全方位講解硬件防火墻的選擇文檔資料

1、全方位講解硬件防火墻的選擇防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，有選擇地接受外部訪問，對(duì)內(nèi)部強(qiáng)化設(shè)備監(jiān)管、控制對(duì)服務(wù)器與外部網(wǎng)絡(luò)的訪問，在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入。防火墻有兩種， 硬件防火墻和軟件防火墻，他們都能起到保護(hù)作用并篩選出網(wǎng)絡(luò)上的攻擊者。在這里主要給大家介紹一下我們?cè)谄髽I(yè)網(wǎng)絡(luò)安全實(shí)際運(yùn)用中所常見的硬件防火墻。一、防火墻基礎(chǔ)原理1、防火墻技

2、術(shù)防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測(cè)、代理服務(wù)。下面，我們將介紹這些手段的工作機(jī)理及特點(diǎn)，并介紹一些防火墻的主流產(chǎn)品。包過濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來自某些特定的源地址、目的地址、TCP 端口號(hào)等規(guī)則，對(duì)通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查， 限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態(tài)檢測(cè)是比包過濾更為有效的安全控制方法。對(duì)

3、新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。這種方式的好處在于：由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包（通常是大量的數(shù)據(jù)包）通過散列算法，直接進(jìn)行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開通1024 號(hào)以上的端口，使得安全性得到進(jìn)一步地提高。2、防火墻工作原理（ 1）包過濾防火墻包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP 地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用

4、層無關(guān)。 這樣系統(tǒng)就具有很好的傳輸性能， 可擴(kuò)展能力強(qiáng)。但是，包過濾防火墻的安全性有一定的缺陷，因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。圖 1：包過濾防火墻工作原理圖（ 2）應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。 然而， 應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)服務(wù)器模式實(shí)現(xiàn)的。 每個(gè)客戶機(jī)服務(wù)器通信需要兩個(gè)連接： 一個(gè)是從客戶端到防火墻， 另一個(gè)是從防火墻到服務(wù)器。 另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)

5、。所以， 應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。（圖2）圖 2：應(yīng)用網(wǎng)關(guān)防火墻工作原理圖3）狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過濾防火墻的優(yōu)點(diǎn)，性能比較好， 同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上， 對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接， 將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理。可以這樣說， 狀態(tài)檢測(cè)包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。（圖3）圖 3：狀態(tài)檢測(cè)防火墻工作原理圖（ 4）復(fù)合型防火墻復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透

6、明代理的新一代的防火墻，進(jìn)一步基于ASIC 架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN 、IDS 功能，多單元融為一體，是一種新突破。 常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、 內(nèi)容過濾與防火墻結(jié)合起來，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施 OSI 第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施。（圖4）圖 4：復(fù)合型防火墻工作原理圖3、四類防火墻的對(duì)比包過濾防火墻： 包過濾防火墻不檢查數(shù)據(jù)區(qū)，包過濾防火墻不建立連接狀態(tài)表，前后報(bào)文無關(guān)，應(yīng)用層控制很弱。應(yīng)用網(wǎng)關(guān)防火墻：不檢查IP、 TCP 報(bào)頭，不

7、建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)比較弱。狀態(tài)檢測(cè)防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報(bào)文相關(guān)，應(yīng)用層控制很弱。復(fù)合型防火墻：可以檢查整個(gè)數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)強(qiáng)，應(yīng)用層控制細(xì)，會(huì)話控制較弱。4、防火墻術(shù)語(yǔ)網(wǎng)關(guān)：在兩個(gè)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)是互聯(lián)網(wǎng)應(yīng)用程序在兩臺(tái)主機(jī)之間處理流量的防火墻。這個(gè)術(shù)語(yǔ)是非常常見的。DMZ 非軍事化區(qū)：為了配置管理方便，內(nèi)部網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個(gè)單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區(qū)。防火墻一般配備三塊網(wǎng)卡，在配置時(shí)一般分別分別連接內(nèi)部網(wǎng)，internet 和 DMZ 。吞吐量：網(wǎng)絡(luò)中的數(shù)據(jù)是由一個(gè)個(gè)數(shù)據(jù)包組成，防火墻對(duì)每

8、個(gè)數(shù)據(jù)包的處理要耗費(fèi)資源。吞吐量是指在不丟包的情況下單位時(shí)間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。這是測(cè)量防火墻性能的重要指標(biāo)。最大連接數(shù)：和吞吐量一樣，數(shù)字越大越好。但是最大連接數(shù)更貼近實(shí)際網(wǎng)絡(luò)情況，網(wǎng)絡(luò)中大多數(shù)連接是指所建立的一個(gè)虛擬通道。防火墻對(duì)每個(gè)連接的處理也好耗費(fèi)資源，因此最大連接數(shù)成為考驗(yàn)防火墻這方面能力的指標(biāo)。數(shù)據(jù)包轉(zhuǎn)發(fā)率： 是指在所有安全規(guī)則配置正確的情況下，防火墻對(duì)數(shù)據(jù)流量的處理速度。SSL：SSL（ Secure Sockets Layer）是由 Netscape 公司開發(fā)的一套Internet 數(shù)據(jù)安全協(xié)議，當(dāng)前版本為3.0。它已被廣泛地用于Web 瀏覽器與服務(wù)器之間的身份認(rèn)證和加密

9、數(shù)據(jù)傳輸。SSL 協(xié)議位于TCP/IP 協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。網(wǎng)絡(luò)地址轉(zhuǎn)換：網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT ）是一種將一個(gè)IP 地址域映射到另一個(gè)IP 地址域技術(shù)，從而為終端主機(jī)提供透明路由。NAT 包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。NAT 常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP 地址匱乏問題。 在防火墻上實(shí)現(xiàn)NAT 后，可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部拓?fù)浣Y(jié)構(gòu)，在一定程度上提高網(wǎng)絡(luò)的安全性。如果反向NAT 提供動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能，還可以實(shí)現(xiàn)負(fù)載均衡等功能。堡壘主機(jī)： 一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露

10、于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。二、市場(chǎng)上常見的硬件防火墻1）NetScreen 208 FirewallNetScreen 科技公司推出的NetScreen 防火墻產(chǎn)品是一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品。NetScreen 采用內(nèi)置的 ASIC 技術(shù)，其安全設(shè)備具有低延時(shí)、高效的 IPSec 加密和防火墻功能，可以無縫地部署到任何網(wǎng)絡(luò)。設(shè)備安裝和操控也是非常容易，可以通過多種管理界面包括內(nèi)置的 WebUI 界面、命令行界面或 NetScreen 中央管理方案進(jìn)行管理。NetScreen 將所有功

11、能集成于單一硬件產(chǎn)品中， 它不僅易于安裝和管理， 而且能夠提供更高可靠性和安全性。由于NetScreen 設(shè)備沒有其它品牌產(chǎn)品對(duì)硬盤驅(qū)動(dòng)器所存在的穩(wěn)定性問題，所以它是對(duì)在線時(shí)間要求極高的用戶的最佳方案。采用 NetScreen 設(shè)備，只需要對(duì)防火墻、 VPN 和流量管理功能進(jìn)行配置和管理， 減省了配置另外的硬件和復(fù)雜性操作系統(tǒng)的需要。這個(gè)做法縮短了安裝和管理的時(shí)間，并在防范安全漏洞的工作上，省略設(shè)置的步驟。NetScreen-100 Firewall 比適合中型企業(yè)的網(wǎng)絡(luò)安全需求。2）Cisco Secure PIX 515-E FirewallCisco Secure PIX 防火墻是Cis

12、co防火墻家族中的專用防火墻設(shè)施。CiscoSecure PIX515-E 防火墻系通過端到端安全服務(wù)的有機(jī)組合，提供了很高的安全性。適合那些僅需要與自己企業(yè)網(wǎng)進(jìn)行雙向通信的遠(yuǎn)程站點(diǎn)，或由企業(yè)網(wǎng)在自己的企業(yè)防火墻上提供所有的 Web 服務(wù)的情況。 Cisco Secure PIX 515-E 與普通的 CPU 密集型專用代理服務(wù)器 ( 對(duì)應(yīng)用級(jí)的每一個(gè)數(shù)據(jù)包都要進(jìn)行大量處理 )不同， Cisco Secure PIX 515-E 防火墻采用非 UNIX 、安全、實(shí)時(shí)的內(nèi)置系統(tǒng)。 可提供擴(kuò)展和重新配置 IP 網(wǎng)絡(luò)的特性， 同時(shí)不會(huì)引起 IP 地址短缺問題。 NAT既可利用現(xiàn)有 IP 地址，也可利

13、用 Internet 指定號(hào)碼機(jī)構(gòu) IANA 預(yù)留池 RFC.1918 規(guī)定的地址來實(shí)現(xiàn)這一特性。 Cisco Secure PIX 515-E 還可根據(jù)需要有選擇性地允許地址是否進(jìn)行轉(zhuǎn)化。CISCO 保證 NAT 將同所有其它的 PIX 防火墻特性 (如多媒體應(yīng)用支持 )共同工作。 Cisco Secure PIX 515-E Firewall 比適合中小型企業(yè)的網(wǎng)絡(luò)安全需求。3）天融信網(wǎng)絡(luò)衛(wèi)士 NGFW4000-S 防火墻北京天融信公司的網(wǎng)絡(luò)衛(wèi)士是我國(guó)第一套自主版權(quán)的防火墻系統(tǒng),目前在我國(guó)電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。網(wǎng)絡(luò)衛(wèi)士NGFW4000-S 防火墻是我

14、國(guó)首創(chuàng)的核檢測(cè)防火墻，更加安全更加穩(wěn)定。網(wǎng)絡(luò)衛(wèi)士NGFW4000-S 防火墻系統(tǒng)集中了包過濾防火墻、應(yīng)用代理、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 、用戶身份鑒別、虛擬專用網(wǎng)、Web 頁(yè)面保護(hù)、用戶權(quán)限控制、安全審計(jì)、攻擊檢測(cè)、流量控制與計(jì)費(fèi)等功能,可以為不同類型的Internet 接入網(wǎng)絡(luò)提供全方位的網(wǎng)絡(luò)安全服務(wù)。網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)是中國(guó)人自己設(shè)計(jì)的，因此管理界面完全是中文化的，使管理工作更加方便，網(wǎng)絡(luò)衛(wèi)士NGFW4000-S 防火墻的管理界面是所有防火墻中最直觀的。網(wǎng)絡(luò)衛(wèi)士NGFW4000-S 防火墻比適合中型企業(yè)的網(wǎng)絡(luò)安全需求。（ 4）東軟 NetEye 4032 防火墻NetEye 4032 防火墻

15、是 NetEye 防火墻系列中的最新版本，該系統(tǒng)在性能， 可靠性， 管理性等方面大大提高。 其基于狀態(tài)包過濾的流過濾體系結(jié)構(gòu)，保證從數(shù)據(jù)鏈路層到應(yīng)用層的完全高性能過濾， 可以進(jìn)行應(yīng)用級(jí)插件的及時(shí)升級(jí)，攻擊方式的及時(shí)響應(yīng)， 實(shí)現(xiàn)動(dòng)態(tài)的保障網(wǎng)絡(luò)安全。 NetEye 防火墻 4032 對(duì)流過濾引擎進(jìn)行了優(yōu)化，進(jìn)一步提高了性能和穩(wěn)定性，同時(shí)豐富了應(yīng)用級(jí)插件、 安全防御插件， 并且提升了開發(fā)相應(yīng)插件的速度。網(wǎng)絡(luò)安全本身是一個(gè)動(dòng)態(tài)的， 其變化非常迅速， 每天都有可能有新的攻擊方式產(chǎn)生。安全策略必須能夠隨著攻擊方式的產(chǎn)生而進(jìn)行動(dòng)態(tài)的調(diào)整，這樣才能夠動(dòng)態(tài)的保護(hù)網(wǎng)絡(luò)的安全?；跔顟B(tài)包過濾的流過濾體系結(jié)構(gòu)，具有動(dòng)

16、態(tài)保護(hù)網(wǎng)絡(luò)安全的特性，使 NetEye 防火墻能夠有效的抵御各種新的攻擊，動(dòng)態(tài)保障網(wǎng)絡(luò)安全。東軟 NetEye 4032 防火墻比適合中小型企業(yè)的網(wǎng)絡(luò)安全需求。三、防火墻的基本配置下面我以國(guó)內(nèi)防火墻第一品牌天融信NGFW 4000 為例給各位講解一下在一個(gè)典型的網(wǎng)絡(luò)環(huán)境中應(yīng)該如何來配置防火墻。圖 5：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)NGFW4000 有 3 個(gè)標(biāo)準(zhǔn)端口， 其中一個(gè)接外網(wǎng) （ Internet 網(wǎng)），一個(gè)接內(nèi)網(wǎng)， 一個(gè)接 DMZ區(qū)，在 DMZ 區(qū)中有網(wǎng)絡(luò)服務(wù)器。安裝防火墻所要達(dá)到的效果是：內(nèi)網(wǎng)區(qū)的電腦可以任意訪問外網(wǎng)，可以訪問DMZ 中指定的網(wǎng)絡(luò)服務(wù)器，Internet 網(wǎng)和 DMZ 的電腦不能訪問

17、內(nèi)網(wǎng)；Internet 網(wǎng)可以訪問DMZ 中的服務(wù)器。1、配置管理端口天融信網(wǎng)絡(luò)衛(wèi)士NGFW4000 防火墻是由防火墻和管理器組成的，管理防火墻都是通過網(wǎng)絡(luò)中的一臺(tái)電腦來實(shí)現(xiàn)的。防火墻默認(rèn)情況下，3 個(gè)口都不是管理端口，所以我們先要通過串口把天融信網(wǎng)絡(luò)衛(wèi)士NGFW4000 防火墻與我們的電腦連接起來，給防火墻指定一個(gè)管理端口，以后對(duì)防火墻的設(shè)置就可以通過遠(yuǎn)程來實(shí)現(xiàn)了。使用一條串口線把電腦的串口（COM1 ）與 NGFW4000 防火墻的console 口連接起來，啟動(dòng)電腦的 超級(jí)終端 ，端口選擇COM1 ，通信參數(shù)設(shè)置為每秒位數(shù)9600，數(shù)據(jù)位 8，奇偶校驗(yàn)無，停止位1，數(shù)據(jù)流控制無。進(jìn)入超級(jí)

18、終端的界面，輸入防火墻的密碼進(jìn)入命令行格式。定義管理口：if eth1 XXX.XXX.XXX.XXX 修改管理口的GUI登錄權(quán)限：fire client add topsec -t gui -a外網(wǎng)-i-552、使用 GUI 管理軟件配置防火墻安裝天融信防火墻GUI 管理軟件 TOPSEC 集中管理器 ，并建立 NGFW4000 管理項(xiàng)目，輸入防火墻管理端口的IP 地址與說明。然后登錄進(jìn)入管理界面。（ 1）定義網(wǎng)絡(luò)區(qū)域Internet（外網(wǎng)）：接在eth0 上，缺省訪問策略為any（即缺省可讀、可寫），日志選項(xiàng)為空，禁止ping 、 GUI 、 telnet。Intranet（內(nèi)網(wǎng)）：接在e

19、th1 上，缺省訪問策略為none（不可讀、不可寫），日志選項(xiàng)為記錄用戶命令，允許ping 、 GUI 、 telnet。DMZ區(qū)：接在eth2 上， 缺省訪問策略為none（不可讀、不可寫），日志選項(xiàng)為記錄用戶命令，禁止ping 、 GUI 、 telnet。（ 2）定義網(wǎng)絡(luò)對(duì)象一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)表示某個(gè)區(qū)域中的一臺(tái)物理機(jī)器。它可以作為訪問策略中的源和目的，也可以作為通信策略中的源和目的。網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)可以作為地址映射的地址池使用，表示地址映射的實(shí)際機(jī)器，詳細(xì)描述見通信策略。圖 6子網(wǎng)表示一段連續(xù)的IP 地址?？梢宰鳛椴呗缘脑椿蚰康模€可以作為NAT 的地址池使用。如果子網(wǎng)段中有已經(jīng)被其他部門使用的

20、IP，為了避免使用三個(gè)子網(wǎng)來描述技術(shù)部使用的 IP 地址，可以將這兩個(gè)被其他部門占用的地址在例外地址中說明。圖 7為了配置訪問策略，先定義特殊的節(jié)點(diǎn)與子網(wǎng)：FTP_SERVER ：代表 FTP 服務(wù)器，區(qū)域 =DMZ ， IP 地址 = XXX.XXX.XXX.XXX。HTTP_SERVER ：代表 HTTP 服務(wù)器，區(qū)域=DMZ ， IP 地址 = XXX.XXX.XXX.XXX。MAIL_SERVER：代表郵件服務(wù)器，區(qū)域=DMZ ， IP 地址 = XXX.XXX.XXX.XXX。V_SERVER ：代表外網(wǎng)訪問的虛擬服務(wù)器，區(qū)域=Internet ，IP= 防火墻 IP 地址。insi

21、de：表示內(nèi)網(wǎng)上的所有機(jī)器，區(qū)域=Intranet ，起始地址 =，結(jié)束地址=55 。outside：表示外網(wǎng)上的所有機(jī)器，區(qū)域=Internet ，起始地址 =，結(jié)束地址=55 。3）配置訪問策略在 DMZ 區(qū)域中增加三條訪問策略：A、訪問目的 =FTP_SERVER ，目的端口 =TCP 21 。源=inside ，訪問權(quán)限 =讀、寫。源=outside ，訪問權(quán)限 =讀。這條配置表示內(nèi)網(wǎng)的用戶可以讀、寫FTP 服務(wù)器上的文件，而外網(wǎng)的用戶只能讀文件，不能寫文件。B、訪問目的 =HTTP_SERVER ，目的端口 =TCP 80。源 =inside+outside ，訪問權(quán)限 =讀、寫。這

22、條配置表示內(nèi)網(wǎng)、外網(wǎng)的用戶都可以訪問HTTP 服務(wù)器。C、訪問目的 =MAIL_SERVER，目的端口 =TCP 25 ， TCP 110。源 =inside+outside ，訪問權(quán)限 =讀、寫。這條配置表示內(nèi)網(wǎng)、外網(wǎng)的用戶都可以訪問MAIL服務(wù)器。（ 4）通信策略由于內(nèi)網(wǎng)的機(jī)器沒有合法的IP 地址，它們?cè)L問外網(wǎng)需要進(jìn)行地址轉(zhuǎn)換。當(dāng)內(nèi)部機(jī)器訪問外部機(jī)器時(shí)， 可以將其地址轉(zhuǎn)換為防火墻的地址，也可以轉(zhuǎn)換成某個(gè)地址池中的地址。增加一條通信策略，目的=outside，源 =inside，方式 =NAT ，目的端口 =所有端口。如果需要轉(zhuǎn)換成某個(gè)地址池中的地址，則必須先在Internet 中定義一個(gè)子網(wǎng)，地址范圍就是地址池的范圍，然后在通信策略中選擇NAT 方式，在地址池類型中選擇剛才定義的地址池。服務(wù)器也沒有合法的IP 地址，必須依靠防火墻做地址映射來提供對(duì)外服務(wù)。增加通信策略。A 、目的 =V_SERVER ，源 =outside，通信方式 =MAP ，指定協(xié)議 =TCP ，端口映射21-21 ，目標(biāo)機(jī)器 =FTP_SERVER 。B、目的 =V_SERVER ，源 =outside，通信方式 =MAP ，指定協(xié)議 =TCP ，端口映射80-80 ，目標(biāo)機(jī)器 =HTTP_SERVER 。C、目的 =V_SERVER