本篇要為大家介紹一些實用的知識，那就是如何配置防火中的安全策略。但要注意的是，防火墻的具體配置方法也不是千篇一律的，不要說不同品牌，就是同一品牌的不同型號也不完全一樣，所以在此也只能對一些通用防火墻配置方法作一基本介紹。同時，具體的防火墻策略配置會因具體的應用環境不同而有較大區別。首先介紹一些基本的配置原則。

默認情況下，所有的防火墻都是按以下兩種情況配置的：

●拒絕所有的流量，這需要在你的網絡中特殊指定能夠進入和出去的流量的一些類型。
●允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。可論證地，大多數防火墻默認都是拒絕所有的流量作為安全選項。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內的用戶在通過驗證之后可以訪問系統。換句話說，如果你想讓你的員工們能夠發送和接收Email，你必須在防火墻上設置相應的規則或開啟允許POP3和SMTP的進程。

在防火墻的配置中，我們首先要遵循的原則就是安全實用，從這個角度考慮，在防火墻的配置過程中需堅持以下三個基本原則：

（1）. 簡單實用：對防火墻環境設計來講，首要的就是越簡單越好。其實這也是任何事物的基本原則。越簡單的實現方式，越容易理解和使用。而且是設計越簡單，越不容易出錯，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。

每種產品在開發前都會有其主要功能定位，比如防火墻產品的初衷就是實現網絡之間的安全控制，入侵檢測產品主要針對網絡非法行為進行監控。但是隨著技術的成熟和發展，這些產品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應用環境都需要，在配置時我們也可針對具體應用環境進行配置，不必要對每一功能都詳細配置，這樣一則會大大增強配置難度，同時還可能因各方面配置不協調，引起新的安全漏洞，得不償失。

（2）. 全面深入：單一的防御措施是難以保障系統的安全的，只有采用全面的、多層次的深層防御戰略體系才能實現系統的真正安全。在防火墻配置中，我們不要停留在幾個表面的防火墻語句上，而應系統地看等整個網絡的安全防護體系，盡量使各方面的配置相互加強，從深層次上防護整個系統。這方面可以體現在兩個方面：一方面體現在防火墻系統的部署上，多層次的防火墻部署體系，即采用集互聯網邊界防火墻、部門邊界防火墻和主機防火墻于一體的層次防御；另一方面將入侵檢測、網絡加密、病毒查殺等多種安全措施結合在一起的多層安全體系。

（3）. 內外兼顧：防火墻的一個特點是防外不防內，其實在現實的網絡環境中，80%以上的威脅都來自內部，所以我們要樹立防內的觀念，從根本上改變過去那種防外不防內的傳統觀念。對內部威脅可以采取其它安全措施，比如入侵檢測、主機防護、漏洞掃描、病毒查殺。這方面體現在防火墻配置方面就是要引入全面防護的觀念，最好能部署與上述內部防護手段一起聯動的機制。目前來說，要做到這一點比較困難。

像路由器一樣，在使用之前，防火墻也需要經過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進行介紹。

防火墻的初始配置也是通過控制端口（Console）與PC機（通常是便于移動的筆記本電腦）的串口連接，再通過Windows系統自帶的超級終端（HyperTerminal）程序進行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法一樣，參見圖1所示。

圖1

防火墻除了以上所說的通過控制端口（Console）進行初始配置外，也可以通過telnet和Tffp配置方式進行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務器軟件，但配置界面比較友好。

防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進入這四種用戶模式的命令也與路由器一樣：

普通用戶模式無需特別命令，啟動后即進入；

進入特權用戶模式的命令為"enable"；進入配置模式的命令為"config terminal"；而進入端口模式的命令為"interface ethernet（）"。不過因為防火墻的端口沒有路由器那么復雜，所以通常把端口模式歸為配置模式，統稱為"全局配置模式"。

防火墻的具體配置步驟如下：

1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上，參見圖1。

2. 打開PIX防火電源，讓系統加電初始化，然后開啟與防火墻連接的主機。  

3. 運行筆記本電腦Windows系統中的超級終端（HyperTerminal）程序（通常在"附件"程序組中）。對超級終端的配置與交換機或路由器的配置一樣，參見本教程前面有關介紹。

4. 當PIX防火墻進入系統后即顯示"pixfirewall>"的提示符，這就證明防火墻已啟動成功，所進入的是防火墻用戶模式。可以進行進一步的配置了。 

5. 輸入命令：enable,進入特權用戶模式，此時系統提示為：pixfirewall#。  

6. 輸入命令： configure terminal,進入全局配置模式，對系統進行初始化設置。  

（1）. 首先配置防火墻的網卡參數（以只有1個LAN和1個WAN接口的防火墻配置為例） 

Interface ethernet0 auto   # 0號網卡系統自動分配為WAN網卡，"auto"選項為系統自適應網卡類型
Interface ethernet1 auto 

（2）. 配置防火墻內、外部網卡的IP地址 

IP address inside ip_address netmask  # Inside代表內部網卡
IP address outside ip_address netmask  # outside代表外部網卡

（3）. 指定外部網卡的IP地址范圍： 

global 1 ip_address-ip_address 

（4）. 指定要進行轉換的內部地址 

nat 1 ip_address netmask 

（5）. 配置某些控制選項： 

conduit global_ip port[-port] protocol foreign_ip [netmask]   

其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協議，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項，代表要控制的子網掩碼。 

7. 配置保存：wr mem 

8. 退出當前模式

此命令為exit，可以任何用戶模式下執行，執行的方法也相當簡單，只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權模式，再退到普通模式下的操作步驟。

pixfirewall(config)# exit
pixfirewall# exit
pixfirewall>

9. 查看當前用戶模式下的所有可用命令：show，在相應用戶模式下鍵入這個命令后，即顯示出當前所有可用的命令及簡單功能描述。

10. 查看端口狀態：show interface，這個命令需在特權用戶模式下執行，執行后即顯示出防火墻所有接口配置情況。 

11. 查看靜態地址映射:show static，這個命令也須在特權用戶模式下執行，執行后顯示防火墻的當前靜態地址映射情況。     

1. 同樣是用一條串行電纜從電腦的COM口連到Cisco PIX 525防火墻的console口；

2. 開啟所連電腦和防火墻的電源，進入Windows系統自帶的"超級終端"，通訊參數可按系統默然。進入防火墻初始化配置，在其中主要設置有：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網卡IP地址)、domain(主域)等，完成后也就建立了一個初始化設置了。此時的提示符為：pix255>。

3. 輸入enable命令，進入Pix 525特權用戶模式,默然密碼為空。

如果要修改此特權用戶模式密碼，則可用enable password命令，命令格式為：enable password password [encrypted]，這個密碼必須大于16位。Encrypted選項是確定所加密碼是否需要加密。

4、 定義以太端口：先必須用enable命令進入特權用戶模式，然后輸入configure terminal（可簡稱為config t）,進入全局配置模式模式。具體配置

pix525>enable
Password:
pix525#config t
pix525 (config)#interface ethernet0 auto
pix525 (config)#interface ethernet1 auto

在默然情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside, inside在初始化配置成功的情況下已經被激活生效了，但是outside必須命令配置激活。

5. clock

配置時鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時間和日期都不準確，也就無法正確分析記錄中的信息。這須在全局配置模式下進行。

時鐘設置命令格式有兩種，主要是日期格式不同，分別為：

clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year

前一種格式為：小時：分鐘：秒 月 日 年；而后一種格式為：小時：分鐘：秒 日 月 年，主要在日、月份的前后順序不同。在時間上如果為0，可以為一位，如：21:0:0。

6. 指定接口的安全級別

指定接口安全級別的命令為nameif，分別為內、外部網絡接口指定一個適當的安全級別。在此要注意，防火墻是用來保護內部網絡的，外部網絡是通過外部接口對內部網絡構成威脅的，所以要從根本上保障內部網絡的安全，需要對外部網絡接口指定較高的安全級別，而內部網絡接口的安全級別稍低，這主要是因為內部網絡通信頻繁、可信度高。在Cisco PIX系列防火墻中，安全級別的定義是由security（）這個參數決定的，數字越小安全級別越高，所以security0是最高的，隨后通常是以10的倍數遞增，安全級別也相應降低。如下例：

pix525(config)#nameif ethernet0 outside security0   # outside是指外部接口
pix525(config)#nameif ethernet1 inside security100 # inside是指內部接口

7. 配置以太網接口IP地址

所用命令為：ip address，如要配置防火墻上的內部網接口IP地址為：192.168.1.0 255.255.255.0；外部網接口IP地址為：220.154.20.0 255.255.255.0。
配置方法如下：
pix525(config)#ip address inside 192.168.1.0 255.255.255.0
pix525(config)#ip address outside 220.154.20.0 255.255.255.0

8. access-group

這個命令是把訪問控制列表綁定在特定的接口上。須在配置模式下進行配置。命令格式為：access-group acl_ID in interface interface_name，其中的"acl_ID"是指訪問控制列表名稱，interface_name為網絡接口名稱。如：

access-group acl_out in interface outside，在外部網絡接口上綁定名稱為"acl_out"的訪問控制列表。
clear access-group：清除所有綁定的訪問控制綁定設置。
no access-group acl_ID in interface interface_name：清除指定的訪問控制綁定設置。
show access-group acl_ID in interface interface_name：顯示指定的訪問控制綁定設置。

9．配置訪問列表

所用配置命令為：access-list，合格格式比較復雜，如下：

標準規則的創建命令：access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
擴展規則的創建命令：access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

它是防火墻的主要配置部分，上述格式中帶"[]"部分是可選項，listnumber參數是規則號，標準規則號（listnumber1）是1~99之間的整數，而擴展規則號（listnumber2）是100~199之間的整數。它主要是通過訪問權限"permit"和"deny"來指定的，網絡協議一般有IP|TCP|UDP|ICMP等等。如只允許訪問通過防火墻對主機:220.154.20.254進行www訪問，則可按以下配置：

pix525(config)#access-list 100 permit 220.154.20.254 eq www

其中的100表示訪問規則號，根據當前已配置的規則條數來確定，不能與原來規則的重復，也必須是正整數。關于這個命令還將在下面的高級配置命令中詳細介紹。

共2頁: 1 [2] 下一頁