防火墻的基本配置

1、可編輯防火墻配可編輯寸錄一. 防火墻的基本配置原則 . 4 1. 防火墻兩種情況配置. 4 2. 防火墻的配置中的三個(gè)基本原則. 4 3. 網(wǎng)絡(luò)拓?fù)鋱D. 6 二?方案設(shè)計(jì)原則 . 6 1. 先進(jìn)性與成熟性. 6 2. 實(shí)用性與經(jīng)濟(jì)性. 7 3. 擴(kuò)展性與兼容性. 7 4. 標(biāo)準(zhǔn)化與開(kāi)放性. 7 5. 安全性與可維護(hù)性. 7 6. 整合型好 . 8 三. 防火墻的初始配置 . 8 1. 簡(jiǎn)述 . 8 可編輯2. 防火墻的具體配置步驟. 9 四cisco pix 防火墻的基本配置.1.0 1. 連接 . . 1.0. 2. 初始化配置. . 1.1. 3. enable 命令. 1.1. 4定義以

2、太端口. 1.1. 5. clock . 1.1. 6. 指定接口的安全級(jí)別.1.2 7. 配置以太網(wǎng)接口ip 地址.1.2 8. access-group . 1.2 9配置訪(fǎng)問(wèn)列表. 1.2. 10. 地址轉(zhuǎn)換（nat ）.1.3 11. port redirection with statics . 14 1. 命令. 1.4. 2 實(shí)例. 1.5. 12. 顯示與保存結(jié)果 .1.6 五過(guò)濾型防火墻的訪(fǎng)問(wèn)控制表（acl ）配置. .1. 6 1. access-list ：用于創(chuàng)建訪(fǎng)問(wèn)規(guī)則 .1.6 2. clear access-list counters ：清除訪(fǎng)問(wèn)列表規(guī)則的統(tǒng)計(jì)信息

3、. 19 3. ip access-grou . 1.9 4. show access-list . 2.0 5. show firewall . 2.1 可編輯防火墻的基本配置原則1. 防火墻兩種情況配置拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類(lèi)型。允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類(lèi)型?；饓δJ(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，能夠發(fā)送和接收email ，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開(kāi)啟允許進(jìn)程。2. 防火墻的配置中的三個(gè)基本原則（1）. 簡(jiǎn)單實(shí)用：對(duì)防火墻環(huán)境設(shè)計(jì)來(lái)講，首要的就是越簡(jiǎn)單越好。其實(shí)這也是任何事物的基本原則。

4、越簡(jiǎn)單的實(shí)現(xiàn)方式，越容易理解和使用。而且是設(shè)計(jì)越簡(jiǎn)單，越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理也越可靠和簡(jiǎn)便。每種產(chǎn)品在開(kāi)發(fā)前都會(huì)有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測(cè)產(chǎn)品主要針對(duì)網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這 些產(chǎn)品在原來(lái)的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測(cè)等功能，在入侵檢測(cè)上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時(shí)我們也可針對(duì)具體應(yīng)用環(huán)境進(jìn)行配置，不必要對(duì)每一功能都詳細(xì) 配置，這樣一則會(huì)大大增強(qiáng)配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞

5、，得不償失。（2）. 全面深入：?jiǎn)我坏姆烙胧┦请y以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們不要停留在幾個(gè)表面的防火墻語(yǔ)句上，而應(yīng)系統(tǒng)地看等整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)。這方面可以體現(xiàn)在兩個(gè)方面：一可論證地，大多數(shù)防你需要打開(kāi)一些必要的端口來(lái)使防火墻內(nèi)的用戶(hù)在通過(guò)驗(yàn)證之后可以訪(fǎng)問(wèn)系統(tǒng)。換句話(huà)說(shuō)，如果你想讓你的員工們pop3 和smtp 的可編輯方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門(mén)邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢測(cè)、網(wǎng)

6、絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。（3）. 內(nèi)外兼顧：防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來(lái)自?xún)?nèi)部，所以我們要樹(shù)立防內(nèi)的觀(guān)念，從根本上改變過(guò)去那種防外不防內(nèi)的傳統(tǒng)觀(guān)念。對(duì)內(nèi)部威脅可以采取其它安全措施，比如入侵檢測(cè)、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀(guān)念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。目前來(lái)說(shuō)，要做到這一點(diǎn)比較困難。可編輯1? 方案設(shè)計(jì)原則1. 先進(jìn)性與成熟性采用當(dāng)今國(guó)內(nèi)、國(guó)際上先進(jìn)和成熟的計(jì)算機(jī)應(yīng)用技術(shù)，使搭建的硬件平臺(tái)能夠最大限度的適應(yīng)今后的辦公自動(dòng)化技術(shù)和系統(tǒng)維護(hù)的需要。從現(xiàn)階

7、段的發(fā)展來(lái)看，系統(tǒng)的總體設(shè)計(jì)的先進(jìn)性原則主要體現(xiàn)在使用thi n-clie nt/server 計(jì)算機(jī)體系是先進(jìn)的、開(kāi)放的體系結(jié)構(gòu)，當(dāng)系統(tǒng)應(yīng)用量發(fā)生變化時(shí)具備良好的可伸縮性，避免瓶頸的出現(xiàn)。3.網(wǎng)絡(luò)拓?fù)鋱D10m adsl路由器ft二梗ji?1運(yùn)腳邯左揣機(jī)ft 逅jt記m 1vi可編輯2. 實(shí)用性與經(jīng)濟(jì)性實(shí)用性就是能夠最大限度地滿(mǎn)足實(shí)際工作的要求，是每個(gè)系統(tǒng)平臺(tái)在搭建過(guò)程中必須考慮的一種系統(tǒng)性能，它是對(duì)用戶(hù)最基本的承諾。辦公自動(dòng)化硬件平臺(tái)是為實(shí)際使用而建立，應(yīng)避免過(guò)度追求超前技術(shù)而浪費(fèi)投資。3. 擴(kuò)展性與兼容性系統(tǒng)設(shè)計(jì)除了可以適應(yīng)目前的應(yīng)用需要以外，應(yīng)充分考慮日后的應(yīng)用發(fā)展需要，隨著數(shù)據(jù)量的擴(kuò)大

8、，用戶(hù)數(shù)的增加以及應(yīng)用范圍的拓展，只要相應(yīng)的調(diào)整硬件設(shè)備即可滿(mǎn)足需求。通過(guò)采用先進(jìn)的存儲(chǔ)平臺(tái)，保證對(duì)海量數(shù)據(jù)的存取、查詢(xún)以及統(tǒng)計(jì)等的高性能和高效率。同 時(shí)考慮整個(gè)平臺(tái)的統(tǒng)一管理，監(jiān)控，降低管理成本。4. 標(biāo)準(zhǔn)化與開(kāi)放性系統(tǒng)設(shè)計(jì)應(yīng)采用開(kāi)放技術(shù)、開(kāi)放結(jié)構(gòu)、開(kāi)放系統(tǒng)組件和開(kāi)放用戶(hù)接口，以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級(jí)及外界信息的溝通。計(jì)算機(jī)軟硬件和網(wǎng)絡(luò)技術(shù)有國(guó)際和國(guó)內(nèi)的標(biāo)準(zhǔn)，但技術(shù)標(biāo)準(zhǔn)不可能詳細(xì)得面面俱到，在 一些技術(shù)細(xì)節(jié)上各個(gè)生產(chǎn)廠(chǎng)商按照自己的喜好設(shè)計(jì)開(kāi)發(fā)，結(jié)果造成一些產(chǎn)品只能在較低的層面上互通，在較高層面或某些具體方面不能互通。我們不但選用符合標(biāo)準(zhǔn)的產(chǎn)品，而且盡量選用市場(chǎng)占有率高、且發(fā)展前景好的產(chǎn)品，

9、以提高系統(tǒng)互通性和開(kāi)放性。5. 安全性與可維護(hù)性隨著應(yīng)用的發(fā)展，系統(tǒng)需要處理的數(shù)據(jù)量將有較大的增長(zhǎng)，并且將涉及到各類(lèi)的關(guān)鍵性應(yīng)用，系統(tǒng)的穩(wěn)定性和安全性要求都相對(duì)較高，任意時(shí)刻系統(tǒng)故障都可能給用戶(hù)帶來(lái)不可估量的損失，建議采用負(fù)載均衡的服務(wù)器群組來(lái)提高系統(tǒng)整體的高可用?？删庉?. 整合型好當(dāng)前采用企業(yè)級(jí)的域控制管理模式，方便對(duì)所有公司內(nèi)所有終端用戶(hù)的管理，同時(shí)又可以將公司里計(jì)算機(jī)的納入管理范圍，極大地降低了網(wǎng)絡(luò)維護(hù)量，并能整體提高當(dāng)前網(wǎng)絡(luò)安全管理！三防火墻的初始配置1. 簡(jiǎn)述像路由器一樣，在使用之前，防火墻也需要經(jīng)過(guò)基本的初始配置。但因各種防火墻的初始配置基本類(lèi)似，所以在此僅以cisco pix

10、防火墻為例進(jìn)行介紹。防火墻的初始配置也是通過(guò)控制端口( console ) 與pc 機(jī)( 通常是便于移動(dòng)的筆記本電腦 )的串口連接，再通過(guò)windows 系統(tǒng)自帶的超級(jí)終端( hyperterminal ) 程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣。防火墻除了以上所說(shuō)的通過(guò)控制端口( console ) 進(jìn)行初始配置外，也可以通過(guò)telnet 和tffp 配置方式進(jìn)行高級(jí)配置，但telnet 配置方式都是在命令方式中配置，難度較大，而tffp 方式需要專(zhuān)用的tffp 服務(wù)器軟件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶(hù)配置模式，即：普通模式(

11、unprivileged mode )、 特權(quán)模式 (privileged mode ) 、配置模式 (configuration mode )和端口模式 ( interface mode ) ，進(jìn)入這四種用戶(hù)模式的命令也與路由器一樣：普通用戶(hù)模式無(wú)需特別命令，啟動(dòng)后即進(jìn)入；進(jìn)入特權(quán)用戶(hù)模式的命令為enable ；進(jìn)入配置模式的命令為config terminal ；而 進(jìn)入端口模式的命令為interface ethernet () 。不過(guò)因?yàn)榉阑饓Φ亩丝跊](méi)有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)可編輯稱(chēng)為 全局配置模式 。2. 防火墻的具體配置步驟1. 將防火墻的console

12、端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上。2. 打開(kāi)pix 防火電源，讓系統(tǒng)加電初始化，然后開(kāi)啟與防火墻連接的主機(jī)。3. 運(yùn)行筆記本電腦windows 系統(tǒng)中的超級(jí)終端( hyperterminal )程序 ( 通常在 附 件 程序組中 ) 。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見(jiàn)本教程前面有關(guān)介紹。4. 當(dāng)pix 防火墻進(jìn)入系統(tǒng)后即顯示pixfirewall 的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶(hù)模式?？梢赃M(jìn)行進(jìn)一步的配置了。5. 輸入命令：enable, 進(jìn)入特權(quán)用戶(hù)模式，此時(shí)系統(tǒng)提示為：pixfirewall# 。6. 輸入命令：conf

13、igure terminal, 進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。(1).首先配置防火墻的網(wǎng)卡參數(shù)(以只有1個(gè)lan和1個(gè)wan接口的防火墻配置為例 ) interface ethernet0 auto # 0 號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為wan 網(wǎng)卡，auto 選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類(lèi)型interface ethernet1 auto (2). 配置防火墻內(nèi)、外部網(wǎng)卡的ip 地址ip address inside ip_address netmask # inside 代表內(nèi)部網(wǎng)卡ip address outside ip_address netmask # outside 代表外部網(wǎng)卡3）.

14、指定外部網(wǎng)卡的ip 地址范圍：global 1 ip_address-ip_address （4）. 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址可編輯nat 1 ip_address netmask （5）. 配置某些控制選項(xiàng)：conduit global_ip port-port protocol foreign_ip netmask 其中，global_ip ：指的是要控制的地址；port ：指的是所作用的端口，0 代表所有端口 ；protocol : 指的是連接協(xié)議，比如：tcp、udp等；foreign_ip : 表示可訪(fǎng)問(wèn)的global_ip 外部ip 地址；netmask ：為可選項(xiàng)，代表要控制的子

15、網(wǎng)掩碼。7. 配置保存：wr mem 8. 退出當(dāng)前模式9. 查看當(dāng)前用戶(hù)模式下的所有可用命令：show ，在相應(yīng)用戶(hù)模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。10. 查看端口狀態(tài)：show interface ，這個(gè)命令需在特權(quán)用戶(hù)模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。11. 查看靜態(tài)地址映射:show static ，這個(gè)命令也須在特權(quán)用戶(hù)模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。四cisco pix 防火墻的基本配置1. 連接同樣是用一條串行電纜從電腦的com 口連到cisco pix 525 防火墻的console 口；可編輯2. 初始化配置

16、開(kāi)啟所連電腦和防火墻的電源，進(jìn)入windows 系統(tǒng)自帶的超級(jí)終端 ，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：date （日期）、time （時(shí)間）、hostname （主機(jī)名稱(chēng)）、inside ip address （內(nèi)部網(wǎng)卡ip 地址）、domain （主域）等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255 。3. enable 命令輸入enable 命令，進(jìn)入pix 525 特權(quán)用戶(hù)模式,默然密碼為空。如果要修改此特權(quán)用戶(hù)模式密碼，則可用enable password 命令，命令格式為：enable password password encryp

17、ted ，這個(gè)密碼必須大于16 位。encrypted 選項(xiàng)是確定所加密碼是否需要加密。4 定義以太端口先必須用enable 命令進(jìn)入特權(quán)用戶(hù)模式，然后輸入configure terminal （可簡(jiǎn)稱(chēng)為config t ）,進(jìn)入全局配置模式模式。在默然情況下ethernet0 是屬外部網(wǎng)卡outside, ethernet1 是屬內(nèi)部網(wǎng)卡inside, inside 在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside 必須命令配置激活。5. clock 配置時(shí)鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無(wú)法正確分析記錄中的信息。這須

18、在全局配置模式下進(jìn)行。6. 指定接口的安全級(jí)別指定接口安全級(jí)別的命令為nameif ，分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個(gè)適當(dāng)?shù)陌踩?jí)別。在此要注意，防火可編輯墻是用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過(guò)外部接口對(duì)內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對(duì)外部網(wǎng)絡(luò)接口指定較高的安全級(jí)別，而內(nèi)部網(wǎng)絡(luò)接口的安全級(jí)別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在cisco pix 系列防火墻中，安全級(jí)別的定義是由security () 這個(gè)參數(shù)決定的，數(shù)字越小安全級(jí)別越高， 所以security0 是最高的，隨后通常是以10 的倍數(shù)遞增，安全級(jí)別也相應(yīng)降低。7. 配置以太網(wǎng)接口ip 地址所用

19、命令為：ip address ，如要配置防火墻上的內(nèi)部網(wǎng)接口ip 地址為： ；外部網(wǎng)接口ip 地址為： 。8. access-group 這個(gè)命令是把訪(fǎng)問(wèn)控制列表綁定在特定的接口上。須在配置模式下進(jìn)行配置。命令格式為：access-group acl_id in interface interface_name ，其中的acl_id 是指訪(fǎng)問(wèn)控制列表名稱(chēng)，interface_name 為網(wǎng)絡(luò)接口名稱(chēng)。9配置訪(fǎng)問(wèn)列表所用配置命令為：access-list ，合格格式比較復(fù)雜。它是防火墻的主要配置

20、部分，上述格式中帶 部分是可選項(xiàng)，listnumber 參數(shù)是規(guī)則號(hào)，標(biāo)準(zhǔn)規(guī)則號(hào)( listnumber1 )是199 之間的整數(shù)，而擴(kuò)展規(guī)則號(hào)( listnumber2 ) 是100199 之間的整數(shù)。它主要是通過(guò)訪(fǎng)問(wèn)權(quán)限permit 和deny 來(lái)指定的，網(wǎng)絡(luò)協(xié)議一般有ip tcp udp icmp 等等。如只允許訪(fǎng)問(wèn)通過(guò)防火墻對(duì)主機(jī):54 進(jìn)行www 訪(fǎng)問(wèn)。其中的100 表示訪(fǎng)問(wèn)規(guī)則號(hào)，根據(jù)當(dāng)前已配置的規(guī)則條數(shù)來(lái)確定，不能與原來(lái)規(guī)則的重復(fù)，也必須是正整數(shù)?？删庉嬯P(guān)于這個(gè)命令還將在下面的高級(jí)配置命令中詳細(xì)介紹。10. 地址轉(zhuǎn)換 ( nat )防火墻的nat 配置與路

21、由器的nat 配置基本一樣，首先也必須定義供nat 轉(zhuǎn)換的內(nèi)部ip 地址組，接著定義內(nèi)部網(wǎng)段。定義供nat 轉(zhuǎn)換的內(nèi)部地址組的命令是nat ，它的格式為：nat (if_name) nat_id local_ip netmask max_conns em_limit ，其中if_name 為接口名；nat_id 參數(shù)代表內(nèi)部地址組號(hào)；而local_ip 為本地網(wǎng)絡(luò)地址；netmask 為子網(wǎng)掩碼；max_conns 為此接口上所允許的最大tcp 連接數(shù)，默認(rèn)為0 ，表示不限制連接；em_limit 為允許從此端口發(fā)出的連接數(shù)，默認(rèn)也為0 ，即不限制。表示把所有網(wǎng)絡(luò)地址為 ，子網(wǎng)

22、掩碼為 的主機(jī)地址定義為1 號(hào)nat 地址組。隨后再定義內(nèi)部地址轉(zhuǎn)換后可用的外部地址池，它所用的命令為global, 基本命令格式為：global (if_name) nat_id global_ip netmask max_conns em_limit ，各參數(shù)解釋同上。如：global (outside) 1 -4 netmask 將上述nat 命令所定的內(nèi)部ip 地址組轉(zhuǎn)換成4 的外部地址池中的外部ip 地址，其子網(wǎng)掩耳盜鈴碼為 。11.

23、 port redirection with statics 1. 命令這是靜態(tài)端口重定向命令。在cisco pix 版本6.0 以上，增加了端口重定向的功能，允許外部用戶(hù)通過(guò)一個(gè)可編輯特殊的ip 地址/ 端口通過(guò)防火墻傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。其中重定向后的地址可以是單一外部地址、共享的外部地址轉(zhuǎn)換端口( pat), 或者是共享的外部端口。這種功能也就是可以發(fā)布內(nèi)部www 、ftp、mail 等服務(wù)器，這種方式并不是直接與內(nèi)部服務(wù)器連接, 而是通過(guò)端口重定向連接的, 所以可使內(nèi)部服務(wù)器很安全。命令格式有兩種 , 分別適用于tcp/udp 通信和非tcp/udp 通信：(1). static

24、(internal_if_name, external_if_name)global_ip interfacelocal_ipnetmask mask max_conns emb_limitnorandomseq ( 2 ) . static (internal_if_name, external_if_name) tcp udpglobal_ip interface global_port local_ip local_port netmask mask max_conns emb_limit norandomseq 此命令中的以上各參數(shù)解釋如下：internal_if_name ：內(nèi)部接口

25、名稱(chēng)；external_if_name ：外部接口名稱(chēng)；tcp udp ： 選擇通信協(xié)議類(lèi)型；global_ip interface ：重定向后的外部ip 地址或共享端口；local_ip 本地ip 地址；netmask mask ：本地子網(wǎng)掩碼；max_conns ：允許的最大tcp 連接數(shù) , 默認(rèn)為0 , 即不限制；emb_limit ：允許從此端口發(fā)起的連接數(shù), 默認(rèn)也為0 , 即不限制；norandomseq ：不對(duì)數(shù)據(jù)包排序, 此參數(shù)通常不用選。可編輯2 . 實(shí)例現(xiàn)在我們舉一個(gè)實(shí)例，實(shí)例要求如下?外部用戶(hù)向9 的主機(jī)發(fā)出telnet請(qǐng)求時(shí)，重定向到10.1.

26、1.6。?外部用戶(hù)向9 的主機(jī)發(fā)出ftp請(qǐng)求時(shí)，重定向到 。的端口發(fā)出telnet請(qǐng)求時(shí)，重定向到 。16 發(fā)出teinet請(qǐng)求時(shí)，重定向到。。定向到的80號(hào)端口。以上重寫(xiě)向過(guò)程要求如圖2所示，防火墻的內(nèi)部端口ip地址為，外部端口地址為16 。172j8j?4n.b080以上各項(xiàng)重定向要求對(duì)應(yīng)的配置語(yǔ)句如下: static (in side,outside) tcp 9 tel net

27、tel net n etmask 55 0 0 static (inside,outside) tcp 9 ftp ftp netmask 55 0 ?外部用戶(hù)向08 ?外部用戶(hù)向防火墻的外部地址?外部用戶(hù)向防火墻的外部地址16 發(fā)出http請(qǐng)求時(shí)，重定向到?外部用戶(hù)向防火墻的外部地址08 的8080端口發(fā)出http請(qǐng)求時(shí)，重外認(rèn)ip地址172jb.124,9921outside 可編輯0 static (inside,outsi

28、de) tcp 08 telnet telnet netmask 55 0 0 static (inside,outside) tcp interface telnet telnet netmask 55 0 0 static (inside,outside) tcp interface www www netmask 55 0 0 static (inside,outside) tcp 08 8080 10.1.1

29、.7 www netmask 55 0 0 12. 顯示與保存結(jié)果顯示結(jié)果所用命令為：show config ；保存結(jié)果所用命令為：write memory 。五過(guò)濾型防火墻的訪(fǎng)問(wèn)控制表( acl ) 配置1. access-list ：用于創(chuàng)建訪(fǎng)問(wèn)規(guī)則這一訪(fǎng)問(wèn)規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號(hào)的規(guī)則可以看作一類(lèi)規(guī)則，同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過(guò)show access-list 命令看到。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。1 ）創(chuàng)建標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表可編輯source-addr source-mas

30、k （2 ）創(chuàng)建擴(kuò)展訪(fǎng)問(wèn)列表命令格式：access-list normal special listnumber2 permit deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 icmp-type icmp-code log （3 ）刪除訪(fǎng)問(wèn)列表命令格式：no access-list normal special all listnumber subitem 上述命令參數(shù)說(shuō)明如下：? normal ：指定規(guī)則加入普通時(shí)間段。? special

31、：指定規(guī)則加入特殊時(shí)間段。? listnumber1 ：1 是到99 之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表規(guī)則。? listnumber2 ：1是00 到199 之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪(fǎng)問(wèn)列表規(guī)則。? permit ：表明允許滿(mǎn)足條件的報(bào)文通過(guò)。? deny ：表明禁止?jié)M足條件的報(bào)文通過(guò)。?protocol : 為協(xié)議類(lèi)型，支持cmp、tcp、udp等，其它的協(xié)議也支持，此時(shí)沒(méi)有端口比較的概念；為ip 時(shí)有特殊含義，代表所有的ip 協(xié)議。?source-addr : 為源ip 地址。?source-mask : 為源ip 地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表中是可選項(xiàng)，不輸入則代表通配位為

32、 。?des-taddr : 為目的ip 地址。命令格式：access-list normal special listnumber1 permit deny 可編輯?des-tmask : 為目的地址的子網(wǎng)掩碼。? operator ：端口操作符，在協(xié)議類(lèi)型為tcp 或udp 時(shí)支持端口比較，支持的比較操作有：等于（eq ）、大于（gt ）、小于（lt ）、不等于（neq ）或介于（range ）；如果操作符為range ，則后面需要跟兩個(gè)端口。port1 在協(xié)議類(lèi)型為tcp 或udp 時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet ） 或065535 之間的一個(gè)數(shù)值。po

33、rt2 在協(xié)議類(lèi)型為tcp 或udp 且操作類(lèi)型為range 時(shí) 出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet ）或065535 之間的一個(gè)數(shù)值。? icmp-type ：在協(xié)議為icmp 時(shí)出現(xiàn)，代表icmp 報(bào)文類(lèi)型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply ）或者是0255 之間的一個(gè)數(shù)值。? icmp-code ：在協(xié)議為icmp ，且沒(méi)有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表icmp 碼， 是0255 之間的一個(gè)數(shù)值。? log ：表示如果報(bào)文符合條件，需要做日志。? listnumber ：為刪除的規(guī)則序號(hào)，是1199 之間的一個(gè)數(shù)值。? subitem : 指定刪除序號(hào)為i

34、st number 的訪(fǎng)問(wèn)列表中規(guī)則的序號(hào)。例如，現(xiàn)要在華為的一款防火墻上配置一個(gè) 允許源地址為 網(wǎng)絡(luò)、目的地址為網(wǎng)絡(luò)的www 訪(fǎng)問(wèn)，但不允許使用ftp的訪(fǎng)問(wèn)規(guī)則。相應(yīng)配置語(yǔ)句只需兩行即可，如下 : quidway （config ）#access-list 100 permit tcp eq www quidway （config ）#access-list 100 deny tcp e

35、q ftp 可編輯信息命令格式：clear access-list counters listnumber 這一命令必須在特權(quán)用戶(hù)模式下進(jìn)行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。如要在華為的一款包過(guò)濾路由器上清除當(dāng)前所使用的規(guī)則號(hào)為100 的訪(fǎng)問(wèn)規(guī)則統(tǒng)計(jì)信息。訪(fǎng)問(wèn)配置語(yǔ)句為：clear access-list counters 100 如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語(yǔ)句需改為：quidway#clear access-list counters 3. ip access-grou p使用此命令將訪(fǎng)問(wèn)規(guī)則應(yīng)用到相應(yīng)接

36、口上。使用此命令的no 形式來(lái)刪除相應(yīng)的設(shè)置，對(duì)應(yīng)格式為：ip access-group listnumber in out 此命令須在端口用戶(hù)模式下配置，進(jìn)入端口用戶(hù)模式的命令為：interface ethernet （ ）， 括號(hào)中為相應(yīng)的端口號(hào)，通常0 為外部接口，而1 為內(nèi)部接口。進(jìn)入后再用ip access-group 命令來(lái)配置訪(fǎng)問(wèn)規(guī)則。listnumber 參數(shù)為訪(fǎng)問(wèn)規(guī)則號(hào)，是1199 之間的一個(gè)數(shù)值（包括標(biāo)準(zhǔn)訪(fǎng)問(wèn)規(guī)則和擴(kuò)展訪(fǎng)問(wèn)規(guī)則兩類(lèi)）；in 表示規(guī)則應(yīng)用于過(guò)濾從接口接收到的報(bào)文；而out 表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)出去的報(bào)文。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20 類(lèi)不同 的規(guī)

37、則；這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪(fǎng)問(wèn)列表中；個(gè)序號(hào)的訪(fǎng)問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用例如將規(guī)則100 應(yīng)用于過(guò)濾從外部網(wǎng)絡(luò)接口上接收到的報(bào)文，配置語(yǔ)句為 (同樣為在傾為包過(guò)濾路由器上) ：ip access-group 100 in 2. clear access-list counters ：清除訪(fǎng)問(wèn)列表規(guī)則的統(tǒng)計(jì)在同一show access-list 命令來(lái)查看?？删庉嬋绻?jiǎng)h除某個(gè)訪(fǎng)問(wèn)控制表列綁定設(shè)置，則可用no ip access-group listnumber in out 命令。4