2022年防火墙配置方法 .pdf

网管法宝之防火墙配置方法实例讲解2009-2-11网友评论0 条点击进入论坛随着网络技术的不断发展，安全问题越来越得到众多企业网络管理人员的重视，不过俗话说巧妇难为无米之炊，再好的网络管理员如果没有一套高效的安全设备搭建内网安全体系的话，病毒与黑客入侵的问题同样会频繁发生。一般来说我们都是通过防火墙来保护内网各个网络设备的安全，今天笔者就为各位从实例讲解配置防火墙的方法。一，硬件连接与实施：在讲解防火墙具体参数配置之前我们首先要掌握如何连接防火墙各个端口，一般来说硬件防火墙和路由交换设备一样具备多个以太接口，速度根据档次与价格不同而在百兆与千兆之间有所区别。( 如图 1) 对于中小企业来说一般出口带宽都在100M以内，所以我们选择100M相关产品即可。网络拓扑图中防火墙的位置很关键，一般介于内网与外网互连中间区域，针对外网访问数据进行过滤和监控。如果防火墙上有WAN 接口，那么直接将WAN 接口连接外网即可，如果所有接口都标记为LAN接口，那么按照常规标准选择最后一个LAN接口作为外网连接端口。相应的其他LAN接口连接内网各个网络设备。小提示：如果企业有多个外网出口，那么选择最后两个LAN接口依次作为WAN 口 1 与 WAN 口 2 连接相关线路解决双线问题。二，防火墙的特色配置：从外观上看防火墙和传统的路由器交换机没有太大的差别，一部分防火墙具备CONSOLE 接口通过超级终端的方式初始化配置，而另外一部分则直接通过默认的LAN接口和管理地址访问进行配置。与路由器交换机不同的是在防火墙配置中我们需要划分多个不同权限不同优先级别的区域，另外还需要针对相应接口隶属的区域进行配置，例如 1 接口划分到A区域， 2 接口划分到B区域等等， 通过不同区域的访问权限差别来实现防火墙保护功能。默认情况下防火墙会自动建立trust信任区， untrust非信任区， DMZ 堡垒主机区以及LOCAL 本地区域。相应的本地区域优先级最高，其次是trust信任区， DMZ堡垒主机区，最低的是untrust非信任区域。在实际设置时我们必须将端口划分到某区域后才能对其进行各个访问操作，否则默认将阻止对该接口的任何数据通讯。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - 除此之外防火墙的其他相关配置与路由交换设备差不多，无外乎通过超级终端下的命令行参数进行配置或者通过WEB 管理界面配置。三，软件的配置与实施：下面笔者介绍中小企业网络结构下如何配置防火墙，笔者以H3C的 F100 防火墙为例进行介绍，其他厂商的防火墙在配置上与之类似，各位读者举一反三即可。我们介绍的是当企业外网IP 地址固定并通过光纤连接的具体配置。首先我们来看看当企业外网出口指定IP 时如何配置防火墙参数。我们选择接口四连接外网，接口一连接内网。这里假设电信提供给我们的外网IP 地址为 202.10.1.194 255.255.255.0。第一步：通过CONSOLE 接口以及本机的超级终端连接F100防火墙，执行system 命令进入配置模式。第二步：通过firewall packet default permit设置默认的防火墙策略为“容许通过”。第三步：进入接口四设置其IP 地址为 202.10.1.194，命令为int e0/4 ip add 202.10.1.194 255.255.255.0 第四步：进入接口一设置其IP 地址为内网地址，例如192.168.1.1 255.255.255.0，命令为int e0/1 ip add 192.168.1.1 255.255.255.0 第五步：将两个接口加入到不同的区域，外网接口配置到非信任区untrust，内网接口加入到信任区trustfire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墙运行基本是通过NAT来实现，各个保护工作也是基于此功能实现的，所以我们还需要针对防火墙的NAT信息进行设置，首先添加一个访问控制列表acl num 2000 rule per source 192.168.0.0 0.0.255.255 rule deny 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - 第七步：接下来将这个访问控制列表应用到外网接口通过启用NAT int e0/4 nat outbound 2000 第八步：最后添加路由信息，设置缺省路由或者静态路由指向外网接口或外网电信下一跳地址ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 (如图 2) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -