防⽕墙配置中必备的六个主要命令
防⽕墙的基本功能,是通过六个命令来完成的。⼀般情况下,除⾮有特殊的安全需求,这个六个命令基本上可以搞定防⽕墙的配置。下⾯笔者就结合CISCO的防⽕墙,来谈谈防⽕墙的基本配置,希望能够给⼤家⼀点参考。
第⼀个命令:interface
Interface是防⽕墙配置中最基本的命令之⼀,他主要的功能就是开启关闭接⼝、配置接⼝的速度、对接⼝进⾏命名等等。在买来防⽕墙的时候,防⽕墙的各个端都都是关闭的,所以,防⽕墙买来后,若不进⾏任何的配置,防⽌在企业的⽹络上,则防⽕墙根本⽆法⼯作,⽽且,还会导致企业⽹络不同。
1、配置接⼝速度
在防⽕墙中,配置接⼝速度的⽅法有两种,⼀种是⼿⼯配置,另外⼀种是⾃动配置。⼿⼯配置就是需要⽤户⼿⼯的指定防⽕墙接⼝的通信速度;⽽⾃动配置的话,则是指防⽕墙接⼝会⾃动根据所连接的设备,来决定所需要的通信速度。
如:interface ethernet0 auto --为接⼝配置“⾃动设置连接速度”
Interface ethernet2 100ful --为接⼝2⼿⼯指定连接速度,100MBIT/S。
这⾥,参数ethernet0或者etnernet2则表⽰防⽕墙的接⼝,⽽后⾯的参数表⽰具体的速度。
笔者建议
在配置接⼝速度的时候,要注意两个问题。
⼀是若采⽤⼿⼯指定接⼝速度的话,则指定的速度必须跟他所连接的设备的速度相同,否则的话,会出现⼀些意外的错误。如在防⽕墙上,若连接了⼀个交换机的话,则交换机的端⼝速度必须跟防⽕墙这⾥设置的速度相匹配。
⼆是虽然防⽕墙提供了⾃动设置接⼝速度的功能,不过,在实际⼯作中,作者还是不建议⼤家采⽤这个功能。因为这个⾃动配置接⼝速度,会影响防⽕墙的性能。⽽且,其有时候也会判断失误,给⽹络造成通信故障。所以,在⼀般情况下,⽆论是笔者,还是思科的官⽅资料,都建议⼤家采⽤⼿⼯配置接⼝速度。
2、关闭与开启接⼝
防⽕墙上有多个接⼝,为了安全起见,打开的接⼝不⽤的话,则需要及时的进⾏关闭。⼀般可⽤shutdown命令来关闭防⽕墙的接⼝。但是这⾥跟思科的IOS软件有⼀个不同,就是如果要打开这个接⼝的话,则不⽤采⽤no shutdown命令。在防⽕墙的配置命令中,没有这⼀条。⽽应该采⽤不带参数的
shutdown命令,来把⼀个接⼝设置为管理模式。
笔者建议
在防⽕墙配置的时候,不要把所有的接⼝都打开,需要⽤到⼏个接⼝,就打开⼏个接⼝。若把所有的接⼝都打开的话,会影响防⽕墙的运⾏效率,⽽且,对企业⽹络的安全也会有影响。或者说,他会降低防⽕墙对于企业⽹络的控制强度。
第⼆个命令:nameif
⼀般防⽕墙出⼚的时候,思科也会为防⽕墙配置名字,如ethernet0等等,也就是说,防⽕墙的物理位置跟接⼝的名字是相同的。但是,很明显,这对于我们的管理是不利的,我们不能够从名字直观的看到,这个接⼝到底是⽤来做什么的,是连接企业的内部⽹络接⼝,还是连接企业的外部⽹络接⼝。所以,⽹络管理员,希望能够重命令这个接⼝的名字,利⽤⽐较直观的名字来描述接⼝的⽤途,如利⽤outside命令来表⽰这个接⼝是⽤来连接外部⽹络;⽽利⽤inside命令来描述这个接⼝是⽤来连接内部⽹络。同时,在给端⼝进⾏命名的时候,还可以指定这个接⼝的安全等级。
Nameif命令基本格式如下
Nameif hardware-id if-name security-level
其中,hardware-id表⽰防⽕墙上接⼝的具体位置,如ethernet0或者ethernet1等等。这些是思科防⽕墙在出⼚的时候就已经设置好的,不能够进⾏更改。若在没有对接⼝进⾏重新命名的时候,我们只能够通过这个接⼝位置名称,来配置对应的接⼝参数。
⽽if-name 则是我们为这个接⼝指定的具体名字。⼀般来说,这个名字希望能够反映出这个接⼝的⽤途,就好象给这个接⼝取绰号⼀样,要能够反映能出这个接⼝的实际⽤途。另外,这个命名的话,我们⽹络管理员也必须遵守⼀定的规则。如这个名字中间不能⽤空格,不同⽤数字或者其他特殊字符(这不利于后续的操作),在长度上也不能够超过48个字符。
security-level表⽰这个接⼝的安全等级。⼀般情况下,可以把企业内部接⼝的安全等级可以设置的⾼⼀点,⽽企业外部接⼝的安全等级则可以设置的低⼀点。如此的话,根据防⽕墙的访问规则,安全级别⾼的接⼝可以防卫安全级别低的接⼝。也就是说,不需要经过特殊的设置,企业内部⽹络就可以访问企业外部⽹络。⽽如果外部⽹络访问内部⽹络,由于是安全级别低的接⼝访问安全级别⾼的接⼝,则必须要要进⾏⼀些特殊的设置,如需要访问控制列表的⽀持,等等。
笔者建议
网络故障的六个命令在给接⼝配置安全等级的时候,⼀般不需要设置很复杂的安全等级。在安全要求⼀般的企业,只需要把接⼝的安全登记分为两级(⼀般只⽤两个接⼝,⼀个连接外部⽹络,⼀个连接内部⽹络),如此的话,
防⽕墙的安全级别管理,会⽅便许多。
另外,就是企业内部⽹络的安全级别要⾼于外部⽹络的安全级别。因为从企业安全⽅⾯考虑,我们的基本原则是内部⽹络访问外部⽹络可以放开,⽽外部⽹络访问内部⽹络的话,就要有所限制,则主要是出于限制病毒、⽊马等给企业⽹络所造成的危害的⽬的。不过,若企业内部对外部访问也有限制的话,如不允许访问FTP服务器,等等,则可以借助访问控制列表或者其他技术⼿段来实现。
在对接⼝进⾏命名的时候,要能够反映这个接⼝的⽤途,否则的话,对其进⾏命名也就没有什么意思了。⼀般的话,如可以利⽤inside或者outside来表⽰连接内⽹与外⽹的接⼝。如此的话在,⽹络管理员在⼀看到这个接⼝名字,就知道这个接⼝的⽤途。这⼏可以提⾼我们防⽕墙维护的效率。对于我们按照这个名字来对接⼝进⾏配置的时候,就⽐较容易实现,⽽不需要再去想我需要配置的接⼝名字是什么。若我们真的忘记了接⼝名字的话,则可以利⽤ show nameif命令来检验接⼝名字的配置。
第三个命令:IP address
在防⽕墙管理中,要为每个启⽤的防⽕墙接⼝配置IP地址。⼀般来说,防⽕墙的IP地址⽀持两种取得⽅式,⼀是通过⾃动获得,如可以通过企业内⽹的DHCP服务器取得IP地址;⼆是⽤户通过⼿⼯指定IP地址。
这个命令的具体格式为
Ip adress if-name IP [NETMASK]
若我们⽤上⾯的IF-NAME命令,给防⽕墙的接⼝配置好别名之后,则在后续的其他命令中,如这个配置IP地址的命令,则就不需要采⽤接⼝的位置名,⽽直接可以利⽤这个别名为具体的接⼝设置相关的参数。
若我们通过⼿⼯指定IP地址的时候,需要注意⼏个问题。⼀是若企业中还有DHCP服务器的话,则要注意这个⽹络地址冲突的问题。这个防⽕墙上的接⼝IP地址,在企业的整个⽹络中,也必须保持唯⼀,否则的话,就会造成IP地址冲突的错误。所以,若企业中还有DHCP服务器的话,则在DHCP服务器配置的时候,需要注意,这个防⽕墙接⼝所⽤的IP地址不应该在DHCP服务器的⾃动分配IP的地址池中,否则的话,很容易造成IP地址的冲突。
另外,在给他⼿⼯配置IP地址的时候,为了管理上的⽅便,最好能够指定连续的IP地址。也就是说,防⽕墙各个接⼝的IP地址为连续的。笔者在企业的IP地址规划中,特意为防⽕墙的接⼝预留了4个IP地址。即使,现在没有使⽤到这个接⼝,为了避免以后⽤到时,IP地址不连续,所以,在整个⽹络的 IP地址规划中,还是为其预留了⾜够多的IP地址。
这⾥的⽹络掩码不是必须的。若⽹络管理员在配置防⽕墙的时候,没有配置这个⽹络掩码的话,则防⽕墙会⾃动根据企业内部⽹络的结构,则防⽕墙会⾃动给其设置⼀个⽹络掩码。所以,在⼀般的情况
下,这个⽹络掩码可以不⽤设置,免得填写错误的话,还造成不必要的损失。
笔者建议
若是采⽤DHCP⽅式取得接⼝的IP地址的,则在DHCP服务器配置的时候,最好能够给防⽕墙的各个接⼝配置连续的IP地址。如此的话,可以⽅便我们对防⽕墙的接⼝进⾏管理。若企业的⽹络规模⽐较⼤,安全级别⽐较⾼的话,则⼀般建议不要采⽤DHCP的⽅式,⽽需要给防⽕墙的各个接⼝⼿⼯指定 IP地址。
第四个命令:NAT 与GLOBAL、STATIC命令
使⽤NAT(⽹络地址转换)命令,⽹络管理员可以将内部的⼀组IP地址转换成为外部的公⽹地址;⽽global命令则⽤于定义⽤⽹络地址转换命令NAT转换成的地址或者地址的范围。简单的说,利⽤NAT命令与GLOBAL命令,能够实现IP地址之间的转换,还可以实现IP地址到端⼝的映射。
这个⽹络地址转换命令在实际⼯作中⾮常的有⽤。我们都知道,现在公⽹IP地址⾮常的缺乏,基本上,⼀家企业只有⼀到两个公⽹地址。⽽对于企业来说,他们的⽂件服务器、OA系统、邮件服务器等等可能都需要外部访问,⽽如果没有NAT技术的话,则在公⽹中要进⾏访问的话,必须具有公⽹的IP地址。这就⼤⼤限制了企业内部信息化系统的外部访问,家庭办公、出差时访问企业内部⽹络等等,
变的⽆法实现。⽽现在⽹络地址转换技术,就是为解决这个问题⽽产⽣的。在⽹络地址转换技术的帮助下,可以把企业内部的IP地址跟端⼝唯⼀的映射到外部公⽹的IP地址。如此的话,内⽹的IP地址就有了⼀个合法的公⽹IP地址,则在公司外⾯的员⼯就可以通过互联⽹访问企业内部的信息化系统。
在实际⼯作中,⽤的最多的就是将本地地址转换为⼀个担搁的全局地址,⽽不是⼀个地址范围。如公司内部的ERP服务器IP地址为
192.168.0.6,此时,若我们希望,外部的员⼯,如在其他城市的⼀个销售办事处,他们能够利⽤202.96.96.240这个公⽹地址访问这台服务器。若要实现这个需求,该如何配置呢?
Static (inside,outside) 192.168.0.6 202.96.96.236
此时,外部⽤户就可以利⽤这个202.96.96.236公⽹IP地址,来访问企业内部的ERP系统。
其实,配置了这条命令之后,在防⽕墙服务器中,就有了这个⼀⼀对应的关系。当外部⽹络通过访问202.96.96.236这个IP地址时,在防⽕墙服务器中,就会把这个IP地址转换为192.268.0.6,如此就实现了外部⽹络访问企业的内部信息化系统。
不过,此时若不⽌这么⼀个信息化系统,现在OA系统(192.168.0.5)与ERP系统(192.168.0.6),在家办公的⼈或者出差在外的⼈都需要能够访问这两个服务器,此时,该如何处理呢?
如企业有两个公⽹IP地址,那也好办,只需要把OA系统与ERP系统分别对应到⼀个公⽹IP地址即可。但是,现在的问题是,企业只有⼀个IP 地址,此时,该如何处理呢?为此,我们可以利⽤static命令,实现端⼝的重定向。简单的说,端⼝重定向,允许外部的⽤户连接⼀个内部特定的IP地址与端⼝,并且让防⽕墙将这个数据流量重定向到合适的内部地址中去。
作者提醒
1、应该有⾜够的全局IP地址去匹配NAT命令指定的本机IP地址。否则的话,可以结合使⽤PAT(根据端⼝对应IP地址)来解决全局地址的短缺问题。⽽对于绝⼤部分中国企业来说,基本上地址都是不够的,要采⽤PAT技术来解决地址短缺问题。PAT技术,最多允许64000个客户端(内部IP地址)使⽤同⼀个公⽹的IP地址。
2、⽹络地址转换除了可以解决公⽹ID地址短缺问题的话,还有⼀个很好的副作⽤。就是可以把内部的主机隐藏起来,从⽽实现内部主机的安全性。如上⾯的例⼦中,如外⾯的⽤户需要访问企业内部的ERP服务器的话,则他们只需要知道公⽹地址就可以了,不需要知道到底他们访问的是内部的那台服务器,这台服务器的IP地址是多少。如此的话,就可以最⼤限度的保护企业内部服务器的安全。
第五个命令:ICMP命令
当我们做好相关的配置之后,接下去的⼯作我们就需要利⽤测试命令,来判断我们所配置的准确性。最基本的两个测试命令,就是PING与DEBUG命令。
Ping 命令我们⽹络管理员都是很熟悉的了。但是,在防⽕墙中有⼀个⽐较特殊的地⽅,就是在默认情况下,防⽕墙会拒绝所有来⾃于外部接⼝的ICMP输⼊流量。当我们PING ⼀个外⽹的IP地址时,若跟对⽅连接通畅的话,则对⽅会返回⼀个ICMP响应的回答。⽽防⽕墙默认的情况下,是会拒绝这个ICMP流量的。这主要是出于安全⽅⾯的考虑。但是,在我们进⾏测试的时候,我们不喜欢防⽕墙禁⽌接收这个ICMP 响应回答,不然的话,我们就⽆法进⾏测试⼯作了。
所以,在防⽕墙刚刚开始配置的时候,我们往往需要让防⽕墙允许接收这个流量,我们需要利⽤permit命令来让防⽕墙通过这个流量。
我们可以利⽤这条命令来实现这个需求:icmp permit any any outside。这个命令的意识就是允许ICMP协议在防⽕墙上畅通⽆阻的运⾏,允许防⽕墙接收来⾃外部的ICMP流量。
笔者提醒
不过,在测试完以后,最好还是能够还原原先的设置,即让防⽕墙拒绝接收这个来⾃外部接⼝ICMP流量,这对于提⾼企业内部的安全性,⾮常有帮助,如可以很好的防⽌DOS攻击,等等。
第六个命令:write memory.
⼀般来说,我们在对防⽕墙配置所做的更改,是不会直接写⼊当防⽕墙的闪存中的。防⽕墙如此的设计,是为了防⽌⽹络管理员万⼀不⼩⼼,做了⼀些难以恢复的设置时,只需要重新启动⼀下防⽕墙,就可以恢复以前的设置了。也就是说在,对防⽕墙的更新配置,在没有应该命令把他写⼊到闪存中,防⽕墙⼀般都是先把它存放在RAM 中。⽽RAM中的数据,当防⽕墙重新启动后,都会丢失。
所以,当配置测试完成之后,千万要记住,要利⽤write memory命令,把相关的更改配置写⼊到闪存中。如此的话,才能够在防⽕墙重新启动后,这些相关的配置仍然能够起作⽤。
笔者提醒
在没有测试之前,最好不要把更改配置写⼊到闪存中。因为⼀旦写⼊到闪存中,你若做了⼀些难以恢复的配置,⽽在测试的时候出现了问题,此时,你只能够重置防⽕墙,以前的配置将会全部丢失,回复到出⼚状态,那对于我们⽹络管理员来说,是个很⼤的打击。所以,⼀般需要对相关的配置测试⽆误后,才能够利⽤这个命令,永久的保存配置。
不过,在防⽕墙配置的时候,要注意不要断电,否则的话,你做的配置将会全功尽弃。不过,若在防⽕墙⼀端,接上UPS电源,是⼀个⽐较明智的做法。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论