防火墻的基本功能，是通過六個命令來完成的。一般情況下，除非有特殊的安全需求，這個六個命令基本上可以搞定防火墻的配置。下面筆者就結(jié)合CISCO的防火墻，來談?wù)劮阑饓Φ幕九渲?，希望能夠給大家一點參考。

　　第一個命令：interface

　　Interface是防火墻配置中最基本的命令之一，他主要的功能就是開啟關(guān)閉接口、配置接口的速度、對接口進(jìn)行命名等等。在買來防火墻的時候，防火墻的各個端都都是關(guān)閉的，所以，防火墻買來后，若不進(jìn)行任何的配置，防止在企業(yè)的網(wǎng)絡(luò)上，則防火墻根本無法工作，而且，還會導(dǎo)致企業(yè)網(wǎng)絡(luò)不同。

　　1、 配置接口速度

　　在防火墻中，配置接口速度的方法有兩種，一種是手工配置，另外一種是自動配置。手工配置就是需要用戶手工的指定防火墻接口的通信速度;而自動配置的話，則是指防火墻接口會自動根據(jù)所連接的設(shè)備，來決定所需要的通信速度。

　　如：interface ethernet0 auto --為接口配置“自動設(shè)置連接速度”

　　Interface ethernet2 100ful --為接口2手工指定連接速度，100MBIT/S。

　　這里，參數(shù)ethernet0或者etnernet2則表示防火墻的接口，而后面的參數(shù)表示具體的速度。

　　筆者建議

　　在配置接口速度的時候，要注意兩個問題。

　　一是若采用手工指定接口速度的話，則指定的速度必須跟他所連接的設(shè)備的速度相同，否則的話，會出現(xiàn)一些意外的錯誤。如在防火墻上，若連接了一個交換機的話，則交換機的端口速度必須跟防火墻這里設(shè)置的速度相匹配。

　　二是雖然防火墻提供了自動設(shè)置接口速度的功能，不過，在實際工作中，作者還是不建議大家采用這個功能。因為這個自動配置接口速度，會影響防火墻的性能。而且，其有時候也會判斷失誤，給網(wǎng)絡(luò)造成通信故障。所以，在一般情況下，無論是筆者，還是思科的官方資料，都建議大家采用手工配置接口速度。

　　2、 關(guān)閉與開啟接口

　　防火墻上有多個接口，為了安全起見，打開的接口不用的話，則需要及時的進(jìn)行關(guān)閉。一般可用shutdown命令來關(guān)閉防火墻的接口。但是這里跟思科的IOS軟件有一個不同，就是如果要打開這個接口的話，則不用采用no shutdown命令。在防火墻的配置命令中，沒有這一條。而應(yīng)該采用不帶參數(shù)的shutdown命令，來把一個接口設(shè)置為管理模式。

　　筆者建議

　　在防火墻配置的時候，不要把所有的接口都打開，需要用到幾個接口，就打開幾個接口。若把所有的接口都打開的話，會影響防火墻的運行效率，而且，對企業(yè)網(wǎng)絡(luò)的安全也會有影響?；蛘哒f，他會降低防火墻對于企業(yè)網(wǎng)絡(luò)的控制強度。

　　第二個名字：nameif

　　一般防火墻出廠的時候，思科也會為防火墻配置名字，如ethernet0等等，也就是說，防火墻的物理位置跟接口的名字是相同的。但是，很明顯，這對于我們的管理是不利的，我們不能夠從名字直觀的看到，這個接口到底是用來做什么的，是連接企業(yè)的內(nèi)部網(wǎng)絡(luò)接口，還是連接企業(yè)的外部網(wǎng)絡(luò)接口。所以，網(wǎng)絡(luò)管理員，希望能夠重命令這個接口的名字，利用比較直觀的名字來描述接口的用途，如利用outside命令來表示這個接口是用來連接外部網(wǎng)絡(luò);而利用inside命令來描述這個接口是用來連接內(nèi)部網(wǎng)絡(luò)。同時，在給端口進(jìn)行命名的時候，還可以指定這個接口的安全等級。

　　Nameif命令基本格式如下

　　Nameif hardware-id if-name security-level

　　其中，hardware-id表示防火墻上接口的具體位置，如ethernet0或者ethernet1等等。這些是思科防火墻在出廠的時候就已經(jīng)設(shè)置好的，不能夠進(jìn)行更改。若在沒有對接口進(jìn)行重新命名的時候，我們只能夠通過這個接口位置名稱，來配置對應(yīng)的接口參數(shù)。

　　而if-name 則是我們?yōu)檫@個接口指定的具體名字。一般來說，這個名字希望能夠反映出這個接口的用途，就好象給這個接口取綽號一樣，要能夠反映能出這個接口的實際用途。另外，這個命名的話，我們網(wǎng)絡(luò)管理員也必須遵守一定的規(guī)則。如這個名字中間不能用空格，不同用數(shù)字或者其他特殊字符(這不利于后續(xù)的操作)，在長度上也不能夠超過48個字符。

　　security-level表示這個接口的安全等級。一般情況下，可以把企業(yè)內(nèi)部接口的安全等級可以設(shè)置的高一點，而企業(yè)外部接口的安全等級則可以設(shè)置的低一點。如此的話，根據(jù)防火墻的訪問規(guī)則，安全級別高的接口可以防衛(wèi)安全級別低的接口。也就是說，不需要經(jīng)過特殊的設(shè)置，企業(yè)內(nèi)部網(wǎng)絡(luò)就可以訪問企業(yè)外部網(wǎng)絡(luò)。而如果外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，由于是安全級別低的接口訪問安全級別高的接口，則必須要要進(jìn)行一些特殊的設(shè)置，如需要訪問控制列表的支持，等等。

　　筆者建議

　　在給接口配置安全等級的時候，一般不需要設(shè)置很復(fù)雜的安全等級。在安全要求一般的企業(yè)，只需要把接口的安全登記分為兩級(一般只用兩個接口，一個連接外部網(wǎng)絡(luò)，一個連接內(nèi)部網(wǎng)絡(luò))，如此的話，防火墻的安全級別管理，會方便許多。

　　另外，就是企業(yè)內(nèi)部網(wǎng)絡(luò)的安全級別要高于外部網(wǎng)絡(luò)的安全級別。因為從企業(yè)安全方面考慮，我們的基本原則是內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)可以放開，而外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的話，就要有所限制，則主要是出于限制病毒、木馬等給企業(yè)網(wǎng)絡(luò)所造成的危害的目的。不過，若企業(yè)內(nèi)部對外部訪問也有限制的話，如不允許訪問FTP服務(wù)器，等等，則可以借助訪問控制列表或者其他技術(shù)手段來實現(xiàn)。

　　在對接口進(jìn)行命名的時候，要能夠反映這個接口的用途，否則的話，對其進(jìn)行命名也就沒有什么意思了。一般的話，如可以利用inside或者outside來表示連接內(nèi)網(wǎng)與外網(wǎng)的接口。如此的話在，網(wǎng)絡(luò)管理員在一看到這個接口名字，就知道這個接口的用途。這幾可以提高我們防火墻維護(hù)的效率。對于我們按照這個名字來對接口進(jìn)行配置的時候，就比較容易實現(xiàn)，而不需要再去想我需要配置的接口名字是什么。若我們真的忘記了接口名字的話，則可以利用show nameif命令來檢驗接口名字的配置。

　　第三個命令：IP address

　　在防火墻管理中，要為每個啟用的防火墻接口配置IP地址。一般來說，防火墻的IP地址支持兩種取得方式，一是通過自動獲得，如可以通過企業(yè)內(nèi)網(wǎng)的DHCP服務(wù)器取得IP地址;二是用戶通過手工指定IP地址。

　　這個命令的具體格式為

　　Ip adress if-name IP [NETMASK]

　　若我們用上面的IF-NAME命令，給防火墻的接口配置好別名之后，則在后續(xù)的其他命令中，如這個配置IP地址的命令，則就不需要采用接口的位置名，而直接可以利用這個別名為具體的接口設(shè)置相關(guān)的參數(shù)。

　　若我們通過手工指定IP地址的時候，需要注意幾個問題。一是若企業(yè)中還有DHCP服務(wù)器的話，則要注意這個網(wǎng)絡(luò)地址沖突的問題。這個防火墻上的接口IP地址，在企業(yè)的整個網(wǎng)絡(luò)中，也必須保持唯一，否則的話，就會造成IP地址沖突的錯誤。所以，若企業(yè)中還有DHCP服務(wù)器的話，則在DHCP服務(wù)器配置的時候，需要注意，這個防火墻接口所用的IP地址不應(yīng)該在DHCP服務(wù)器的自動分配IP的地址池中，否則的話，很容易造成IP地址的沖突。

　　另外，在給他手工配置IP地址的時候，為了管理上的方便，最好能夠指定連續(xù)的IP地址。也就是說，防火墻各個接口的IP地址為連續(xù)的。筆者在企業(yè)的IP地址規(guī)劃中，特意為防火墻的接口預(yù)留了4個IP地址。即使，現(xiàn)在沒有使用到這個接口，為了避免以后用到時，IP地址不連續(xù)，所以，在整個網(wǎng)絡(luò)的IP地址規(guī)劃中，還是為其預(yù)留了足夠多的IP地址。

　　這里的網(wǎng)絡(luò)掩碼不是必須的。若網(wǎng)絡(luò)管理員在配置防火墻的時候，沒有配置這個網(wǎng)絡(luò)掩碼的話，則防火墻會自動根據(jù)企業(yè)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，則防火墻會自動給其設(shè)置一個網(wǎng)絡(luò)掩碼。所以，在一般的情況下，這個網(wǎng)絡(luò)掩碼可以不用設(shè)置，免得填寫錯誤的話，還造成不必要的損失。

　　筆者建議

　　若是采用DHCP方式取得接口的IP地址的，則在DHCP服務(wù)器配置的時候，最好能夠給防火墻的各個接口配置連續(xù)的IP地址。如此的話，可以方便我們對防火墻的接口進(jìn)行管理。若企業(yè)的網(wǎng)絡(luò)規(guī)模比較大，安全級別比較高的話，則一般建議不要采用DHCP的方式，而需要給防火墻的各個接口手工指定IP地址。

#p#副標(biāo)題#e#

　　第四個命令：NAT 與GLOBAL、STATIC命令

　　使用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)命令，網(wǎng)絡(luò)管理員可以將內(nèi)部的一組IP地址轉(zhuǎn)換成為外部的公網(wǎng)地址;而global命令則用于定義用網(wǎng)絡(luò)地址轉(zhuǎn)換命令NAT轉(zhuǎn)換成的地址或者地址的范圍。簡單的說，利用NAT命令與GLOBAL命令，能夠?qū)崿F(xiàn)IP地址之間的轉(zhuǎn)換，還可以實現(xiàn)IP地址到端口的映射。

　　這個網(wǎng)絡(luò)地址轉(zhuǎn)換命令在實際工作中非常的有用。我們都知道，現(xiàn)在公網(wǎng)IP地址非常的缺乏，基本上，一家企業(yè)只有一到兩個公網(wǎng)地址。而對于企業(yè)來說，他們的文件服務(wù)器、OA系統(tǒng)、郵件服務(wù)器等等可能都需要外部訪問，而如果沒有NAT技術(shù)的話 ，則在公網(wǎng)中要進(jìn)行訪問的話，必須具有公網(wǎng)的IP地址。這就大大限制了企業(yè)內(nèi)部信息化系統(tǒng)的外部訪問，家庭辦公、出差時訪問企業(yè)內(nèi)部網(wǎng)絡(luò)等等，變的無法實現(xiàn)。而現(xiàn)在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，就是為解決這個問題而產(chǎn)生的。在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的幫助下，可以把企業(yè)內(nèi)部的IP地址跟端口唯一的映射到外部公網(wǎng)的IP地址。如此的話，內(nèi)網(wǎng)的IP地址就有了一個合法的公網(wǎng)IP地址，則在公司外面的員工就可以通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部的信息化系統(tǒng)。

　　在實際工作中，用的最多的就是將本地地址轉(zhuǎn)換為一個擔(dān)擱的全局地址，而不是一個地址范圍。如公司內(nèi)部的ERP服務(wù)器IP地址為192.168.0.6，此時，若我們希望，外部的員工，如在其他城市的一個銷售辦事處，他們能夠利用202.96.96.240這個公網(wǎng)地址訪問這臺服務(wù)器。若要實現(xiàn)這個需求，該如何配置呢?

　　Static (inside,outside) 192.168.0.6 202.96.96.236

　　此時，外部用戶就可以利用這個202.96.96.236公網(wǎng)IP地址，來訪問企業(yè)內(nèi)部的ERP系統(tǒng)。

　　其實，配置了這條命令之后，在防火墻服務(wù)器中，就有了這個一一對應(yīng)的關(guān)系。當(dāng)外部網(wǎng)絡(luò)通過訪問202.96.96.236這個IP地址時，在防火墻服務(wù)器中，就會把這個IP地址轉(zhuǎn)換為192.268.0.6，如此就實現(xiàn)了外部網(wǎng)絡(luò)訪問企業(yè)的內(nèi)部信息化系統(tǒng)。

　　不過，此時若不止這么一個信息化系統(tǒng)，現(xiàn)在OA系統(tǒng)(192.168.0.5)與ERP系統(tǒng)(192.168.0.6)，在家辦公的人或者出差在外的人都需要能夠訪問這兩個服務(wù)器，此時，該如何處理呢?

　　如企業(yè)有兩個公網(wǎng)IP地址，那也好辦，只需要把OA系統(tǒng)與ERP系統(tǒng)分別對應(yīng)到一個公網(wǎng)IP地址即可。但是，現(xiàn)在的問題是，企業(yè)只有一個IP地址，此時，該如何處理呢?為此，我們可以利用static命令，實現(xiàn)端口的重定向。簡單的說，端口重定向，允許外部的用戶連接一個內(nèi)部特定的IP地址與端口，并且讓防火墻將這個數(shù)據(jù)流量重定向到合適的內(nèi)部地址中去。

　　作者提醒

　　1、 應(yīng)該有足夠的全局IP地址去匹配NAT命令指定的本機IP地址。否則的話，可以結(jié)合使用PAT(根據(jù)端口對應(yīng)IP地址)來解決全局地址的短缺問題。而對于絕大部分中國企業(yè)來說，基本上地址都是不夠的，要采用PAT技術(shù)來解決地址短缺問題。PAT技術(shù)，最多允許64000個客戶端(內(nèi)部IP地址)使用同一個公網(wǎng)的IP地址。

　　2、 網(wǎng)絡(luò)地址轉(zhuǎn)換除了可以解決公網(wǎng)ID地址短缺問題的話，還有一個很好的副作用。就是可以把內(nèi)部的主機隱藏起來，從而實現(xiàn)內(nèi)部主機的安全性。如上面的例子中，如外面的用戶需要訪問企業(yè)內(nèi)部的ERP服務(wù)器的話，則他們只需要知道公網(wǎng)地址就可以了，不需要知道到底他們訪問的是內(nèi)部的那臺服務(wù)器，這臺服務(wù)器的IP地址是多少。如此的話，就可以最大限度的保護(hù)企業(yè)內(nèi)部服務(wù)器的安全。

　　第五個命令：ICMP命令

　　當(dāng)我們做好相關(guān)的配置之后，接下去的工作我們就需要利用測試命令，來判斷我們所配置的準(zhǔn)確性。最基本的兩個測試命令，就是PING與DEBUG命令。

　　Ping 命令我們網(wǎng)絡(luò)管理員都是很熟悉的了。但是，在防火墻中有一個比較特殊的地方，就是在默認(rèn)情況下，防火墻會拒絕所有來自于外部接口的ICMP輸入流量。當(dāng)我們PING 一個外網(wǎng)的IP地址時，若跟對方連接通暢的話，則對方會返回一個ICMP響應(yīng)的回答。而防火墻默認(rèn)的情況下，是會拒絕這個ICMP流量的。這主要是出于安全方面的考慮。但是，在我們進(jìn)行測試的時候，我們不喜歡防火墻禁止接收這個ICMP響應(yīng)回答，不然的話，我們就無法進(jìn)行測試工作了。

　　所以，在防火墻剛剛開始配置的時候，我們往往需要讓防火墻允許接收這個流量，我們需要利用permit命令來讓防火墻通過這個流量。

　　我們可以利用這條命令來實現(xiàn)這個需求：icmp permit any any outside。這個命令的意識就是允許ICMP協(xié)議在防火墻上暢通無阻的運行，允許防火墻接收來自外部的ICMP流量。

　　筆者提醒

　　不過，在測試完以后，最好還是能夠還原原先的設(shè)置，即讓防火墻拒絕接收這個來自外部接口ICMP流量，這對于提高企業(yè)內(nèi)部的安全性，非常有幫助，如可以很好的防止DOS攻擊，等等。

　　第六個命令：write memory.

　　一般來說，我們在對防火墻配置所做的更改，是不會直接寫入當(dāng)防火墻的閃存中的。防火墻如此的設(shè)計，是為了防止網(wǎng)絡(luò)管理員萬一不小心，做了一些難以恢復(fù)的設(shè)置時，只需要重新啟動一下防火墻，就可以恢復(fù)以前的設(shè)置了。也就是說在，對防火墻的更新配置，在沒有應(yīng)該命令把他寫入到閃存中，防火墻一般都是先把它存放在RAM 中。而RAM中的數(shù)據(jù)，當(dāng)防火墻重新啟動后，都會丟失。

　　所以，當(dāng)配置測試完成之后，千萬要記住，要利用write memory命令，把相關(guān)的更改配置寫入到閃存中。如此的話，才能夠在防火墻重新啟動后，這些相關(guān)的配置仍然能夠起作用。

　　筆者提醒

　　在沒有測試之前，最好不要把更改配置寫入到閃存中。因為一旦寫入到閃存中，你若做了一些難以恢復(fù)的配置，而在測試的時候出現(xiàn)了問題，此時，你只能夠重置防火墻，以前的配置將會全部丟失，回復(fù)到出廠狀態(tài)，那對于我們網(wǎng)絡(luò)管理員來說，是個很大的打擊。所以，一般需要對相關(guān)的配置測試無誤后，才能夠利用這個命令，永久的保存配置。

　　不過，在防火墻配置的時候，要注意不要斷電，否則的話，你做的配置將會全功盡棄。不過，若在防火墻一端，接上UPS電源，是一個比較明智的做法。