Firebox X
规格Edge e系列Core e系列Peak e系列
X10e
X10e-W
X20e
X20e-W
X55e
X55e-W
X550e X750e X1250e X5500e X6500e X8500e X8500e-F
防火墙吞吐量(Mbps) 100 100 100 300+ 750 1,500 2,000 2,300 2,300 2,300 VPN吞吐量(Mbps) 35 35 35 35 50 100 400 600 600 600
并发会话数6,000 8,000 10,000 25,000 75,000 200,000 500,000 750,000 1,000,000 1,000,000 10/100接口 6 6 6 4 8 - - - - -
10/100/1000接口- - - - - 8 8 8 8 4以太/4光纤支持局域网内IP数量15/20 30 无限无限无限无限无限无限无限无限
支持VLAN数量- - - 选项(25)2选项(25)2选项(25)24094 4094 4094 4094
分支机构VPN通道数 5 15 25 45 100 600 750 750 750 750
移动用户VPN通道数1/11 5/25 5/55 5/75 50/100 400 600 600 600 600 SSL VPN通道数31/11 31/25 3551/75 31/300 31/500 31,0004,0006,0006,000
状态检测防火墙技术9999999999
主动预防御保护9999999999
防御DoS/DDoS攻击9999999999
支持深度应用检测9999999999 WAN口链路故障切换选项3选项399999999
多WAN口负载均衡选项3选项399999999
服务器负载均衡- - - 选项2选项2选项29999
支持策略路由选项3选项39选项2选项2选项29999
支持动态路由协议- - - 选项2选项2选项29999
支持流量管理(QoS) 999选项2选项2选项29999
双机热备份- - - 选项2选项2选项29999
网关防毒/入侵防御选项1选项1选项1选项1选项1选项1选项1选项1选项1选项1 Web分类过滤选项1选项1选项1选项1选项1选项1选项1选项1选项1选项1
垃圾邮件拦截选项1选项1选项1选项1选项1选项1选项1选项1选项1选项1 GUI管理方式Web Web Web WSM2WSM2WSM2WSM2WSM2WSM2WSM2
支持syslog服务器9999999999
支持WG日志服务器9999999999
提供免费日志报告9999999999
硬件保修1年1年1年1年1年1年1年1年1年1年LiveSecurity?90天190天190天190天190天190天190天190天190天190天1“1”Firebox X 系列产品均提供一年GAV/IPS、WebBlocker、spamBlocer和LiveSecurity服务捆绑销售包,详情请致电WatchGuard?或当地经销商。
“2”Firebox X Core e系列产品预装Fireware 9.1或以上安全系统;Firebox X Peak e系列产品预装Fireware Pro 9.1或以上安全系统。
“3”Firebox X Edge e系列产品需安装Edge Pro10以支持SSL VPN、多WAN口;Firebox XCore e系列产品需安装Fireware Pro 10以支持SSL VPN。
本文不提供任何明确或暗示的保证。规格如有变动,恕不另行通知。任何将推出的产品、特性或功能将在适当的时候提供。
北京办事处上海办事处
地址:电话:地址:电话:网址:
中国北京市东城区金宝街89号(86) 010.8522.1238 中国上海市淮海中路300号(86) 21.5116.2823 https://www.doczj.com/doc/f812085010.html,
金宝大厦8层传真:香港新世界大厦4715室传真:
邮编:100005 (86) 010. 8522.1798 邮编:200021 (86) 21.5116.2897
目 录
1 了解WatchGuard? 公司 (1)
1.1 公司背景 (1)
1.2 产品简介 (2)
UTM产品优势 (3)
1.3 WatchGuard
2 WatchGuard在电信行业的案例 (6)
2.1 某市电信核心业务系统服务器群保护 (6)
2.2 某省网通BOSS服务器群保护 (7)
2.3 某省网通办公系统VPN网关应用 (9)
2.4 某省网通宽带应用业务系统安全防护 (10)
2.5 某电信增值领域的增值应用 (12)
2.6 某省网通客服系统安全防护 (13)
2.7 某市联通办公及计费网络安全防护 (14)
3 WatchGuard在教育行业的案例 (16)
3.1 某国际学校Internet安全网关应用 (16)
3.2 某市教育城域网接入 (18)
3.3 某外国语学校安全接入 (19)
3.4 某工程学院安全接入 (20)
3.5 某高校图书馆安全接入 (22)
4 WatchGuard在金融行业的案例 (24)
4.1 高效的反垃圾邮件功能保护银行邮件服务器 (24)
4.2 灵活的高级网络功能,满足金融业的要求 (25)
4.3 保护银行业务网数据库系统 (26)
4.4 证券公司关键业务服务器防护 (27)
4.5 某证券公司广域网网关设备部署 (28)
5 WatchGuard在政府的案例 (30)
5.1 某省税务事务所网上报税VPN系统 (30)
5.2 某省国税财税安全网关 (31)
5.3 某省水文局VPN互联 (32)
6 WatchGuard在能源行业的案例 (34)
6.1 保护供电局服务器网络 (34)
7 WatchGuard在零售行业的案例 (36)
7.1 VPN应用为连锁行业提供快捷、廉价的通讯网络 (36)
8 WatchGuard在制造行业的应用案例 (38)
8.1 组建大型VPN网络 (38)
9 WatchGuard其他应用案例 (40)
9.1 保护特殊的服务器或网络 (40)
9.2 关键业务前端的保护 (41)
9.3 某集团VPN网络互联及安全防护 (42)
9.4 某商务楼安全宽带接入 (43)
9.5 某酒店安全网络接入 (45)
10 中国部分行业用户列表 (47)
1 了解WatchGuard? 公司
1.1 公司背景
WatchGuard? 成立于1996年,公司总部位于美国的西雅图,是世界领先的高效率和全系列Internet安全方案供应商,UTM(统一威胁管理)市场占有率全球第一位,防火墙/VPN 市场占有率居全球前五位。在北美、南美、EMEA和亚洲等地设有办事处,全球员工总数约450多名;所销售的产品已超过50万套。
2004年,WatchGuard?公司在中国先后建立了上海、北京办事处。从2004年至今,已经为6000多用户提供超过总计2万台WatchGuard?的UTM产品,在金融保险、制造、交通、通信等行业以及众多的跨国公司和政府单位成功的实施应用。
WatchGuard? 中国大事记
2008年4月,WatchGuard?全球同步发行 Fireware 10.1多国语言安全操作系统;
2008年2月,WatchGuard?全球同步发行 Fireware 10 安全操作系统;
2007年10月,WatchGuard?在中国成立“沃奇卫士研发中心”;
2007年9月,WatchGuard?全球同步发行 Fireware 9.1 安全操作系统;
2007年8月,WatchGuard? 全球同步发行 Edge 8.6 安全操作系统;
2007年8月,WatchGuard? CEO Joe Wang 访华;
2007年4月,WatchGuard?全球同步发行 Fireware 9.0 安全操作系统;
2006年10月,美国著名基金公司Francisco Partners和Vector Capital以1.5亿美元强势注资WatchGuard?;
2005年4月,WatchGuard?公司与上海交通大学合作设立“信息安全奖学金计划”;
2004年7月,WatchGuard?公司与上海交通大学共同建立“WatchGuard——交大信息安全试验室”;
2004年1月,WatchGuard?公司在中国设立北京、上海办事处;
1.2 产品简介
WatchGuard?公司全球首创专用安全系统,在1997年首家将应用层安全技术运用到防火墙系统,并成为全球第一家硬件防火墙的厂商。在2004年全球首创可全面升级的统一威胁管理(UTM)产品。2005年WatchGuard?公司推出了基于全新技术的Fireware Pro操作系统的Firebox Peak高端安全设备,为市场提供了更安全、更全面、更强大的安全设备。
WatchGuard?公司为不同规模
的用户提供全面的UTM解决方案,从
跨国大型企业和远程工作人员,一直
到使用单个宽带连接的家庭办公室。
WatchGuard?公司的分层防御机制
提供了健壮的、可信赖的网络安全方
案,可调节安全防御的深度,以满足
不同规模用户的特殊要求。
适用于大中型高级网络环境。工作环境中用户数量一般在500人以上。他们需要强大而丰富的网络功能;全面的网络安全防御系统;更高的处理性能;良好的操作界面;集中化的管理;可持续的安全服务与技术保障。
Firebox? X 5500e Firebox? X 6500e Firebox? X 8500e Firebox? X 8500e-F
适用于中小型公司和分支机构。工作环境中用户数量一般在60~500人。他们需要全面的安全防御系统;良好的操作界面;灵活的VPN部署;稳定的性能;集中化的管理;可持续的安全服务和技术保障。
Firebox? X 550e Firebox? X 750e Firebox? X 1250e
适用于小型企业、远程办公室和远程SOHO工作人员。工作环境中用户数量一般在5~60人。他们需要简单的管理界面;强大的安全防御功能;快捷的部署;稳定的产品性能;考虑无线网络接入;不需要太多的专业知识即可以使用;可持续的安全服务和技术保障。
Firebox? X 10e Firebox? X 20e Firebox? X 55e
Firebox? X 10e-W Firebox? X 20e-W Firebox? X 55e-W
UTM产品优势
1.3 WatchGuard
安全和受信任的网络——这是当今每个企业从事业务活动时的需要。无论公司的规模、产业或地域如何,它们都需要由拥有卓越服务、支持和可靠的公司提供经过验证及可信任的安全解决方案。这就是为什么他们选择了WatchGuard?。
WatchGuard? 为全球150个国家提供了最为卓越的网络安全解
决方案。我们的Firebox统一威胁管理(UTM)产品系列提供了具有
强大安全性、直观易用性以及专家指导和支持的业内最佳组合。
Firebox在保护您网络的同时,还对您的安全投资进行了保护。当您的需求增长或发生变化时,通过单一的许可文件,您可以轻松地增加Firebox的容量或加入更多的安全功能。为获取更好的防火墙或VPN吞吐量,可将产品升级到同一产品线的更高端型号,而无需进行昂贵的重新购买部署。您也可以通过许可文件轻松地添加所需的扩展功能和特性,包括网关防病毒、入侵防护、Web内容过滤和垃圾邮件拦截等。
灵活的集中式日志数据存储支持多种行业标准格式,包括XML、Syslog和
WebTrends/WELF。日志通过一个加密的通道以安全可靠的形式传输,并且可被实时地查看、过滤和分类。基于HTML的历史报告可用于网络行为分析,而交互的、实时的监视工具使您能够及时地发现问题并为解决网络威胁而采取预防或纠正措施。
更高的安全性
通过WatchGuard? 专利的智能分层安全引擎技术,您获得了无需依赖签名即能针对病毒、蠕虫、间谍软件、特洛伊木马和网络攻击的主动式保护以及最为强大
的安全基础。
智能分层安全引擎技术将防火墙、VPN、网关防毒、入侵防御、网站分类过滤、垃圾邮件拦截等多项技术有机地整合在一起。各模块协同工作,以保护用户网络
的安全运行。
更易于使用
我们直观的图形化界面简化了IT专家的网络安全工作,并提高了他们的工作效率,同时也为新手提供了不可缺少的易用性。通过简易的设置、智能化的默认值
以及向导帮助,您的安全实施提升至以分钟而不是小时为单位运行。
统一直观的图形化管理界面,丰富的图形化日志报告和实时监控功能,使您能实时地关注网络行为和所有设备状态。
高性价比的解决方案
WatchGuard?的解决方案提供了完整的集成式安全服务和能力。我们的网络安全产品价格极具竞争力,同时,简化的部署和管理降低了培训和使用成本。
Firebox产品可按您对性能和安全需求增加而随时升级和扩展。
通过单一的许可文件,可在同一产品线中升级到高端型号或添加诸如Gateway AV/IPS等应用层安全服务,保护了您的业务和安全设备的投资。
强大的安全团队支持
作为网络安全产业的先锋,WatchGuard? 早在1996年已开始部署安全设备。
当您成为WatchGuard? 的合作伙伴时,将有世界级的安全专家团队时刻伴随您
的左右,并致力于使您免受当前和日后的威胁。
我们的目标是在现在和将来保证您业务的安全以及网络的受信任。专业的LiveSecurity? 服务为企业客户的网络安全保驾护航。
2 WatchGuard在电信行业的案例
2.1 某市电信核心业务系统服务器群保护
背景介绍
某市电信业务网服务器系统是运行在全国电信业务网中的重要数据部分,该部分数据涉及到计费、综合业务与客服等多种业务类型,因此数据安全性非常重要。由于电信业务
网的庞大,不可预见性的突发事件可能会导致业务服务器无法正常工作,给电信系统带来
极大的损失。因此市电信信息部门综合安全性、可靠性、可用性、多面性等因素,设计采
用综合安全网关作为业务服务器群前端安全设备。
解决方案
为了保护用户核心业务系统的安全,在业务系统的核心网络处部署了2台X8500e-F,设备前端为该市所有的电信营业厅客户端,后端为该市电信所有的业务系统服务器群。全
市所有的电信营业厅业务均通过实时访问后台服务器进行,这些网络应用均在X8500e-F
的访问控制下进行。
作为重要的内网骨干节点,对设备的性能和可靠性都有非常高的要求,为了满足系统要求,X8500e-F采用了网状冗余拓扑接入系统,同时启用了OSPF动态路由,确保拓扑中出现任一链路、端口、设备故障的情况时,后台服务器群和前端营业厅终端之间仍可正常通信!
实施效果
?Firebox设备作为OSPF网络的一个节点,具有路由学习速度快,包转发效率高等特点;
?严格实施的访问控制,可以确保业务服务器不需要对外开放的端口得到很好的屏蔽;
?限定源IP地址对内部Web服务器资源的有限访问,即根据源IP地址定义,实施URL访问控制,使得特定源IP地址只可以访问Web服务器的上的特定URL,提
高了安全性;
?启用日志及报告系统,管理员可以了解到每天服务器访问量及特定时间段的通讯量;
?启用IPS功能保护内部业务服务器的应用层安全;
2.2 某省网通BOSS服务器群保护
背景介绍
综合业务和运营支撑系统(以下简称BOSS系统)是以客户服务、业务运营和管理为核心,以关键性事务操作(客户服务和计费为重点)作为系统的主要功能,为网络运营商提供一个综合的业务运营和管理平台和全面的解决方案。
XX省网通的BOSS系统作为核心业务系统,负责完成全省的计费、结算、帐务、业务及客服等业务功能,系统内部署有计费系统、结算系统、营业帐务系统、客户服务系统等大量、复杂的业务系统。服务器区作为整个BOSS系统的核心区域,负责处理、存储大量业务数据,同时肩负着实时、安全的对外提供应用服务的工作。
解决方案
安全是部署所有系统应用和实施优质服务的前提和保障,对于XX省网通BOSS系统这样一个密切关系到企业生存基础的系统,其安全的重要性是可想而知。
为了保护BOSS系统服务器区的安全,该网通信息化部设计了如下防火墙部署方案。
实施效果
?Firebox配置为Drop-in(透明模式),部署在两大服务器区出口处,不影响现有网络拓扑和IP地址规划;
?严格实施的访问控制,确保业务服务器只对特定访问来源开放特定服务端口,隐藏内部应用信息;
?Firebox采用Proxy防火墙技术,在提供网络层安全访问控制的同时,高效实现应用层协议的过滤分析,有效保护内部应用服务安全,大幅度提高了安全防护等级;
?内置图形化活动连接及流量分析工具,实时监控、排查网络应用情况,方便系统管理人员有效管理系统运行;
2.3 某省网通办公系统VPN网关应用
背景介绍
某省网通在省公司部署了大量重要的办公业务系统,通过Internet为全省员工提供多种办公应用、数据查询等服务。为了满足远程办公的安全需要,省网通计划部署基于IPSec
的VPN接入系统,在省公司部署集成VPN功能的UTM设备,在各地市部署专用的IPSec VPN客户端软件,各地市办公用户通过VPN拨号,建立VPN隧道,安全访问总部办公业
务系统资源。
经过严格的测试对比,WatchGuard X5500e凭借集中式的图形化VPN配置、管理,全面的VPN访问控制能力,实时的网络访问监控界面,被省网通选为全省移动办公的VPN
接入网关。
解决方案
X5500e集成IPSec VPN的同时,提供了强大的VPN安全访问控制策略,可以针对不同身份的VPN访问用户,设置不同的访问策略,控制用户的访问网络资源。并可根据实际
需要扩展GAV、IPS、垃圾邮件过滤、Web访问控制等多种应用层安全防护功能。
X5500e提供了非常便捷的VPN客户端配置功能,管理员在中心点即可轻松完成客户端配置文件的生成、更新。另外,Firebox X5500e随机附带的WSM管理软件提供了丰富
的图形化监控界面,可以实时有效的监控VPN系统工作情况,VPN用户的连接和应用使用
情况,大大简化了VPN系统的部署和安全管理工作。
实施效果
?为全省移动用户提供了良好的IPSec VPN接入能力;
?简单的移动用户VPN管理配置方式,大大减少了对远端VPN客户端软件的维护量;
?可以严格控制对内部资源的访问;
?启用日志系统,可以清晰记录每位VPN用户的登录时间及访问内容;
2.4 某省网通宽带应用业务系统安全防护
背景介绍
网通“宽视界”视频监控系统是基于宽带网络,为用户提供视频、图像、声音和各种报警信号远程采集、传输、查看、储存、处理的一种全新电信增值业务,通过一个功能完
善的远程网络监控中心服务平台,以集中式分区化运营方式,为用户提供便捷、经济、有
效的远程监控整体解决方案。
为了确保系统中大量后台应用服务器系统的安全,网通要求所选用的安全网关设备具有完整、高效的应用层检测能力,既可以实现传统防火墙基于IP、端口的访问控制,又具
有检测、分析应用层数据的能力,如:控制FTP命令,控制HTTP协议传输的数据类型和
所用命令、格式等。
通过选型对比,省网通最终选用了具有完整应用层检测能力,基于Proxy防火墙核心的WatchGuard UTM产品实施本次安全项目。传统防火墙只能提供基于IP和端口的访问控制,而WatchGuard独有的Proxy技术,则将访问控制和安全检测的范围扩展到了应用层。
解决方案
在WatchGuard UTM集成的协议异常检测、模式匹配、行为分析等技术保护下,系统中大量基于B/S架构的应用和数据安全得到了有效保护。系统部署示意拓扑图如下:
实施效果
?Proxy技术很好地控制了应用协议的通讯;有效地保护了内部Web、FTP等服务器的应用层安全;
?高效地处理能力,合理的UTM技术设计,使得开启了应用层安全检测后也没有影响业务通讯质量;
2.5 某电信增值领域的增值应用
安全增值接入是电信正在推广的一项新增值业务,主要面向中小企业。这些中小型企业用户往往在IT管理上比较薄弱,希望依靠可靠的、有实力的服务提供商来保证其网络运行的稳定。因此,电信向中小企业用户销售其宽带业务的同时,捆绑销售内容安全服务。
作为运行服务商,不单单提供Internet的接入服务,还为用户提供内容安全服务。比如提供如下服务套餐供用户选择:
基本服务 A 防火墙
基本服务 B 实时杀毒
基本服务 C 垃圾邮件过滤
基本服务 D 互联网内容过滤
套餐 A+B 防火墙 + 实时杀毒
套餐 A+C 防火墙 + 垃圾邮件过滤
套餐 A+D 防火墙 + 互联网内容过滤
套餐 A+B+C 防火墙 + 实时杀毒 + 垃圾邮件过滤
套餐 A+B+D 防火墙 + 实时杀毒 + 互联网内容过滤
套餐 A+B+C+D 防火墙 + 实时杀毒 + 垃圾邮件过滤 + 互联网内容过滤
用户只需要购买宽带接入服务和相关的内容安全套餐服务就可以,而无须再次购买网关设备,比如防火墙或UTM。对于这些安全网关设备的管理都全部由电信运营商负责。
WatchGuard UTM经过严格的入围选型评测,成为中国电信安全增值接入业务入围品牌,XXX省电信安全增值业务指定品牌!我们和XXX省电信已经签订了正式的采购协议,在全省各地市推广此增值业务和WatchGuard UTM产品。
2.6 某省网通客服系统安全防护
省网通为满足快速发展的业务需求,对现有的客服系统进行了升级。为了保护新客服系统业务服务器群的安全,选用了1台WatchGuard X2500 UTM,配置为NAT模式,部署
在客服服务器群前端,大量坐席通过X1250e完成对应用服务器群的实时访问。
系统中的应用服务器数量和种类较多,包括Web、Oracle数据库、多媒体等多种应用类型。为了保护应用服务器安全,X1250e启用了应用层检测,利用内置的攻击检测及防范
功能,实时检测、过滤系统用户对服务器群的访问。
部署拓扑示意如下:
利用X1250e提供实时流量、实时连接等直观、实用的监控工具,结合身份认证技术和WatchGuard免费提供的日志及自动网络活动报表功能,记录及统计业务系统访问情况。
系统管理人员可以随时了解到各业务系统的网络访问情况,发现可疑连接可以实时切断,
大大增强了服务器系统的安全管理等级。
2.7 某市联通办公及计费网络安全防护
某市联通为了实现内部办公网络和计费网络之间的安全隔离和访问控制,加强计费网和办公网网络故障及安全问题的分析、响应能力,选择了1台WatchGuard X6500e UTM
实施了如下图所示的项目。
通过WatchGuard X6500e UTM提供的独特的Proxy技术,实现了应用层的安全隔离和访问控制,更加有效的保护了计费网的系统安全。
另外WatchGuard UTM集成图形化的实时连接及实时日志监控工具,直观、有效的定位的网络异常和网络安全问题,为联通网络管理人员提供了实用、高效的安全管理手段。
3 WatchGuard在教育行业的案例
3.1 某国际学校Internet安全网关应用
背景介绍
德而威治学校于1619年建校至今已有近400年历史,由英国著名艺术家和企业家爱德华·艾伦创建,地处伦敦南部,离泰晤河6英里。为促进中英文化交流,德而威治学校于
2002年在上海开办了第一所位于中国的国际学校。目前已经招收学生900余人。于2005
年,在北京开办了第二所国际学校,目前招收学生400余人。
德而威治国际学校的校园局域网络分为三部分。第一部分为对外提供交流的web、mail 服务器;第二部分为教师使用的办公网络;第三部分为供
学生使用的学生网络。德而威治国际学校在英国总部使用
的是WatchGuard设备,因此其IT主管Sam Roche先生
对WatchGuard设备的稳定性,安全性,易管理性给予了
很高的评价,并要求中国校区依然采购WatchGuard的产
品。
解决方案
在中国,德而威治国际学校已经建立了北京2个校区,上海1个校区共3个独立局域网络。这3个局域网络通过WathcGuard设备组建VPN网络互联。在网络中实施了Microsoft Windows Active Directory认证管理,要求所有网络用户必须通过AD进行认证后,才可以
使用网络资源,包括共享文件、网络打印设备、Internet资源等。主AD位于北京的1个校
区,其余校区设立从AD,通过VPN进行AD间的数据交换。
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
虚拟化防火墙安装使用指南 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 :+86 传真:+87 服务热线:+8119 https://www.doczj.com/doc/f812085010.html,
版权声明本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印?2013天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC?天融信公司 信息反馈 https://www.doczj.com/doc/f812085010.html,
目录 1前言 (1) 1.1文档目的 (1) 1.2读者对象 (1) 1.3约定 (1) 1.4技术服务体系 (2) 2虚拟化防火墙简介 (3) 3安装 (4) 3.1OVF模板部署方式 (4) 3.2ISO镜像安装方式 (11) 3.2.1上传vFW ISO文件 (11) 3.2.2创建vFW虚拟机 (13) 3.2.3安装vTOS操作系统 (22) 4TOPPOLICY管理虚拟化防火墙 (28) 4.1安装T OP P OLICY (28) 4.2管理虚拟化防火墙 (29) 5配置案例 (33) 5.1虚拟机与外网通信的防护 (33) 5.1.1基本需求 (33) 5.1.2配置要点 (33) 5.1.3配置步骤 (34) 5.1.4注意事项 (46) 5.2虚拟机之间通信的防护 (47) 5.2.1基本需求 (47) 5.2.2配置要点 (47) 5.2.3配置步骤 (48) 5.2.4注意事项 (57) 附录A重新安装虚拟化防火墙 (58)
C防火墙配置实例Prepared on 21 November 2021
本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 3、防火墙的配置脚本如下
rule1000denyip aclnumber3002 descriptioninside-to-outside rule1000denyip # interfaceAux0 asyncmodeflow # interfaceEthernet0/0 shutdown # interfaceEthernet0/1 shutdown # interfaceEthernet0/2 speed100 duplexfull descriptiontoserver firewallpacket-filter3002inbound firewallaspf1outbound # interfaceEthernet0/3 shutdown # interfaceEthernet1/0 shutdown # interfaceEthernet1/1 shutdown # interfaceEthernet1/2 speed100 duplexfull descriptiontointernet firewallpacket-filter3001inbound firewallaspf1outbound natoutboundstatic # interfaceNULL0 # firewallzonelocal setpriority100 # firewallzonetrust addinterfaceEthernet0/2 setpriority85
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
SecBlade防火墙插卡配置管理典型配置举例 关键词:配置管理,备份 摘要:配置管理模块主要用于对SecBlade防火墙插卡进行配置保存(加密和非加密)、备份、配置恢复和恢复出厂配置,用户可以在web页面方便地对设备的配置进行维护和管理。 缩略语: 缩略语英文全名中文解释 - - -
目录 1 特性简介 (3) 2 应用场合 (3) 3 注意事项 (3) 4 配置举例 (3) 4.1 组网需求 (3) 4.2 配置思路 (3) 4.3 使用版本 (4) 4.4 配置步骤 (4) 4.4.1 基本配置 (4) 4.4.2 配置管理 (4) 4.5 验证结果 (6) 4.5.1 配置保存 (6) 4.5.2 配置备份 (7) 4.5.3 配置恢复 (7) 4.5.4 恢复出厂配置 (7) 4.5.5 软件升级 (7) 4.5.6 设备重启 (7)
1 特性简介 配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。 配置保存可以加密保存配置,如果将配置信息备份下来,打开文件查看时,看到的是密文显示。 在此页面可以对当前的配置信息进行配置备份和备份恢复。软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。 2 应用场合 用于设备的日常维护,当配置修改后,可以保存配置以免设备断电配置信息丢失。也可以将配置信息备份下来,用于日后的配置恢复。如果想清空配置信息时,可以恢复出厂配置。 3 注意事项 (1) 软件升级时,尽量在流量少的时候操作,以免影响用户正常使用。 (2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。 4 配置举例 4.1 组网需求 本配置举例中,设备使用的是Secblade II防火墙插卡。本典型配置举例同样适合Secblade LB插卡。 图1配置管理组网图 4.2 配置思路 GE0/1所在的局域网(内网)接口配置地址为192.168.252.98/22,加入ManageMent域,使GE0/1成为管理口。
启用ASA和PIX上的虚拟防火墙 前言 有鉴于许多读者纷纷来信与Ben讨论防火墙的相关设定,并希望能够针对近两年防火墙的两大新兴功能:虚拟防火墙(Virtual Firewall or Security Contexts) 以及通透式防火墙(Transparent or Layer 2 Firewall) ,多做一点介绍以及设定上的解说,是以Ben特别在本期以Cisco的ASA,实做一些业界上相当有用的功能,提供给各位工程师及资讯主管们,对于防火墙的另一种认识。 再者,近几期的网管人大幅报导资讯安全UTM方面的观念,显示网路安全的需要与日遽增,Cisco ASA 5500为一个超完全的UTM,这也是为什么Ben选择ASA,来详细的介绍UTM的整体观念。 本技术文件实验所需的设备清单如下: 1Cisco PIX防火墙或是ASA (Adaptive Security Appliance) 网路安全整合防御设备。 本技术文件实验所需的软体及核心清单如下: 2Cisco PIX或是ASA 5500系列,韧体版本7.21,管理软体ASDM 5.21。 3Cisco 3524 交换器。 本技术文件读者所需基本知识如下: 4VLAN协定802.1Q。 5路由以及防火墙的基础知识。 6Cisco IOS 基础操作技术。 什么是虚拟防火墙跟通透式防火墙 虚拟防火墙(Virtual Firewall or Security Contexts):
就一般大众使用者而言,通常买了一个防火墙就只能以一台来使用,当另外一个状况或是环境需要防火墙的保护时,就需要另外一台实体的防火墙;如此,当我们需要5台防火墙的时候,就需要购买5台防火墙;虚拟防火墙的功能让一台实体防火墙,可以虚拟成为数个防火墙,每个虚拟防火墙就犹如一台实体的防火墙,这解决了企业在部署大量防火墙上的困难,并使得操作及监控上更为简便。 通透式防火墙(Transparent or Layer 2 Firewall): 一般的防火墙最少有两个以上的介面,在每个介面上,我们必须指定IP位址以便让防火墙正常运作,封包到达一个介面经由防火墙路由到另一个介面,这种状况下,防火墙是处在路由模式(Routed mode);试想,在服务提供商(Internet Service Provider) 的环境中,至少有成千上万的路由器组成的大型网路,如果我们要部署数十个以上的防火墙,对于整体网路的IP位址架构,将会有相当大的改变,不仅容易造成设定路由的巨大麻烦,也有可能会出现路由回圈,部署将会旷日费时,且极容易出错。 举例来说,如果有两个路由器A及B,我们想在A跟B之间部署路由模式的防火墙,必须重新设计路由器介面的IP位址,以配合防火墙的IP位址,另外,如果路由器之间有跑路由通讯协定(ie. RIP、OSPF、BGP等),防火墙也必须支援这些通讯协定才行,因此相当的麻烦;通透式防火墙无须在其介面上设定IP 位址,其部署方式就犹如部署交换器一样,我们只需直接把通透式防火墙部署于路由器之间即可,完全不需要烦恼IP位址的问题,因此,提供此类功能的防火墙,亦可称为第二层防火墙。 一般而言,高级的防火墙(Cisco、Juniper等)都支援这些功能;就Cisco的ASA 或是PIX而言(版本7.0以上),都已支援虚拟防火墙以及通透式防火墙这两个功能。 如何设定虚拟防火墙(Security Contexts) 在Cisco的防火墙中,有些专有名词必须先让读者了解,以便继续以下的实验及内容。 专有名词解释 Context ASA/PIX在虚拟防火墙的模式下,每一个虚拟防火墙就可以称为一个context。
DPtech FW1000系列应用防火墙 典型配置 手册版本:v3.2 软件版本:FW1000-S211C011D001P15 发布时间:2018-12-07
声明 Copyright ? 2008-2018杭州迪普科技股份有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 为杭州迪普科技股份有限公司的商标。 对于本手册中出现的其他所有商标或注册商标,由各自的所有人拥有。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技股份有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技股份有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技股份有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。 杭州迪普科技股份有限公司 地址:杭州市滨江区通和路68号中财大厦6层 邮编:310051 网址:https://www.doczj.com/doc/f812085010.html, 技术论坛:https://www.doczj.com/doc/f812085010.html, 7x24小时技术服务热线:400-6100-598
约定图形界面格式约定 各类标志约定 表示操作中必须注意的信息,如果忽视这类信息,可能导致数据丢失、功能失效、设备损坏或不可预知的结果。 表示对操作内容的描述进行强调和补充。
目录 1产品介绍 ........................................................................................................................................... 1-1 1.1产品概述.................................................................................................................................. 1-1 1.2产品特点.................................................................................................................................. 1-1 2设备基本配置维护案例...................................................................................................................... 2-1 2.1登陆防火墙设备Web界面....................................................................................................... 2-1 2.1.1组网说明........................................................................................................................ 2-1 2.1.2配置前提........................................................................................................................ 2-1 2.1.3注意事项........................................................................................................................ 2-1 2.1.4配置思路........................................................................................................................ 2-2 2.1.5配置步骤........................................................................................................................ 2-2 2.1.6结果验证........................................................................................................................ 2-3 2.2 Telnet/SSH远程管理防火墙..................................................................................................... 2-4 2.2.1组网说明........................................................................................................................ 2-4 2.2.2配置前提........................................................................................................................ 2-5 2.2.3注意事项........................................................................................................................ 2-5 2.2.4配置思路........................................................................................................................ 2-5 2.2.5配置步骤........................................................................................................................ 2-5 2.2.6结果验证........................................................................................................................ 2-6 2.3限制特定IP/特定协议管理防火墙 ............................................................................................ 2-7 2.3.1组网说明........................................................................................................................ 2-7 2.3.2配置前提........................................................................................................................ 2-7 2.3.3注意事项........................................................................................................................ 2-7 2.3.4配置思路........................................................................................................................ 2-7 2.3.5配置步骤........................................................................................................................ 2-8 2.3.6结果验证........................................................................................................................ 2-9 2.4保存/下载/导入防火墙配置文件.............................................................................................. 2-10 2.4.1组网说明...................................................................................................................... 2-10 2.4.2配置前提...................................................................................................................... 2-10 2.4.3注意事项...................................................................................................................... 2-10 2.4.4配置思路...................................................................................................................... 2-10 2.4.5配置步骤....................................................................................................................... 2-11 2.4.6结果验证...................................................................................................................... 2-13 2.5 Web页面升级防火墙软件版本 ............................................................................................... 2-13
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为 防火墙访问IP为,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。 别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为 ‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I 区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访 问。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口
内网: 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网: 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ: [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4.1 Trust和Untrust域间:允许内网用户访问公网 policy 1:允许源地址为10.10.10.0/24的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令:
图1 使用虚拟防火墙进行业务灵活扩展 在传统数据中心方案中,业务服务器与防火墙基本上是一对一配比。因此,当业务增加时,用户需要购置新的防火墙;而当业务减少时,对应的防火墙就闲置下来,导致投资浪费。虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资,用户可以随时根据业务增减相应的虚拟防火墙。同时,通过使用虚拟防火墙的CPU 资源虚拟化技术,数据中心还可以为客户定量出租虚拟防火墙,例如,可以向某些客户出租10M 吞吐量的虚拟防火墙,而向另一些客户出租100M 吞吐量的虚拟防火墙。
Hillstone 虚拟防火墙功能简介 Hillstone 的虚拟防火墙功能简称为VSYS ,能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现防火墙的大部分功能。每个虚拟防火墙系统之间相互独立,不可直接相互通信。不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同,支持License 控制的VSYS 个数的扩展。 数据中心业务类型多种多样,需要使用的防火墙策略也不同。例如,DNS 服务器需要进行DNS Query Flood 攻击防护,而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。虚拟防火墙的划分能够实现不同业务的专属防护策略配置。同时,CPU 资源虚拟化可隔离虚拟防火墙之间的故障,当单个虚拟防火墙受到攻击或资源耗尽时,其它虚拟防火墙不会受到影响,这样就大大提升了各业务的综合可用性。 图2 使用虚拟防火墙进行业务隔离 Hillstone 虚拟防火墙功能包含以下特性: ■ 每个VSYS 拥有独立的管理员 ■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■ 每个VSYS 拥有独立的日志 1.2 业务隔离,互不影响
精心整理本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 3、防火墙的配置脚本如下
descriptionout-inside rule1000denyip aclnumber3002 descriptioninside-to-outside rule1000denyip # interfaceAux0 asyncmodeflow # interfaceEthernet0/0 shutdown # interfaceEthernet0/1 shutdown # interfaceEthernet0/2 speed100 duplexfull descriptiontoserver firewallpacket-filter3002inbound firewallaspf1outbound # interfaceEthernet0/3 shutdown # interfaceEthernet1/0 shutdown # interfaceEthernet1/1 shutdown # interfaceEthernet1/2 speed100 duplexfull descriptiontointernet firewallpacket-filter3001inbound firewallaspf1outbound natoutboundstatic # interfaceNULL0 # firewallzonelocal setpriority100 # firewallzonetrust
思科PIX防火墙简单配置实例 在本期应用指南中,管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。 假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说,这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后,这个设置就很容易了。下面,让我们看看如何进行设置。 基础 思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中,我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。 PIX防火墙有内部和外部接口的概念。内部接口是内部的,通常是专用的网络。外部接口是外部的,通常是公共的网络。你要设法保护内部网络不受外部网络的影响。 PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。 下面是显示“nameif”命令的输出情况: pixfirewall# show nameif nameif ethernet0 outside security0 nameif ethernet1 inside security100 pixfirewall# 请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。 指南 在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是: ·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。 ·内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。