add 202.10.1.194 255.255.255.0
第四步:進(jìn)入接口一設(shè)置其IP地址為內(nèi)網(wǎng)地址�����,例如192.168.1.1 255.255.255.0���,命令為
int e0/1
ip add 192.168.1.1 255.255.255.0
第五步:將兩個(gè)接口加入到不同的區(qū)域���,外網(wǎng)接口配置到非信任區(qū)untrust,內(nèi)網(wǎng)接口加入到信任區(qū)trust——
fire zone untrust
add int e0/4
fire zone trust
add int e0/1
第六步:由于防火墻運(yùn)行基本是通過NAT來實(shí)現(xiàn)���,各個(gè)保護(hù)工作也是基于此功能實(shí)現(xiàn)的����,所以我們還需要針對防火墻的NAT信息進(jìn)行設(shè)置,首先添加一個(gè)訪問控制列表——
acl num 2000
rule per source 192.168.0.0 0.0.255.255
rule deny
第七步:接下來將這個(gè)訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用NAT——
int e0/4
nat outbound 2000
第八步:最后添加路由信息����,設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址——
ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 (如圖2)
四,總結(jié):
執(zhí)行save命令保存退出后我們就可以在企業(yè)外網(wǎng)出口指定IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能了����,當(dāng)然防火墻的安全級(jí)別與訪問控制列表以及安全區(qū)域的細(xì)化分不開的,所以在日后維護(hù)過程中我們還需要添加各式各樣的ACL來管理數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則����,將黑客與病毒阻擋在企業(yè)外網(wǎng)大門之外。
|
