防火墙的基本配置.docx

火 墙
旦
目录
防火墙的基本配置原则 2
防火墙两种情况配置 2
防火墙的配置中的三个基本原则 2
网络拓扑图 3
方案设计原则 4
先进性及成熟性 4
实用性及经济性 4
扩展性及兼容性 4
标准化及开放性 5
安全性及可维护性 5
整合型好 5
防火墙的初始配置 6
简述 6
2•防火墙的具体配宜步骤 6
Cisco PIX防火墙的基本配置 8
连接 8
初始化配置 8
enable 命令 8
左义以太端口 8
clock 8
指泄接口的安全级别 9
配置以太网接口 IP地址 9
access-group 9
配置访问列表 9
地址转换（NAT） 10
Port Redirection with Statics 10
1命令 10
实例 11
显示及保存结果 12
过滤型防火墙的访问控制表（ACL）配苣 13
access-l ist： 用于仓建访问规则 13
clear accessTist counters： 淸除访问列表规贝U的统计信息 14
ip access-grou 15
show access-l ist 15
show f i rewa I I 16
防火墙的基本配置原则
防火墙两种情况配置
拒绝所有的流量，这需要在你的网络中特殊指定能够进入和岀去的流量的一些类型。
允许所有的流量，这种情况需要你特殊指泄要拒绝的流量的类型。可论证地，大多数防 火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的 端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们 能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进 程。
防火墙的配置中的三个基本原则
（1） .简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何 事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出 错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的 安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这 些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如任防火墙上增加了査杀 病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有 应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细 配置，这样一则会大大增强配置难度，同时还可能因各方而配置不协调，引起新的安全漏洞, 得不偿失。
（2） .全而深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层 次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表 而的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加 强，从深层次上防护整个系统。这方面可以体现在两个方而：一方而体现在防火墙系统的部 署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火 墙于一体的层次防御：另一方面将入侵检测、网络加密、病毒查杀等多种安全描施结合在一 起的多层安全体系。
（3）.内外兼顾：防火墙的一个特点是防外不防内，苴实在现实的网络环境中，80% 以上的威胁都来自内部，所以我们要树立防内的观念，从根本上改变过去那种防外不防内的 传统观念。对内部威胁可以采取苴它安全措施，比如入侵检测、主机防护、***、病毒 査杀。这方而体现在防火墙配置方面就是要引入全而防护的观念，最好能部署及上述内部防 护手段一起联动的机制。目前来说，要做到这一点比较困难。
网络拓扑
二後
锂療房交换机
10M ADSL
路由器
服务器
运繭部交换机
rrnrr・
■亠 H X ■
29楼交换机
二・方案设计原则
先进性及成熟性
采用当今国内、国际上先进和成熟的计算机应用技术，使搭建的硬件平台能够最大限度 的适应今后的办公自动化技术和系统维护的需要。从现阶段的发展来看，系统的总体设计的 先进性原则主要体现在使用Thin-Client/Server汁算机体系是先进的、开放的体系结构， 当系统应用量发生变化时具备良好的可伸缩性，避免瓶颈的出现。
实用性及经济性
实用性就是能够最大限度地满足实际工作的要求，是每个系统平台在搭建过程中必须考 虑的一种系统性能，它是对用户最基本的承诺。办公自动化硬件平台是为实际使用而建立, 应避免过度追求超前技术而浪费投资。
扩展性及兼容性
系统设汁除了可以适应目前的应用需要以外，应充分考虑日后的