网管必修之防火墙配置知识实例讲解

    作为一个网管,对于防火墙的配置,是必修课之一,在这里,PC捍卫者为你收集整理了这方面的相关知识,希望对你的日常工作起到一定的帮助作用.

    随着网络技术的不断发展，安全问题越来越得到众多企业网络管理人员的重视，不过俗话说巧妇难为无米之炊，再好的网络管理员如果没有一套高效的安全设备搭建内网安全体系的话，病毒与黑客入侵的问题同样会频繁发生。一般来说我们都是通过防火墙来保护内网各个网络设备的安全，今天笔者就为各位从实例讲解配置防火墙的方法。

　　一，硬件连接与实施：

　　在讲解防火墙具体参数配置之前我们首先要掌握如何连接防火墙各个端口，一般来说硬件防火墙和路由交换设备一样具备多个以太接口，速度根据档次与价格不同而在百兆与千兆之间有所区别。(如图1)

对于中小企业来说一般出口带宽都在100M以内，所以我们选择100M相关产品即可。网络拓扑图中防火墙的位置很关键，一般介于内网与外网互连中间区域，针对外网访问数据进行过滤和监控。

　　如果防火墙上有WAN接口，那么直接将WAN接口连接外网即可，如果所有接口都标记为LAN接口，那么按照常规标准选择最后一个LAN接口作为外网连接端口。相应的其他LAN接口连接内网各个网络设备。

　　小提示：

　　如果企业有多个外网出口，那么选择最后两个LAN接口依次作为WAN口1与WAN口2连接相关线路解决双线问题。

二，防火墙的特色配置：

　　从外观上看防火墙和传统的路由器交换机没有太大的差别，一部分防火墙具备CONSOLE接口通过超级终端的方式初始化配置，而另外一部分则直接通过默认的LAN接口和管理地址访问进行配置。

　　与路由器交换机不同的是在防火墙配置中我们需要划分多个不同权限不同优先级别的区域，另外还需要针对相应接口隶属的区域进行配置，例如1接口划分到A区域，2接口划分到B区域等等，通过不同区域的访问权限差别来实现防火墙保护功能。默认情况下防火墙会自动建立trust信任区，untrust非信任区，DMZ堡垒主机区以及LOCAL本地区域。相应的本地区域优先级最高，其次是trust信任区，DMZ堡垒主机区，最低的是untrust非信任区域。

　　在实际设置时我们必须将端口划分到某区域后才能对其进行各个访问操作，否则默认将阻止对该接口的任何数据通讯。

　　除此之外防火墙的其他相关配置与路由交换设备差不多，无外乎通过超级终端下的命令行参数进行配置或者通过WEB管理界面配置。

三，软件的配置与实施：

　　下面笔者介绍中小企业网络结构下如何配置防火墙，笔者以H3C的F100防火墙为例进行介绍，其他厂商的防火墙在配置上与之类似，各位读者举一反三即可。我们介绍的是当企业外网IP地址固定并通过光纤连接的具体配置。

　　首先我们来看看当企业外网出口指定IP时如何配置防火墙参数。我们选择接口四连接外网，接口一连接内网。这里假设电信提供给我们的外网IP地址为202.10.1.194 255.255.255.0。

　　第一步：通过CONSOLE接口以及本机的超级终端连接F100防火墙，执行system命令进入配置模式。

　　第二步：通过firewall packet default permit设置默认的防火墙策略为“容许通过”。

　　第三步：进入接口四设置其IP地址为202.10.1.194，命令为

　　int e0/4

　　ip add 202.10.1.194 255.255.255.0

　　第四步：进入接口一设置其IP地址为内网地址，例如192.168.1.1 255.255.255.0，命令为

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点