第一個(gè)命令:interface
Interface是防火墻配置中最基本的命令之一,他主要的功能就是開(kāi)啟關(guān)閉接口、配置接口的速度、對(duì)接口進(jìn)行命名等等。在買(mǎi)來(lái)防火墻的時(shí)候,防火墻的各個(gè)端都都是關(guān)閉的,所以,防火墻買(mǎi)來(lái)后,若不進(jìn)行任何的配置,防止在企業(yè)的網(wǎng)絡(luò)上,則防火墻根本無(wú)法工作,而且,還會(huì)導(dǎo)致企業(yè)網(wǎng)絡(luò)不同。
1、 配置接口速度
在防火墻中,配置接口速度的方法有兩種,一種是手工配置,另外一種是自動(dòng)配置。手工配置就是需要用戶手工的指定防火墻接口的通信速度;而自動(dòng)配置的話,則是指防火墻接口會(huì)自動(dòng)根據(jù)所連接的設(shè)備,來(lái)決定所需要的通信速度。
如:interface ethernet0 auto --為接口配置“自動(dòng)設(shè)置連接速度”
Interface ethernet2 100ful --為接口2手工指定連接速度,100MBIT/S。
這里,參數(shù)ethernet0或者etnernet2則表示防火墻的接口,而后面的參數(shù)表示具體的速度。
筆者建議
在配置接口速度的時(shí)候,要注意兩個(gè)問(wèn)題。
一是若采用手工指定接口速度的話,則指定的速度必須跟他所連接的設(shè)備的速度相同,否則的話,會(huì)出現(xiàn)一些意外的錯(cuò)誤。如在防火墻上,若連接了一個(gè)交換機(jī)的話,則交換機(jī)的端口速度必須跟防火墻這里設(shè)置的速度相匹配。
二是雖然防火墻提供了自動(dòng)設(shè)置接口速度的功能,不過(guò),在實(shí)際工作中,作者還是不建議大家采用這個(gè)功能。因?yàn)檫@個(gè)自動(dòng)配置接口速度,會(huì)影響防火墻的性能。而且,其有時(shí)候也會(huì)判斷失誤,給網(wǎng)絡(luò)造成通信故障。所以,在一般情況下,無(wú)論是筆者,還是思科的官方資料,都建議大家采用手工配置接口速度。
2、 關(guān)閉與開(kāi)啟接口
防火墻上有多個(gè)接口,為了安全起見(jiàn),打開(kāi)的接口不用的話,則需要及時(shí)的進(jìn)行關(guān)閉。一般可用shutdown命令來(lái)關(guān)閉防火墻的接口。但是這里跟思科的IOS軟件有一個(gè)不同,就是如果要打開(kāi)這個(gè)接口的話,則不用采用no shutdown命令。在防火墻的配置命令中,沒(méi)有這一條。而應(yīng)該采用不帶參數(shù)的shutdown命令,來(lái)把一個(gè)接口設(shè)置為管理模式。
筆者建議
在防火墻配置的時(shí)候,不要把所有的接口都打開(kāi),需要用到幾個(gè)接口,就打開(kāi)幾個(gè)接口。若把所有的接口都打開(kāi)的話,會(huì)影響防火墻的運(yùn)行效率,而且,對(duì)企業(yè)網(wǎng)絡(luò)的安全也會(huì)有影響。或者說(shuō),他會(huì)降低防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的控制強(qiáng)度。
第二個(gè)命令:nameif
一般防火墻出廠的時(shí)候,思科也會(huì)為防火墻配置名字,如ethernet0等等,也就是說(shuō),防火墻的物理位置跟接口的名字是相同的。但是,很明顯,這對(duì)于我們的管理是不利的,我們不能夠從名字直觀的看到,這個(gè)接口到底是用來(lái)做什么的,是連接企業(yè)的內(nèi)部網(wǎng)絡(luò)接口,還是連接企業(yè)的外部網(wǎng)絡(luò)接口。所以,網(wǎng)絡(luò)管理員,希望能夠重命令這個(gè)接口的名字,利用比較直觀的名字來(lái)描述接口的用途,如利用outside命令來(lái)表示這個(gè)接口是用來(lái)連接外部網(wǎng)絡(luò);而利用inside命令來(lái)描述這個(gè)接口是用來(lái)連接內(nèi)部網(wǎng)絡(luò)。同時(shí),在給端口進(jìn)行命名的時(shí)候,還可以指定這個(gè)接口的安全等級(jí)。
Nameif命令基本格式如下
Nameif hardware-id if-name security-level
其中,hardware-id表示防火墻上接口的具體位置,如ethernet0或者ethernet1等等。這些是思科防火墻在出廠的時(shí)候就已經(jīng)設(shè)置好的,不能夠進(jìn)行更改。若在沒(méi)有對(duì)接口進(jìn)行重新命名的時(shí)候,我們只能夠通過(guò)這個(gè)接口位置名稱,來(lái)配置對(duì)應(yīng)的接口參數(shù)。
而if-name 則是我們?yōu)檫@個(gè)接口指定的具體名字。一般來(lái)說(shuō),這個(gè)名字希望能夠反映出這個(gè)接口的用途,就好象給這個(gè)接口取綽號(hào)一樣,要能夠反映能出這個(gè)接口的實(shí)際用途。另外,這個(gè)命名的話,我們網(wǎng)絡(luò)管理員也必須遵守一定的規(guī)則。如這個(gè)名字中間不能用空格,不同用數(shù)字或者其他特殊字符(這不利于后續(xù)的操作),在長(zhǎng)度上也不能夠超過(guò)48個(gè)字符。
security-level表示這個(gè)接口的安全等級(jí)。一般情況下,可以把企業(yè)內(nèi)部接口的安全等級(jí)可以設(shè)置的高一點(diǎn),而企業(yè)外部接口的安全等級(jí)則可以設(shè)置的低一點(diǎn)。如此的話,根據(jù)防火墻的訪問(wèn)規(guī)則,安全級(jí)別高的接口可以防衛(wèi)安全級(jí)別低的接口。也就是說(shuō),不需要經(jīng)過(guò)特殊的設(shè)置,企業(yè)內(nèi)部網(wǎng)絡(luò)就可以訪問(wèn)企業(yè)外部網(wǎng)絡(luò)。而如果外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò),由于是安全級(jí)別低的接口訪問(wèn)安全級(jí)別高的接口,則必須要要進(jìn)行一些特殊的設(shè)置,如需要訪問(wèn)控制列表的支持,等等。
筆者建議
在給接口配置安全等級(jí)的時(shí)候,一般不需要設(shè)置很復(fù)雜的安全等級(jí)。在安全要求一般的企業(yè),只需要把接口的安全登記分為兩級(jí)(一般只用兩個(gè)接口,一個(gè)連接外部網(wǎng)絡(luò),一個(gè)連接內(nèi)部網(wǎng)絡(luò)),如此的話,防火墻的安全級(jí)別管理,會(huì)方便許多。
另外,就是企業(yè)內(nèi)部網(wǎng)絡(luò)的安全級(jí)別要高于外部網(wǎng)絡(luò)的安全級(jí)別。因?yàn)閺钠髽I(yè)安全方面考慮,我們的基本原則是內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)可以放開(kāi),而外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的話,就要有所限制,則主要是出于限制病毒、木馬等給企業(yè)網(wǎng)絡(luò)所造成的危害的目的。不過(guò),若企業(yè)內(nèi)部對(duì)外部訪問(wèn)也有限制的話,如不允許訪問(wèn)FTP服務(wù)器,等等,則可以借助訪問(wèn)控制列表或者其他技術(shù)手段來(lái)實(shí)現(xiàn)。
在對(duì)接口進(jìn)行命名的時(shí)候,要能夠反映這個(gè)接口的用途,否則的話,對(duì)其進(jìn)行命名也就沒(méi)有什么意思了。一般的話,如可以利用inside或者 outside來(lái)表示連接內(nèi)網(wǎng)與外網(wǎng)的接口。如此的話在,網(wǎng)絡(luò)管理員在一看到這個(gè)接口名字,就知道這個(gè)接口的用途。這幾可以提高我們防火墻維護(hù)的效率。對(duì)于我們按照這個(gè)名字來(lái)對(duì)接口進(jìn)行配置的時(shí)候,就比較容易實(shí)現(xiàn),而不需要再去想我需要配置的接口名字是什么。若我們真的忘記了接口名字的話,則可以利用 show nameif命令來(lái)檢驗(yàn)接口名字的配置。
相關(guān)推薦:網(wǎng)絡(luò)技術(shù):解析網(wǎng)絡(luò)防火墻工作方式與優(yōu)缺點(diǎn)北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |