首頁(yè) 考試吧論壇 Exam8視線 考試商城 網(wǎng)絡(luò)課程 模擬考試 考友錄 實(shí)用文檔 求職招聘 論文下載
2011中考 | 2011高考 | 2012考研 | 考研培訓(xùn) | 在職研 | 自學(xué)考試 | 成人高考 | 法律碩士 | MBA考試
MPA考試 | 中科院
四六級(jí) | 職稱英語(yǔ) | 商務(wù)英語(yǔ) | 公共英語(yǔ) | 托福 | 雅思 | 專四專八 | 口譯筆譯 | 博思 | GRE GMAT
新概念英語(yǔ) | 成人英語(yǔ)三級(jí) | 申碩英語(yǔ) | 攻碩英語(yǔ) | 職稱日語(yǔ) | 日語(yǔ)學(xué)習(xí) | 法語(yǔ) | 德語(yǔ) | 韓語(yǔ)
計(jì)算機(jī)等級(jí)考試 | 軟件水平考試 | 職稱計(jì)算機(jī) | 微軟認(rèn)證 | 思科認(rèn)證 | Oracle認(rèn)證 | Linux認(rèn)證
華為認(rèn)證 | Java認(rèn)證
公務(wù)員 | 報(bào)關(guān)員 | 銀行從業(yè)資格 | 證券從業(yè)資格 | 期貨從業(yè)資格 | 司法考試 | 法律顧問(wèn) | 導(dǎo)游資格
報(bào)檢員 | 教師資格 | 社會(huì)工作者 | 外銷(xiāo)員 | 國(guó)際商務(wù)師 | 跟單員 | 單證員 | 物流師 | 價(jià)格鑒證師
人力資源 | 管理咨詢師考試 | 秘書(shū)資格 | 心理咨詢師考試 | 出版專業(yè)資格 | 廣告師職業(yè)水平
駕駛員 | 網(wǎng)絡(luò)編輯
衛(wèi)生資格 | 執(zhí)業(yè)醫(yī)師 | 執(zhí)業(yè)藥師 | 執(zhí)業(yè)護(hù)士
會(huì)計(jì)從業(yè)資格考試會(huì)計(jì)證) | 經(jīng)濟(jì)師 | 會(huì)計(jì)職稱 | 注冊(cè)會(huì)計(jì)師 | 審計(jì)師 | 注冊(cè)稅務(wù)師
注冊(cè)資產(chǎn)評(píng)估師 | 高級(jí)會(huì)計(jì)師 | ACCA | 統(tǒng)計(jì)師 | 精算師 | 理財(cái)規(guī)劃師 | 國(guó)際內(nèi)審師
一級(jí)建造師 | 二級(jí)建造師 | 造價(jià)工程師 | 造價(jià)員 | 咨詢工程師 | 監(jiān)理工程師 | 安全工程師
質(zhì)量工程師 | 物業(yè)管理師 | 招標(biāo)師 | 結(jié)構(gòu)工程師 | 建筑師 | 房地產(chǎn)估價(jià)師 | 土地估價(jià)師 | 巖土師
設(shè)備監(jiān)理師 | 房地產(chǎn)經(jīng)紀(jì)人 | 投資項(xiàng)目管理師 | 土地登記代理人 | 環(huán)境影響評(píng)價(jià)師 | 環(huán)保工程師
城市規(guī)劃師 | 公路監(jiān)理師 | 公路造價(jià)師 | 安全評(píng)價(jià)師 | 電氣工程師 | 注冊(cè)測(cè)繪師 | 注冊(cè)計(jì)量師
繽紛校園 | 實(shí)用文檔 | 英語(yǔ)學(xué)習(xí) | 作文大全 | 求職招聘 | 論文下載 | 訪談 | 游戲

軟考網(wǎng)工:防火墻配置中必備的六個(gè)主要命令解析

防火墻的基本功能,是通過(guò)六個(gè)命令來(lái)完成的。一般情況下,除非有特殊的安全需求,這個(gè)六個(gè)命令基本上可以搞定防火墻的配置。下面筆者就結(jié)合CISCO的防火墻,來(lái)談?wù)劮阑饓Φ幕九渲茫M軌蚪o大家一點(diǎn)參考。

  第一個(gè)命令:interface

  Interface是防火墻配置中最基本的命令之一,他主要的功能就是開(kāi)啟關(guān)閉接口、配置接口的速度、對(duì)接口進(jìn)行命名等等。在買(mǎi)來(lái)防火墻的時(shí)候,防火墻的各個(gè)端都都是關(guān)閉的,所以,防火墻買(mǎi)來(lái)后,若不進(jìn)行任何的配置,防止在企業(yè)的網(wǎng)絡(luò)上,則防火墻根本無(wú)法工作,而且,還會(huì)導(dǎo)致企業(yè)網(wǎng)絡(luò)不同。

  1、 配置接口速度

  在防火墻中,配置接口速度的方法有兩種,一種是手工配置,另外一種是自動(dòng)配置。手工配置就是需要用戶手工的指定防火墻接口的通信速度;而自動(dòng)配置的話,則是指防火墻接口會(huì)自動(dòng)根據(jù)所連接的設(shè)備,來(lái)決定所需要的通信速度。

  如:interface ethernet0 auto --為接口配置“自動(dòng)設(shè)置連接速度”

  Interface ethernet2 100ful --為接口2手工指定連接速度,100MBIT/S。

  這里,參數(shù)ethernet0或者etnernet2則表示防火墻的接口,而后面的參數(shù)表示具體的速度。

  筆者建議

  在配置接口速度的時(shí)候,要注意兩個(gè)問(wèn)題。

  一是若采用手工指定接口速度的話,則指定的速度必須跟他所連接的設(shè)備的速度相同,否則的話,會(huì)出現(xiàn)一些意外的錯(cuò)誤。如在防火墻上,若連接了一個(gè)交換機(jī)的話,則交換機(jī)的端口速度必須跟防火墻這里設(shè)置的速度相匹配。

  二是雖然防火墻提供了自動(dòng)設(shè)置接口速度的功能,不過(guò),在實(shí)際工作中,作者還是不建議大家采用這個(gè)功能。因?yàn)檫@個(gè)自動(dòng)配置接口速度,會(huì)影響防火墻的性能。而且,其有時(shí)候也會(huì)判斷失誤,給網(wǎng)絡(luò)造成通信故障。所以,在一般情況下,無(wú)論是筆者,還是思科的官方資料,都建議大家采用手工配置接口速度。

  2、 關(guān)閉與開(kāi)啟接口

  防火墻上有多個(gè)接口,為了安全起見(jiàn),打開(kāi)的接口不用的話,則需要及時(shí)的進(jìn)行關(guān)閉。一般可用shutdown命令來(lái)關(guān)閉防火墻的接口。但是這里跟思科的IOS軟件有一個(gè)不同,就是如果要打開(kāi)這個(gè)接口的話,則不用采用no shutdown命令。在防火墻的配置命令中,沒(méi)有這一條。而應(yīng)該采用不帶參數(shù)的shutdown命令,來(lái)把一個(gè)接口設(shè)置為管理模式。

  筆者建議

  在防火墻配置的時(shí)候,不要把所有的接口都打開(kāi),需要用到幾個(gè)接口,就打開(kāi)幾個(gè)接口。若把所有的接口都打開(kāi)的話,會(huì)影響防火墻的運(yùn)行效率,而且,對(duì)企業(yè)網(wǎng)絡(luò)的安全也會(huì)有影響。或者說(shuō),他會(huì)降低防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的控制強(qiáng)度。

  第二個(gè)命令:nameif

  一般防火墻出廠的時(shí)候,思科也會(huì)為防火墻配置名字,如ethernet0等等,也就是說(shuō),防火墻的物理位置跟接口的名字是相同的。但是,很明顯,這對(duì)于我們的管理是不利的,我們不能夠從名字直觀的看到,這個(gè)接口到底是用來(lái)做什么的,是連接企業(yè)的內(nèi)部網(wǎng)絡(luò)接口,還是連接企業(yè)的外部網(wǎng)絡(luò)接口。所以,網(wǎng)絡(luò)管理員,希望能夠重命令這個(gè)接口的名字,利用比較直觀的名字來(lái)描述接口的用途,如利用outside命令來(lái)表示這個(gè)接口是用來(lái)連接外部網(wǎng)絡(luò);而利用inside命令來(lái)描述這個(gè)接口是用來(lái)連接內(nèi)部網(wǎng)絡(luò)。同時(shí),在給端口進(jìn)行命名的時(shí)候,還可以指定這個(gè)接口的安全等級(jí)。

  Nameif命令基本格式如下

  Nameif hardware-id if-name security-level

  其中,hardware-id表示防火墻上接口的具體位置,如ethernet0或者ethernet1等等。這些是思科防火墻在出廠的時(shí)候就已經(jīng)設(shè)置好的,不能夠進(jìn)行更改。若在沒(méi)有對(duì)接口進(jìn)行重新命名的時(shí)候,我們只能夠通過(guò)這個(gè)接口位置名稱,來(lái)配置對(duì)應(yīng)的接口參數(shù)。

  而if-name 則是我們?yōu)檫@個(gè)接口指定的具體名字。一般來(lái)說(shuō),這個(gè)名字希望能夠反映出這個(gè)接口的用途,就好象給這個(gè)接口取綽號(hào)一樣,要能夠反映能出這個(gè)接口的實(shí)際用途。另外,這個(gè)命名的話,我們網(wǎng)絡(luò)管理員也必須遵守一定的規(guī)則。如這個(gè)名字中間不能用空格,不同用數(shù)字或者其他特殊字符(這不利于后續(xù)的操作),在長(zhǎng)度上也不能夠超過(guò)48個(gè)字符。

  security-level表示這個(gè)接口的安全等級(jí)。一般情況下,可以把企業(yè)內(nèi)部接口的安全等級(jí)可以設(shè)置的高一點(diǎn),而企業(yè)外部接口的安全等級(jí)則可以設(shè)置的低一點(diǎn)。如此的話,根據(jù)防火墻的訪問(wèn)規(guī)則,安全級(jí)別高的接口可以防衛(wèi)安全級(jí)別低的接口。也就是說(shuō),不需要經(jīng)過(guò)特殊的設(shè)置,企業(yè)內(nèi)部網(wǎng)絡(luò)就可以訪問(wèn)企業(yè)外部網(wǎng)絡(luò)。而如果外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò),由于是安全級(jí)別低的接口訪問(wèn)安全級(jí)別高的接口,則必須要要進(jìn)行一些特殊的設(shè)置,如需要訪問(wèn)控制列表的支持,等等。

  筆者建議

  在給接口配置安全等級(jí)的時(shí)候,一般不需要設(shè)置很復(fù)雜的安全等級(jí)。在安全要求一般的企業(yè),只需要把接口的安全登記分為兩級(jí)(一般只用兩個(gè)接口,一個(gè)連接外部網(wǎng)絡(luò),一個(gè)連接內(nèi)部網(wǎng)絡(luò)),如此的話,防火墻的安全級(jí)別管理,會(huì)方便許多。

  另外,就是企業(yè)內(nèi)部網(wǎng)絡(luò)的安全級(jí)別要高于外部網(wǎng)絡(luò)的安全級(jí)別。因?yàn)閺钠髽I(yè)安全方面考慮,我們的基本原則是內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)可以放開(kāi),而外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的話,就要有所限制,則主要是出于限制病毒、木馬等給企業(yè)網(wǎng)絡(luò)所造成的危害的目的。不過(guò),若企業(yè)內(nèi)部對(duì)外部訪問(wèn)也有限制的話,如不允許訪問(wèn)FTP服務(wù)器,等等,則可以借助訪問(wèn)控制列表或者其他技術(shù)手段來(lái)實(shí)現(xiàn)。

  在對(duì)接口進(jìn)行命名的時(shí)候,要能夠反映這個(gè)接口的用途,否則的話,對(duì)其進(jìn)行命名也就沒(méi)有什么意思了。一般的話,如可以利用inside或者 outside來(lái)表示連接內(nèi)網(wǎng)與外網(wǎng)的接口。如此的話在,網(wǎng)絡(luò)管理員在一看到這個(gè)接口名字,就知道這個(gè)接口的用途。這幾可以提高我們防火墻維護(hù)的效率。對(duì)于我們按照這個(gè)名字來(lái)對(duì)接口進(jìn)行配置的時(shí)候,就比較容易實(shí)現(xiàn),而不需要再去想我需要配置的接口名字是什么。若我們真的忘記了接口名字的話,則可以利用 show nameif命令來(lái)檢驗(yàn)接口名字的配置。

  相關(guān)推薦:網(wǎng)絡(luò)技術(shù):解析網(wǎng)絡(luò)防火墻工作方式與優(yōu)缺點(diǎn)
       2010年計(jì)算機(jī)軟件水平考試時(shí)間安排通知
       2010年計(jì)算機(jī)軟件水平考試工作安排詳情
文章搜索
軟件水平考試欄目導(dǎo)航
版權(quán)聲明:如果軟件水平考試網(wǎng)所轉(zhuǎn)載內(nèi)容不慎侵犯了您的權(quán)益,請(qǐng)與我們聯(lián)系800@exam8.com,我們將會(huì)及時(shí)處理。如轉(zhuǎn)載本軟件水平考試網(wǎng)內(nèi)容,請(qǐng)注明出處。