防火墙专业配置指南.doc

防火墙常用配置指南
雾中飞雪
npvsciw@
一防火墙的分类
首先大概说一下防火墙的分类。就防火墙(本文的防火墙都指商业用途的网络版防火墙,非个人使用的那种)的组成结构而言,可分为以下三种:
第一种:软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS本身的安全性影响。国内的许多防火墙产品就属于此类,因为采用的是经过裁减内核和定制组件的平台,因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的OS”等等,其实是一个概念误导,下面我们提到的第三种防火墙才是真正的OS专用。
第三种:芯片级防火墙
它们基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。 Screen.,算是后起之秀了。这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
二防火墙的运行模式
防火墙在网络中的位置大致有两种:在整个网络的网关处;在一些重要信息点的前面(比
如服务器)。根据架上防火墙对网络的影响来分,防火墙分为NAT模式和透明模式两种方式。
NAT模式:是指防火墙TRUST口和UNTRUST口地址不属于同一网段,内网数据要穿透防火墙时,TRUST口的IP地址要转换成UNTRUST口IP地址。这样对原有的用户网络就会造成影响。
透明模式:防火墙所有的端口都处于同一网段。这样防火墙架到网络中时对网络现有的结构不会造成什么影响。
网络环境一:
这个网络环境中,用户申请了一条静态IP地址专线,接一台路由器通过配置NAT使内网用户上网,内网用户电脑网关指向路由器TRUST口。
在以上这个网络环境中,防火墙选择透明模式比较合适,如下图:
在这种模式下,用户网络原有的电脑IP地址,网关等参数都不用改动,对网络没有任何影响。防火墙只对经过它的流量只根据策略进行检查。
如果把防火墙用在NAT模式的话,就会有以下的结构。
网络环境二
,还有两个以上不同网段公网IP地址
在这种情况下,防火墙的模式设置就比较灵活了,透明模式和路由模式都可以做。透明模式同上,NAT模式如下所示:
另外两个公网IP地址:。
个人觉得这种网络状态是防火墙功能逐渐强大和公司特别有钱的产物——浪费!!
三防火墙端口配置介绍
防火墙端口主要包括UNTRUST口,TRUST口,DMZ口,HA口等几种。端口速率有100M和1000M之分。
UNTRUST口一般情况下只有一个。其作用是负责连接外部网络,。在配置上主要有两种方式:PPPoE拨号和静态IP地址专线。
PPPoE拨号:企业及家庭宽度上网的主要形式,信号传输走的是电话网络,表现为输入用户名和密码。。值得注意的是,当重新拨号,比如断电时,得到的IP地址和前一次得到的是不一样的。这样就产生的防火墙配置中的其他问题,比如VPN。全国PPPoE宽度服务提供商主要有:中国电信,中国网通和中国铁通。个人经验认为,网通的ADSL比较不错,和NETGEAR产品发生问题的几率很小;GEAR的产品上不能使用。
静态IP专线:从ISP建设的IP网络中直接拉出一根网线,或者光纤到用户的网络中心。这样客户的网络其实就和ISP的网络成为一个整体,所以ISP必须给客户这个网络中的标识:IP地址和默认网关。。在静态IP地址的配置上,还有一个比较重要的问题,那就是防火墙UNTRUST口能否设置多个IP地址。这样的好处就是可以对内网的用户进行1-1的NAT。
TRUST口一般情况下也只有一个(在中大型的防火墙上,soho型的防火墙可能会有多
个),其作用是负责连接内部网络。在配置上