在防火墻安裝配置之前,必須對防火墻服務器的網(wǎng)絡連接狀況進行檢查。只有在服務器的網(wǎng)絡連接狀況正常的情況下,防火墻的安裝配置才會比較順利。如果在安裝防火墻時沒有進行這項工作,那么在安裝了防火墻后一旦出現(xiàn)網(wǎng)絡連接方面的問題,將很難確定問題的根源在哪里。因此必須事先確認網(wǎng)關服務器的工作狀態(tài)。為此應該檢查以下情況。
1.路由檢查
(1)分別使用ping命令和telnet命令從內(nèi)部網(wǎng)絡的一臺主機經(jīng)由網(wǎng)關與外網(wǎng)路由器進行聯(lián)系。
(2)從內(nèi)部網(wǎng)絡的一臺主機經(jīng)由網(wǎng)關向廣域網(wǎng)主機發(fā)送telnet命令。
(3)從廣域網(wǎng)主機向內(nèi)部網(wǎng)絡的主機發(fā)送telnet命令。
如果上述的任何一個測試沒有成功,則必須查明原因后再進行下一步工作。
2.DNS服務
確認網(wǎng)絡DNS服務能否正常工作,如果有問題必須排除。
3.IP地址
確認網(wǎng)關服務器上所有網(wǎng)卡的IP地址配置情況,由于安裝的是單網(wǎng)關產(chǎn)品,還需要知道外網(wǎng)卡的名稱。配置防火墻的安全策略需要使用這些信息。
接著,明確網(wǎng)絡安全需求。配置防火墻安全策略之前,必須根據(jù)網(wǎng)絡安全需求,事先定義好網(wǎng)絡對象。然后就可以制定和定義防火墻安全策略規(guī)則。設置安全策略規(guī)則應注意。
(1)安全規(guī)則的級別按順序的先后分配,先定義的規(guī)則級別高,后定義的規(guī)則級別低,當兩個規(guī)則有沖突時,以滿足先定義的規(guī)則為準。
(2)為了防火墻及網(wǎng)絡的安全,通常將第1條規(guī)則定義成任何用戶或網(wǎng)絡對象不能訪問防火墻,將最后一條定義成任何人不能以任何形式訪問網(wǎng)絡對象。
(3)管理員可以隨時修改網(wǎng)絡對象及規(guī)則,但是修改后的結果只有進行安裝才能起作用。
