防火墙的基本配置_第1页
防火墙的基本配置_第2页
防火墙的基本配置_第3页
防火墙的基本配置_第4页
防火墙的基本配置_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、-可编辑修改-随么埴配置80%-可编辑修改-可编辑修改-目录TOC o 1-5 h z一防火墙的基本配置原则.3 HYPERLINK l bookmark6 防火墙两种情况配置.3 HYPERLINK l bookmark8 防火墙的配置中的三个基本原则.3 HYPERLINK l bookmark10 网络拓扑图.4二方案设计原则.4 HYPERLINK l bookmark14 先进性与成熟性.4 HYPERLINK l bookmark16 实用性与经济性.5 HYPERLINK l bookmark18 扩展性与兼容性.5 HYPERLINK l bookmark20 标准化与开放性.

2、5 HYPERLINK l bookmark22 安全性与可维护性.5 HYPERLINK l bookmark24 整合型好.5 HYPERLINK l bookmark26 三防火墙的初始配置.6 HYPERLINK l bookmark28 简述6 HYPERLINK l bookmark30 防火墙的具体配置步骤.6四CiscoPIX防火墙的基本配置8连接.8初始化配置.8enable命令84定义以太端口.8clock.8指定接口的安全级别.9配置以太网接口IP地址.9access-group.99配置访问列表.9地址转换(NAT).10PortRedirectionwithStati

3、cs.10命令.102实例.11显示与保存结果.12五过滤型防火墙的访问控制表(ACL配置13access-list:用于创建访问规则.13clearaccess-listcounters:清除访问列表规则的统计信息14ipaccess-grou.15showaccess-list.15showfirewall.16防火墙的基本配置原则防火墙两种情况配置拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙

4、内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP勺进程。防火墙的配置中的三个基本原则(1).简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些

5、增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。(2).全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的

6、部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。(3).内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境中,-可编辑修改-可编辑修改-以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。目前来说,要做到这一点比较困难。网络拓扑图10MADSL路由

7、器远別丽交換tn西吃交换曲1方案设计原则先进性与成熟性采用当今国内、国际上先进和成熟的计算机应用技术,使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的需要。从现阶段的发展来看,系统的总体设计的先进性原则主要体现在使用Thin-Client/Server计算机体系是先进的、开放的体系结构,当系统应用量发生变化时具备良好的可伸缩性,避免瓶颈的出现。实用性与经济性实用性就是能够最大限度地满足实际工作的要求,是每个系统平台在搭建过程中必须考虑的一种系统性能,它是对用户最基本的承诺。办公自动化硬件平台是为实际使用而建立,应避免过度追求超前技术而浪费投资。扩展性与兼容性系统设计除了可以适

8、应目前的应用需要以外,应充分考虑日后的应用发展需要,随着数据量的扩大,用户数的增加以及应用范围的拓展,只要相应的调整硬件设备即可满足需求。通过采用先进的存储平台,保证对海量数据的存取、查询以及统计等的高性能和高效率。同时考虑整个平台的统一管理,监控,降低管理成本。标准化与开放性系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口,以利于网络的维护、扩展升级及外界信息的沟通。计算机软硬件和网络技术有国际和国内的标准,但技术标准不可能详细得面面俱到,在一些技术细节上各个生产厂商按照自己的喜好设计开发,结果造成一些产品只能在较低的层面上互通,在较高层面或某些具体方面不能互通。我们不但选用符合

9、标准的产品,而且尽量选用市场占有率高、且发展前景好的产品,以提高系统互通性和开放性。安全性与可维护性随着应用的发展,系统需要处理的数据量将有较大的增长,并且将涉及到各类的关键性应用,系统的稳定性和安全性要求都相对较高,任意时刻系统故障都可能给用户带来不可估量的损失,建议采用负载均衡的服务器群组来提高系统整体的高可用。整合型好当前采用企业级的域控制管理模式,方便对所有公司内所有终端用户的管理,同时又可以将公司里计算机的纳入管理范围,极大地降低了网络维护量,并能整体提高当前网络安全管理!三防火墙的初始配置简述像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似

10、,所以在此仅以CiscoPIX防火墙为例进行介绍。防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样。防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。防火墙与路由器一样也有四种用户配置模式,即:普通模式(Unpr

11、ivilegedmode、特权模式(PrivilegedMod、配置模式(ConfigurationMod和端口模式(InterfaceMode),进入这四种用户模式的命令也与路由器一样:普通用户模式无需特别命令,启动后即进入;进入特权用户模式的命令为enable;进入配置模式的命令为configterminal;而进入端口模式的命令为interfaceethernet(、。不过因为防火墙的端口没有路由器那么复杂,所以通常把端口模式归为配置模式,统称为全局配置模式。防火墙的具体配置步骤将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。运行笔记本电脑Windows系统中的超级

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论