下载文档原格式
网络防火墙的基础设置与配置步骤在当今数字化时代,网络安全问题备受关注。
为了确保网络安全,防火墙成为了必不可少的一环。
防火墙作为网络的守护者,通过过滤、监控和控制网络流量,保护网络免受恶意攻击。
在使用防火墙之前,我们需要进行基础设置与配置,以确保其正常运行。
本文将介绍网络防火墙的基础设置与配置步骤。
1. 了解网络环境在配置网络防火墙之前,我们首先需要对网络环境进行全面了解。
了解网络的拓扑结构、IP地址分配、设备连接以及网络流量状况等信息,可以帮助我们更好地配置防火墙规则,提高网络安全性。
2. 确定防火墙的位置防火墙的位置非常重要,它应该被放置在内部网络和外部网络之间的交界处,成为内外网络之间的守门人。
通过防火墙,我们可以监控和控制网络流量,避免未经授权的访问。
3. 定义安全策略安全策略是网络防火墙的核心部分,它规定了允许或拒绝特定类型的流量通过防火墙。
在定义安全策略时,我们需要根据企业或个人的需求,制定相应的规则。
这包括确定允许访问的IP地址范围、端口号、协议类型等,以及禁止一些具有潜在风险的网络流量。
4. 配置访问控制列表(ACL)访问控制列表(ACL)是防火墙配置中常用的工具,用于过滤和控制网络流量。
在配置ACL时,我们需要根据安全策略,设定允许或拒绝特定IP地址或地址范围的访问权限。
此外,还可以根据需要设置不同的ACL规则,以提供更灵活的网络访问控制。
5. 考虑VPN连接对于具有分支机构或远程工作人员的企业来说,虚拟私有网络(VPN)连接是非常重要的。
它可以确保从外部网络访问内部网络的通信是安全和加密的。
因此,在配置防火墙时,我们还应该考虑设置VPN 连接,以加强企业网络的安全性。
6. 更新和维护配置完网络防火墙后,我们不能掉以轻心。
定期更新和维护防火墙是至关重要的,以确保其正常运行和适应新的安全威胁。
我们应该及时安装防火墙软件的更新补丁,定期检查防火墙日志,紧密关注网络活动并及时应对异常情况。
防⽕墙三种部署模式及基本配置防⽕墙三种部署模式及基本配置Juniper防⽕墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:①基于TCP/IP协议三层的NAT模式;②基于TCP/IP协议三层的路由模式;③基于⼆层协议的透明模式。
2.1、NAT模式当Juniper防⽕墙⼊⼝接⼝(“内⽹端⼝”)处于NAT模式时,防⽕墙将通往Untrust 区(外⽹或者公⽹)的IP 数据包包头中的两个组件进⾏转换:源 IP 地址和源端⼝号。
防⽕墙使⽤ Untrust 区(外⽹或者公⽹)接⼝的 IP 地址替换始发端主机的源IP 地址;同时使⽤由防⽕墙⽣成的任意端⼝号替换源端⼝号。
NAT模式应⽤的环境特征:①注册IP地址(公⽹IP地址)的数量不⾜;②内部⽹络使⽤⼤量的⾮注册IP地址(私⽹IP地址)需要合法访问Internet;③内部⽹络中有需要外显并对外提供服务的服务器。
2.2、Route-路由模式当Juniper防⽕墙接⼝配置为路由模式时,防⽕墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端⼝号保持不变。
①与NAT模式下不同,防⽕墙接⼝都处于路由模式时,不需要为了允许⼊站数据流到达某个主机⽽建⽴映射 IP (MIP) 和虚拟IP (VIP) 地址;②与透明模式下不同,当防⽕墙接⼝都处于路由模式时,其所有接⼝都处于不同的⼦⽹中。
路由模式应⽤的环境特征:①注册IP(公⽹IP地址)的数量较多;②⾮注册IP地址(私⽹IP地址)的数量与注册IP地址(公⽹IP地址)的数量相当;③防⽕墙完全在内⽹中部署应⽤。
2.3、透明模式当Juniper防⽕墙接⼝处于“透明”模式时,防⽕墙将过滤通过的IP数据包,但不会修改 IP数据包包头中的任何信息。
防⽕墙的作⽤更像是处于同⼀VLAN 的2 层交换机或者桥接器,防⽕墙对于⽤户来说是透明的。
透明模式是⼀种保护内部⽹络从不可信源接收信息流的⽅便⼿段。
第1章防火墙配置1.1 防火墙简介防火墙一方面阻止来自因特网的对受保护网络的未授权的访问,另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。
应用:1)作为一个访问网络的权限控制关口,如允许组织内的特定的主机可以访问外网。
2)在组织网络内部保护大型机和重要的资源(如数据)。
对受保护数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据,也要经过防火墙。
类型:目前设备中的防火墙主要是指基于访问控制列表(ACL)的包过滤(以下简称ACL/包过滤)、基于应用层状态的包过滤(以下简称状态防火墙ASPF,Application Specific Packet Filter)和地址转换。
1.1.1 ACL/包过滤防火墙简介ACL/包过滤应用在设备中,为设备增加了对数据包的过滤功能。
工作过程:对设备需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等,然后和设定的ACL(访问控制列表)规则进行比较,根据比较的结果决定对数据包进行相应的处理。
1.2 包过滤防火墙配置1.启用防火墙功能进入系统视图system-view启用防火墙功能firewall enable2.配置防火墙的缺省过滤方式防火墙的缺省过滤方式,即在没有一个合适的规则去判定用户数据包是否可以通过的时候,防火墙采取的策略是允许还是禁止该数据包通过。
在防火墙开启时,缺省过滤方式为“允许”进入系统视图system-view设置缺省过滤方式为“允许”或“禁止”firewall default { permit | deny }3.配置访问控制列表4.在接口上应用访问控制列表进入对应接口视图interface interface-type interface-number 配置接口的出/入方向报文过滤,并设置所使用的访问控制列表号firewall packet-filter acl-number{ inbound | outbound }1.3 ACL1.3.1 ACL分类根据应用目的,可将IPv4 ACL分为四种类型:●基本ACL(ACL序号为2000~2999):只根据报文的源IP地址信息制定规则。
华为防火墙配置使用手册摘要:1.防火墙概述2.华为防火墙的基本配置3.华为防火墙的IP 地址编址4.访问控制列表(ACL)的配置5.应用控制协议的配置6.防火墙的Web 配置界面7.实战配置案例正文:一、防火墙概述防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。
防火墙是系统的第一道防线,其作用是防止非法用户的进入。
二、华为防火墙的基本配置1.配置管理IP 地址在华为防火墙上配置管理IP 地址,用于远程管理防火墙设备。
2.配置设备名称为防火墙设备设置一个易于识别的名称,方便管理员进行管理。
三、华为防火墙的IP 地址编址1.配置接口IP 地址为防火墙的各个接口分配IP 地址,以便与其他网络设备进行通信。
2.配置路由协议在防火墙上配置路由协议,以便与其他网络设备进行路由信息交换。
四、访问控制列表(ACL)的配置1.创建访问控制列表根据需要创建访问控制列表,用于控制数据包的进出。
2.添加规则到访问控制列表在访问控制列表中添加规则,用于允许或拒绝特定网段的IP 流量应用到端口。
五、应用控制协议的配置1.启用应用控制协议在防火墙上启用应用控制协议,如FTP、DNS、ICMP 和NETBIOS 等。
2.配置应用控制协议参数根据需要配置应用控制协议的参数,以满足特定应用的需求。
六、防火墙的Web 配置界面1.登录Web 配置界面使用默认的管理IP 地址和用户名登录华为防火墙的Web 配置界面。
2.修改默认密码为了安全起见,建议修改防火墙的默认密码。
七、实战配置案例1.配置NAT 地址转换在华为防火墙上配置NAT 地址转换,以实现内部网络与外部网络之间的通信。
2.配置FTP 应用控制协议在华为防火墙上配置FTP 应用控制协议,以允许外部用户通过FTP 访问内部网络的文件服务器。
防火墙的基本配置与管理
引言
防火墙是网络安全的重要组成部分,它可以在网络上创建一个安全的屏障,保护网络设施免受未经授权的访问和攻击。
本文将介绍防火墙的基本配置和管理。
防火墙的类型
1. 软件防火墙:基于软件的防火墙,通常安装在计算机上,能够监控进出计算机的所有网络连接。
2. 硬件防火墙:硬件防火墙是一个独立的设备,通常安装在公司或组织的网络边缘,能够检查所有网络流量并筛选出潜在的网络攻击。
防火墙的配置与管理
1. 确定网络安全策略:在配置防火墙之前,需要明确网络安全策略,明确允许哪些服务或流量通过防火墙。
2. 规划防火墙规则:防火墙规则是指可以通过防火墙的网络流量筛选规则和策略,需要明确允许哪些流量、禁止哪些流量,以及如何响应安全事件等方面的细节。
3. 监控日志:定期监控防火墙日志,以便发现和处理潜在的安全威胁。
防火墙的最佳实践
1. 限制入站和出站流量:阻止所有不必要的流量进入网络,防止内部计算机与不受信任的网络连接。
2. 升级和维护防火墙:定期升级防火墙并及时修复漏洞,以保证其安全性和正确性。
3. 获取报告:防火墙应具有生成报告功能,以便及时了解网络流量和安全事件。
结论
无论是软件防火墙还是硬件防火墙,都是保护公司或组织网络安全的重要设备。
在配置和管理防火墙时,需要遵循最佳实践,限制不必要的流量并监控日志。
这将帮助我们建立一个更加健康和安全的网络环境。
1.连接eth0口登陆方式https://192.168.0.250用户名:admin 密码venus.fw2、登陆后可在【系统管理】>【状态】查看防火墙的序列号、主机名称:GSJC -CA-FW 运行时间等信息。
点击编辑可对主机名进行修改。
3.接口配置工作使用eth1 eth2 eth3 三个接口,其中eth0作为应急管理接口。
服务器接口_eth1 IP :192.168.1.1/24 服务器地址为:192.168.1.101/192.168.2.101 工作区接口_eth2 IP:192.168.2.1/24外网接口_eth3 IP: 10.88.247.244管理_eth0 IP:192.168.0.250 (应急使用)4.默认网关默认网关为:10.88.247.2545.NAT地址映射1)地址池建立NAT 映射池对外映射的地址为10.88.247.243 10.88.247.246以备使用. 2)一一对应地址映射定义10.88.247.243对应内部地址为192.168.1.101数据流入口为外网接口eth3 定义10.88.247.246对应内部地址为192.168.2.101数据流入口为外网接口eth3 6.自定义服务定义名称为AQS服务开TCP 8080、8808、6643 、22 、8809、50443 UDP6443、3000 端口以及ICMP 8 用来测试定义名称为UMS服务开TCP 8000-8002 8123-8125 8802 22 端口7、定义服务组定义AQS_Service 服务组将ping加入以便测试8.定义地址节点9.定义安全策略安全策略说明:●允许192.168.1.101 服务器访问外网任意地址●允许192.168.2.101 服务器访问192.168.1.101服务器●允许来自外网任意地址访问192.168.1.101服务器的AQS_Service 所定义的端口●允许来自外网任意地址访问192.168.1.101服务器的UMS_Service 所定义的端口●允许192.168.1.101服务器访问192.168.2.101服务器●允许192.168.2.101/24网络访问外网任意地址10.开启防攻击功能11.日志查看。
防⽕墙配置中必备的六个主要命令防⽕墙的基本功能,是通过六个命令来完成的。
⼀般情况下,除⾮有特殊的安全需求,这个六个命令基本上可以搞定防⽕墙的配置。
下⾯笔者就结合CISCO的防⽕墙,来谈谈防⽕墙的基本配置,希望能够给⼤家⼀点参考。
第⼀个命令:interfaceInterface是防⽕墙配置中最基本的命令之⼀,他主要的功能就是开启关闭接⼝、配置接⼝的速度、对接⼝进⾏命名等等。
在买来防⽕墙的时候,防⽕墙的各个端都都是关闭的,所以,防⽕墙买来后,若不进⾏任何的配置,防⽌在企业的⽹络上,则防⽕墙根本⽆法⼯作,⽽且,还会导致企业⽹络不同。
1、配置接⼝速度在防⽕墙中,配置接⼝速度的⽅法有两种,⼀种是⼿⼯配置,另外⼀种是⾃动配置。
⼿⼯配置就是需要⽤户⼿⼯的指定防⽕墙接⼝的通信速度;⽽⾃动配置的话,则是指防⽕墙接⼝会⾃动根据所连接的设备,来决定所需要的通信速度。
如:interface ethernet0 auto --为接⼝配置“⾃动设置连接速度”Interface ethernet2 100ful --为接⼝2⼿⼯指定连接速度,100MBIT/S。
这⾥,参数ethernet0或者etnernet2则表⽰防⽕墙的接⼝,⽽后⾯的参数表⽰具体的速度。
笔者建议在配置接⼝速度的时候,要注意两个问题。
⼀是若采⽤⼿⼯指定接⼝速度的话,则指定的速度必须跟他所连接的设备的速度相同,否则的话,会出现⼀些意外的错误。
如在防⽕墙上,若连接了⼀个交换机的话,则交换机的端⼝速度必须跟防⽕墙这⾥设置的速度相匹配。
⼆是虽然防⽕墙提供了⾃动设置接⼝速度的功能,不过,在实际⼯作中,作者还是不建议⼤家采⽤这个功能。
因为这个⾃动配置接⼝速度,会影响防⽕墙的性能。
⽽且,其有时候也会判断失误,给⽹络造成通信故障。
所以,在⼀般情况下,⽆论是笔者,还是思科的官⽅资料,都建议⼤家采⽤⼿⼯配置接⼝速度。
2、关闭与开启接⼝防⽕墙上有多个接⼝,为了安全起见,打开的接⼝不⽤的话,则需要及时的进⾏关闭。
华为防火墙配置使用手册抱歉,由于版权问题,我无法提供2000字的华为防火墙配置使用手册。
我可以帮你支持你写一些基本的配置和使用手册的主要要点。
华为防火墙的基本配置包括网络接口配置、NAT配置、防火墙策略配置等。
以下是一份简要的华为防火墙配置使用手册的主要内容:第一部分:基本概念1. 介绍防火墙的基本概念和作用2. 简要介绍华为防火墙的特点及适用场景第二部分:硬件连接与初始化1. 硬件连接:介绍如何将防火墙设备连接到本地网络2. 设备初始化:介绍如何对防火墙设备进行初始化配置第三部分:网络接口配置1. Wan口配置:介绍如何配置WAN口,连接至互联网2. LAN口配置:介绍如何配置LAN口,连接至内部局域网3. DMZ口配置:介绍如何配置DMZ口,用于隔离部署公网服务第四部分:NAT配置1. 静态NAT配置:介绍如何配置静态NAT,实现内部服务映射到外部地址2. 动态NAT配置:介绍如何配置动态NAT,实现内部主机访问外部网络第五部分:防火墙策略配置1. 基本防火墙策略:介绍如何配置基本的防火墙策略,限制不安全的流量2. 高级防火墙策略:介绍如何配置更加复杂的防火墙策略,根据需求进行定制第六部分:安全管理1. 用户权限管理:介绍如何配置用户权限,实现访问控制和安全管理2. 日志管理:介绍如何配置日志服务,记录网络安全事件和流量信息第七部分:故障处理1. 常见故障及解决方法:介绍一些常见的防火墙故障及相应的解决方法第八部分:最佳实践1. 最佳实践示例:介绍一些最佳实践示例,帮助用户更好地配置和使用华为防火墙以上是一份华为防火墙配置使用手册的主要大纲,你可以根据这个大纲进行具体的配置和撰写。
希望对你有所帮助!。
硬件防火墙的常见配置参数
硬件防火墙的常见配置参数如下:
1、IP地址和子网掩码:这是防火墙的基本配置参数,用于定义防火墙所保护的网络段。
2、网关地址:这是防火墙所保护的网络段的出口地址,用于将数据包转发到其他网络。
3、DNS服务器地址:这是防火墙所保护的网络段的DNS服务器地址,用于将域名解析为IP 地址。
4、网络接口配置:包括内部网络接口和外部网络接口的配置,如IP地址、子网掩码、网关地址等。
5、安全策略:这是防火墙的核心配置参数,包括访问控制列表(ACL)、安全区域、安全策略等。
访问控制列表用于定义允许或拒绝哪些数据包通过防火墙;安全区域用于将网络划分为不同的安全级别;安全策略用于定义在不同安全区域之间如何转发数据包。
6、系统参数:包括时钟、日期、系统日志、系统管理员账号等。
这些参数对于防火墙的管理和维护非常重要。
7、病毒防护和入侵检测系统:这些参数用于配置防火墙的病毒防护和入侵检测功能,包括病毒库更新、恶意软件防护、异常流量检测等。
8、VPN配置:如果防火墙支持VPN功能,还需要配置VPN参数,如VPN类型、加密算法、密钥、证书等。
9、端口映射和端口转发:这些参数用于配置防火墙的端口映射和端口转发功能,以便外部用户可以访问内部网络中的特定服务。
10、网络地址转换(NAT):这是防火墙的一个重要功能,用于将内部网络地址转换为外部网络地址,以便内部网络中的主机可以访问外部网络。
1。
防火墙配置目录一.防火墙的基本配置原则 (2)1.防火墙两种情况配置 (2)2.防火墙的配置中的三个基本原则 (2)3.网络拓扑图 (3)二.方案设计原则 (4)1. 先进性及成熟性 (4)2. 实用性及经济性 (4)3. 扩展性及兼容性 (4)4. 标准化及开放性 (5)5. 安全性及可维护性 (5)6. 整合型好 (5)三.防火墙的初始配置 (6)1.简述 (6)2.防火墙的具体配置步骤 (6)四.Cisco PIX防火墙的基本配置 (8)1. 连接 (8)2. 初始化配置 (8)3. enable命令 (8)4.定义以太端口 (8)5. clock (8)6. 指定接口的安全级别 (9)7. 配置以太网接口IP地址 (9)8. access-group (9)9.配置访问列表 (9)10. 地址转换(NAT) (10)11. Port Redirection with Statics (10)1.命令 (10)2.实例 (11)12. 显示及保存结果 (12)五.过滤型防火墙的访问控制表(ACL)配置 (13)1. access-list:用于创建访问规则 (13)2. clear access-list counters:清除访问列表规则的统计信息 (14)3. ip access-grou (15)4. show access-list (15)5. show firewall (16)一.防火墙的基本配置原则1.防火墙两种情况配置拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。
可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。
一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。
换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
2.防火墙的配置中的三个基本原则(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。
其实这也是任何事物的基本原则。
越简单的实现方式,越容易理解和使用。
而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。
但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。
但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。
(2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。
在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。
这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
(3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。
对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。
这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署及上述内部防护手段一起联动的机制。
目前来说,要做到这一点比较困难。
3.网络拓扑图二.方案设计原则1. 先进性及成熟性采用当今国内、国际上先进和成熟的计算机应用技术,使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的需要。
从现阶段的发展来看,系统的总体设计的先进性原则主要体现在使用Thin-Client/Server计算机体系是先进的、开放的体系结构,当系统应用量发生变化时具备良好的可伸缩性,避免瓶颈的出现。
2. 实用性及经济性实用性就是能够最大限度地满足实际工作的要求,是每个系统平台在搭建过程中必须考虑的一种系统性能,它是对用户最基本的承诺。
办公自动化硬件平台是为实际使用而建立,应避免过度追求超前技术而浪费投资。
3. 扩展性及兼容性系统设计除了可以适应目前的应用需要以外,应充分考虑日后的应用发展需要,随着数据量的扩大,用户数的增加以及应用范围的拓展,只要相应的调整硬件设备即可满足需求。
通过采用先进的存储平台,保证对海量数据的存取、查询以及统计等的高性能和高效率。
同时考虑整个平台的统一管理,监控,降低管理成本。
4. 标准化及开放性系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口,以利于网络的维护、扩展升级及外界信息的沟通。
计算机软硬件和网络技术有国际和国内的标准,但技术标准不可能详细得面面俱到,在一些技术细节上各个生产厂商按照自己的喜好设计开发,结果造成一些产品只能在较低的层面上互通,在较高层面或某些具体方面不能互通。
我们不但选用符合标准的产品,而且尽量选用市场占有率高、且发展前景好的产品,以提高系统互通性和开放性。
5. 安全性及可维护性随着应用的发展,系统需要处理的数据量将有较大的增长,并且将涉及到各类的关键性应用,系统的稳定性和安全性要求都相对较高,任意时刻系统故障都可能给用户带来不可估量的损失,建议采用负载均衡的服务器群组来提高系统整体的高可用。
6. 整合型好当前采用企业级的域控制管理模式,方便对所有公司内所有终端用户的管理,同时又可以将公司里计算机的纳入管理范围,极大地降低了网络维护量,并能整体提高当前网络安全管理!三.防火墙的初始配置1.简述像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。
但因各种防火墙的初始配置基本类似,所以在此仅以Cisco PIX防火墙为例进行介绍。
防火墙的初始配置也是通过控制端口(Console)及PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。
防火墙的初始配置物理连接及前面介绍的交换机初始配置连接方法一样。
防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet 和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。
防火墙及路由器一样也有四种用户配置模式,即:普通模式(Unprivileged mode)、特权模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode),进入这四种用户模式的命令也及路由器一样:普通用户模式无需特别命令,启动后即进入;进入特权用户模式的命令为"enable";进入配置模式的命令为"config terminal";而进入端口模式的命令为"interface ethernet()"。
不过因为防火墙的端口没有路由器那么复杂,所以通常把端口模式归为配置模式,统称为"全局配置模式"。
2.防火墙的具体配置步骤1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。
2. 打开PIX防火电源,让系统加电初始化,然后开启及防火墙连接的主机。
3. 运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。
对超级终端的配置及交换机或路由器的配置一样,参见本教程前面有关介绍。
4. 当PIX防火墙进入系统后即显示"pixfirewall>"的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。
可以进行进一步的配置了。
5. 输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。
6. 输入命令: configure terminal,进入全局配置模式,对系统进行初始化设置。
(1). 首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡,"auto"选项为系统自适应网卡类型Interface ethernet1 auto(2). 配置防火墙内、外部网卡的IP地址IP address inside ip_address netmask # Inside代表内部网卡IP address outside ip_address netmask # outside代表外部网卡(3). 指定外部网卡的IP地址范围:global 1 ip_address-ip_address(4). 指定要进行转换的内部地址nat 1 ip_address netmask(5). 配置某些控制选项:conduit global_ip port[-port] protocol foreign_ip [netmask]其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TCP、UDP等;foreign_ip:表示可访问的global_ip 外部IP地址;netmask:为可选项,代表要控制的子网掩码。
7. 配置保存:wr mem8. 退出当前模式9. 查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。
10. 查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。
11. 查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。
四.Cisco PIX防火墙的基本配置1. 连接同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口;2. 初始化配置开启所连电脑和防火墙的电源,进入Windows系统自带的"超级终端",通讯参数可按系统默然。
