防火墙策略配置流程

防火墙策略配置流程

原发布者:caiyxc

一、防火墙设置外网不能访问内网的方法：1、登录到天融信防火墙集中管理器；2、打开“高级管理”“网络对象”“内网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”“子网”，填入子网名称（自己命名），如“120段”，地址范围中，输入能够上网机器的所有IP范围（能够上网的电脑IP范围）。点击确定。3、在“网络对象”中选择“外网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”“子网”，填入子网名称（自己命名），如“外网IP”，地址范围中，输入所有IP范围。点击确定。4、访问策略设置A、在“高级管理”中选择“访问策略”“内网”，在右边的窗口中，点击右键，选择“增加”，点击“下一步”。B、在“策略源”中选择“外网IP”（刚才设置的外网IP），点击“下一步”。C、在“策略目的”中选择“内网”和“120段”（刚才设置的上网IP），点击“下一步”。D、在“策略服务”中，我们不做任何选择，直接点击“下一步”。（因为我们要限制所有外网对我们内网的访问，在此我们要禁用所有服务，因此不做选择）E、在“访问控制”中，“访问权限”选择“禁止”（因为我们上一步没有选择服务，在此我们选择禁止，表示我们将禁止外网对我们的所有服务），“访问时间”选择“任何”，“日志选项”选择“日志会话”，其他的不做修改，点击“下一步”。F、最后，点击“完成”。5、至此，我们就完成了对外网访问内网的设置。

用AVAST!杀软吧，它有7个监控强大的防火墙！辅软用WINDOWS清理助手最好！

大体上可分： 1.阻止所有 2.允许信任 3.提示临时

pix515防火墙配置策略实例 #转换特权用户 pixfirewall>ena pixfirewall# #进入全局配置模式 pixfirewall# conf t #激活内外端口 interface ethernet0 auto interface ethernet1 auto #下面两句配置内外端口的安全级别 nameif ethernet0 outside security0 nameif ethernet1 inside security100 #配置防火墙的用户信息 enable password pix515 hostname pix515 domain-name domain #下面几句配置内外网卡的IP地址 ip address inside 192.168.4.1 255.255.255.0 ip address outside 公网IP 公网IP子网掩码 global (outside) 1 interface nat (inside) 1 192.168.4.0 255.255.255.0 0 0 #下面两句将定义转发公网IP的ssh和www服务到192.168.4.2 static (inside,outside) tcp 公网IP www 192.168.4.2 www netmask 255.255.255.255 0 0 static (inside,outside) tcp 公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0 #下面两句将定义外部允许访问内部主机的服务 conduit permit tcp host 公网IP eq www any conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255 #允许内部服务器telnet pix telnet 192.168.4.2 255.255.255.0 inside #下面这句允许ping conduit permit icmp any any #下面这句路由网关 route outside 0.0.0.0 0.0.0.0 公网IP网关 1 #保存配置 write memory

在了解tcp和udp之前，我们需要来了解俩个概念，面向连接的服务和无连接的服务，应用面向连接的服务时，客户和服务器在发送在进行数据发送前，彼此向对方发送控制分组，这就是所谓的握手过程，使得客户和服务器都做好分组交换准备。 4月到6月，国外传统上称为“防火墙月”，据说这与“防火墙”的诞生有关。此后，每一种革命意义的防火墙技术都在此期间发布。遵照传统，编辑也收集了国内外论坛中的防火墙专帖，一起分享其中的安全理念与部署技巧。 定义所需要的防御能力 　　防火墙的监视、冗余度以及控制水平是需要进行定义的。 百事通通过企业系统策略的设计，it人员要确定企业可接受的风险水平（偏执到何种程度）。接下来it人员需要列出一个必须监测什么传输、必须允许什么传输通行，以及应当拒绝什么传输的清单。换句话说，it人员开始时先列出总体目标，然后把需求分析与风险评估结合在一起，挑出与风险始终对立的需求，加入到计划完成的工作清单中。 关注财务问题 　　很多专家建议，企业的it人员只能以模糊的表达方式论述这个问题。但是，试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如，一个完整的防火墙的高端产品可能价值10万美元，而低端产品可能是免费的；从头建立一个高端防火墙可能需要几个月。另外，系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好，但重要的是，使建立的防火墙不需要高额的维护和更新费用。 体现企业的系统策略 　　it人员需要明白，安装后的防火墙是为了明确地拒绝——除对于连接到网络至关重要的服务之外的所有服务。或者，安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂，防火墙的最终功能可能将是行政上的结果，而非工程上的决策。 网络设计 　　出于实用目的，企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。因此，基于这一事实，在技术上还需要做出几项决策：传输流路由服务可以通过诸如路由器中的过滤规则在ip层实现，或通过代理网关和服务在应用层实现。 　　it人员需要做出的决定是，是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务，或是否设置像过滤器这样的屏蔽路由器，允许与一台或多台内部计算机通信。这两种方式都存在着优缺点，代理机可以提供更高水平的审计和潜在的安全性，但代价是配置费用的增加，以及提供的服务水平的降低。