硬件防火墙配置：高级篇

“橘子城堡的点点”通过精心收集，向本站投稿了6篇硬件防火墙配置：高级篇，以下是小编精心整理后的硬件防火墙配置：高级篇，供大家阅读参考。

篇1：硬件防火墙配置：高级篇

关注更多防火墙设置问题请关注： 防火墙设置专题

第一部分内容请参阅：如何配置硬件防火墙

10. 地址转换（NAT）

防火墙的NAT配置与路由器的NAT配置基本一样，首先也必须定义供NAT转换的内部IP地址组，接着定义内部网段，

定义供NAT转换的内部地址组的命令是nat，它的格式为：nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]]，其中if_name为接口名；nat_id参数代表内部地址组号；而local_ip为本地网络地址；netmask为子网掩码；max_conns为此接口上所允许的最大TCP连接数，默认为“0”，表示不限制连接；em_limit为允许从此端口发出的连接数，默认也为“0”，即不限制。如：

nat (inside) 1 10.1.6.0 255.255.255.0

表示把所有网络地址为10.1.6.0，子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。

随后再定义内部地址转换后可用的外部地址池，它所用的命令为global,基本命令格式为：

global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ，各参数解释同上。如：

global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0

将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址，其子网掩耳盗铃码为255.255.255.0。

11. Port Redirection with Statics

这是静态端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口（PAT），或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器，这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。

命令格式有两种，分别适用于TCP/UDP通信和非TCP/UDP通信：

（1）. static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]

（2）. static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]

此命令中的以上各参数解释如下：

internal_if_name：内部接口名称；external_if_name：外部接口名称；{tcp|udp}：选择通信协议类型；{global_ip|interface}：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；[netmask mask]：本地子网掩码；max_conns：允许的最大TCP连接数，默认为“0”，即不限制；emb_limit：允许从此端口发起的连接数，默认也为“0”，即不限制；norandomseq：不对数据包排序，此参数通常不用选。

现在我们举一个实例，实例要求如下

外部用户向172.18.124.99的主机发出Telnet请求时，重定向到10.1.1.6。

外部用户向172.18.124.99的主机发出FTP请求时，重定向到10.1.1.3。

外部用户向172.18.124.208的端口发出Telnet请求时，重定向到10.1.1.4。

外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时，重定向到10.1.1.5。

外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时，重定向到10.1.1.5。

外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时，重定向到10.1.1.7的80号端口。

以上重写向过程要求如图2所示，防火墙的内部端口IP地址为10.1.1.2，外部端口地址为172.18.124.216。

图2

以上各项重定向要求对应的配置语句如下：

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0

12. 显示与保存结果

显示结果所用命令为：show config；保存结果所用命令为：write memory。

四、包过滤型防火墙的访问控制表（ACL）配置

除了以上介绍的基本配置外，在防火墙的安全策略中最重要还是对访问控制列表（ACL）进行配有关置。下面介绍一些用于此方面配置的基本命令。

1. access-list：用于创建访问规则

这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。

（1）创建标准访问列表

命令格式：access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）创建扩展访问列表

命令格式：access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

命令格式：no access-list { normal | special } { all | listnumber [ subitem ] }

上述命令参数说明如下：

例如，现要在华为的一款防火墙上配置一个“允许源地址为10.20.10.0网络、目的地址为10.20.30.0网络的WWW访问，但不允许使用FTP”的访问规则，

相应配置语句只需两行即可，如下：

Quidway (config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq www

Quidway (config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp

2. clear access-list counters：清除访问列表规则的统计信息

命令格式：clear access-list counters [ listnumber ]

这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号，如不指定，则清除所有的规则的统计信息。

如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为：

clear access-list counters 100

如有清除当前所使用的所有规则的统计信息，则以上语句需改为：Quidway#clear access-list counters

3. ip access-group

使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置，对应格式为：

ip access-group listnumber { in | out }

此命令须在端口用户模式下配置，进入端口用户模式的命令为：interface ethernet，括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号，是1~199之间的一个数值（包括标准访问规则和扩展访问规则两类）；in 表示规则应用于过滤从接口接收到的报文；而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。

例如将规则100应用于过滤从外部网络接口上接收到的报文，配置语句为（同样为在倾为包过滤路由器上）：

ip access-group 100 in

如果要删除某个访问控制表列绑定设置，则可用no ip access-group listnumber { in | out } 命令。

4. show access-list

此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为：show access-list [ all | listnumber | interface interface-name ]

这一命令须在特权用户模式下进行配置，其中all参数表示显示所有规则的应用情况，包括普通时间段内及特殊时间段内的规则；如果选择listnumber参数，则仅需显示指定规则号的过滤规则；interface 表示要显示在指定接口上应用的所有规则序号；interface-name参数为接口的名称。

使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例如，现在要显示当前所使用序号为100的规则的使用情况，可执行Quidway#show access-list 100语句即可，随即系统即显示这条规则的使用情况，格式如下：

Using normal packet-filtering access rules now.

100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)

100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)

100 deny udp any any eq rip (no matches -- rule 3)

5. show firewall

此命令须在特权用户模式下执行，它显示当前防火墙状态。命令格式非常简单，也为：show firewall。这里所说的防火墙状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

6. Telnet

这是用于定义能过防火配置控制端口进行远程登录的有关参数选项，也须在全局配置用户模式下进行配置。

命令格式为：telnet ip_address [netmask] [if_name]

其中的ip_address参数是用来指定用于Telnet登录的IP地址，netmask为子网掩码，if_name用于指定用于Telnet登录的接口，通常不用指定，则表示此IP地址适用于所有端口。如：

telnet 192.168.1.1

如果要清除防火墙上某个端口的Telnet参数配置，则须用clear telnet命令，其格式为：clear telnet [ip_address [netmask] [if_name]]，其中各选项说明同上。它与另一个命令no telnet功能基本一样，不过它是用来删除某接口上的Telnet配置，命令格式为：no telnet [ip_address [netmask] [if_name]]。

如果要显示当前所有的Telnet配置，则可用show telnet命令。

normal：指定规则加入普通时间段。

special：指定规则加入特殊时间段。

listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2：是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit：表明允许满足条件的报文通过。

deny：表明禁止满足条件的报文通过。

protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr：为源IP地址。

source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr：为目的IP地址。

dest-mask：为目的地址的子网掩码。

operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

log：表示如果报文符合条件，需要做日志。

listnumber：为删除的规则序号，是1~199之间的一个数值。

subitem：指定删除序号为listnumber的访问列表中规则的序号。

篇2：浅谈服务器硬件防火墙

在电脑世界什么最重用?相信有许多朋友都会想到安全，的确，在安全的基础上才能保障系统正常运行，保证自己的内容私密性，保证不会因为受攻击而DOWN机。那么，既然是最重要的部分，那一定就是最贵的吧。这次应该很多朋友会想错，用马云的话来说：“服务是全世界最贵的产品，所以最佳的服务就是不要服务，最好的服务就是不需要服务。”为了节约开支，为了“不需要服务”，在服务器领域里了硬防的概念，IDC服务器租赁商通常免费赠送硬防来争取赢得客户。

服务器硬防的简单介绍

服务器的硬防是指硬件防火墙，硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。 硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。

硬件防火墙的例行检查主要内容

1.硬件防火墙的配置文件

不论我们在安装硬件防火墙的时候考虑得有多么的全面和严密，一旦硬件防火墙投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。作为网络安全管理人员，最好能够编写一套修改防火墙配置和规则的安全策略，并严格实施，

所涉及的硬件防火墙配置，最好能详细到类似哪些流量被允许，哪些服务要用到代理这样的细节。

在安全策略中，要写明修改硬件防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化，并能尽量避免因修改配置所造成的错误和安全漏洞。

2.硬件防火墙的磁盘使用情况

如果在硬件防火墙上保留日志记录，那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录，那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下，磁盘占用量的异常增长很可能表明日志清除过程存在问题，这种情况相对来说还好处理一些。在不保留日志的情况下，如果磁盘占用量异常增长，则说明硬件防火墙有可能是被人安装了Rootkit工具，已经被人攻破。

因此，网络安全管理人员首先需要了解在正常情况下，防火墙的磁盘占用情况，并以此为依据，设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线，就意味着系统遇到了安全或其他方面的问题，需要进一步的检查。

3.硬件防火墙的CPU负载

和磁盘使用情况类似，CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员，必须了解硬件防火墙系统CPU负载的正常值是多少，过低的负载值不一定表示一切正常，但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。

篇3：Win7防火墙配置

Windows xp集成的防火墙常被视为鸡肋，但现在的Win7防火墙强悍的功能也有了点“专业”的味道。今天教和大家一起来看看该如何使用WIN7防火墙。

与Vista相同的是，可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是，你还可以通过访问控制面板的方式对其进行高级配置（包括对出站连接过滤器的配置），而不是一定要创 建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。

Vista 防火墙允许你去选择是在公共网格上还是在专用网络中，而在Windows 7中你有三个选择－－公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。

如果你选择了“家庭网络”选项，你将可以建立一个“家庭组”。在这种环境中，“网路发现”会自动启动，你将可以看到网络中其它的计算机和设备，同时他 们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库 中，你还可以排除它们。

如果你选择的是“工作网络”，“网路发现”同样会自动启动，但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域（通过控制面 板－－系统和安全－－系统－－高级系统配置－－计算机名 选项卡）并通过DC验证，那么防火墙将自动识别网络类型为域环境网络。

而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi网络时的适当选择，“网路发现”将默认关闭，这样其它网络中的计 算机就不会发现你的共享而你也将不能创建或加入“家庭组”。

在全部的网络模式中，Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。

多重作用防火墙策略

在Vista中，尽管你有公用网络和私用网络两个配置文件，但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情 况，那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上，这意味着你可能无法在本地（私用）网络中做你想做的事，因为你是在公用网络在规则下操 作。而在Windows 7 （和 Server 2008 R2）中，不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配，而与公用网络之间的流量则应用公用网络规则。

起作用的是那些不显眼的小事

在很多事例中，更好的可用性往往取决于小的改变，MS听取了用户的意见并将一些“不显眼而又起作用小东西”加入了Windows 7 firewall之中。比如，在Vista中当你创建防火墙规则时，必须分别列出各个ip地址和端口。而现在你只需要指定一个范围，这样一来用在执行一般 管理任务上的时间就被大大缩短了。

你还可以在防火墙控制台中创建连接安全规则（Connection Security Rules）来指定哪些端口或协议有使用IPsec的需求，而不必再使用netsh命令，对于那些喜欢GUI的人，这是一个更方便的改进。

连接安全规则（Connection Security Rules）还支持动态加密。意思是如果服务器收到一个客启端发出的未加密（但是通过了验证）的信息，安全关联会通过已议定的“运行中”来要求加密，以建 立更安全的通讯。

在“高级设置”中对配置文件进行配置

使用“高级设置”控制面板，你可以对每一个网络类型的配置文件进行设置。

对配置文件，你可以进行如下设置：

* 开启/关闭防火墙

* （拦截、拦截全部连接或是允许）入站连接

* （允许或拦截）出部连接

* （在有程序被拦截后是否通知你）通知显示

* 允许单播对多播或广播响应

* 除组策略防火墙规则以外允许本地管理员创建并应用本地防火墙规则

关于用netsh.exe配置系统防火墙

（1）、查看、开启或禁用系统防火墙

打开命令提示符输入输入命令“netsh firewallshow state”然后回车可查看防火墙的状态，从显示结果中可看到防火墙各功能模块的禁用及启用情况。命令“netsh firewall set opmode disable”用来禁用系统防火墙，相反命令“netsh firewall set opmode enable”可启用防火墙。

（2）、允许文件和打印共享

文件和打印共享在局域网中常用的，如果要允许客户端访问本机的共享文件或者打印机，可分别输入并执行如下命令：

netsh firewall add portopening UDP 137 Netbios-ns

（允许客户端访问服务器UDP协议的137端口）

netsh firewall add portopening UDP 138 Netbios-dgm

（允许访问UDP协议的138端口）

netsh firewall add portopening TCP 139 Netbios-ssn

（允许访问TCP协议的139端口）

netsh firewall add portopening TCP 445 Netbios-ds

（允许访问TCP协议的445端口）

命令执行完毕后，文件及打印共享所须的端口都被防火墙放行了。

（3）、允许ICMP回显

默认情况下，Windows 7出于安全考虑是不允许外部主机对其进行Ping测试的。但在一个安全的局域网环境中，Ping测试又是管理员进行网络测试所必须的，如何允许 Windows 7的ping测试回显呢？

当然，通过系统防火墙控制台可在“入站规则”中将“文件和打印共享（回显请求– ICMPv4-In）”规则设置为允许即可（如果网络使用了 IPv6，则同时要允许 ICMPv6-In 的规则。）。不过，我们在命令行下通过netsh命令可快速实现。执行命令“netsh firewall set icmpsetting 8”可开启ICMP回显，反之执行“netsh firewall set icmpsetting 8 disable”可关闭回显。

篇4：计算机英语高级词汇・硬件篇

计算机英语高级词汇・硬件篇

CPU（Central Processing Unit，中央处理器，计算机的心脏）

Memory（存储器，内存）

ROM（Read only Memory，只读存储器，只能读不能写）

RAM（Random Access Memory，随机存取存储器，内存属于这种存储器）

Bus（总线，计算机中信息的'?罚?BR>ISA（Industry Standard Architecture，工业标准结构总线）

VESA（Video Electronic Standard Association，视频电子标准协会的标准总线）

PCI（Peripheral Component Interconnect，外部互联总线标准）

USB（Universal Serial Bus，Intel，公司开发的通用串行总线架构）

SCSI（Small Computer System Interface，小型计算机系统接口）

AGP（Accelerate Graphics Processor，加速图形接口）

Mouse（鼠标，俗称“鼠”）

Keyboard（键盘）

CRT（Cathode Ray Tube，阴极射线管，常指显示屏）

LCD（Liquid Crystal Display，液晶显示屏）

VGA（Video Graphics Array，视频图形阵列，一种显示卡）

Resolution（分辨率）

Printer（打印机）

Scanner（扫描仪）

Floppy Disk（软盘）

Fixed Disk, Hard Disk（硬盘）

CD（Compact Disk，光盘）

Adapter（适配器（卡），俗称“卡”，如声卡、显示卡）

UPS（Uninterruptible Power System，不间断电源）

LPT（Line Printer，打印口，并行口）

DPI（Dots Per Inch，每英寸点数，指打印机的分辨率）

CPS（Characters Per Second，每秒字符数）

PPM（Pages Per Minute，每分钟打印页数）

篇5：配置防火墙的CBAC

我在Cisco 2514系列访问路由器上安装了版本为12.2的IOS防火墙，

配置防火墙的CBAC

在配置ACLs和CBAC的一个共同点就是需要在外部接口的入口安装一个互联网路由器，这样可以避免私人网络受到互联网中有害流量的攻击。这个配置对那些只允许由内部发起连接的返回流量通过的防火墙是相当简单的。为了实现这以目的，我在进入的接口增加了一个扩展访问列表，这样可以阻拦所有我想检查的流量：

Router （config）# Access-list 101 deny tcp any any

Router （config）# Access-list 101 deny udp any any

Router （config）# interface serial0

Router （config-if）# Ip access-group 101 in

在以前的陈述中，当在外部接口上应用进入检查时是阻拦所有TCP和UDP。这对检查所有通过的TCP和UDP流量提供了一个过滤方法。 通过在外部的101端口应用访问列表，可以确保互联网的通信一到达互联网路由器就被截获。我也可疑通过指定特定的应用层协议来实现更具体细微的控制，就象这个例子一样：

Router （config）# Access-list 101 deny tcp any any eq smtp

这一说明可以将所有SMTP通信阻挡在内部网络之外。在访问列表中，这应该放在先前的TCP过滤说明之前，否则没有什么作用。

定义超时

这个过程的下一步骤就是在使用CBAC跟踪连接时定义超时和最大值。你可以定义几个不同的值来加强CBAC防御网络进攻的能力。在启动环境中，大多数超时和最大值设置都有一个缺省值，可疑满足一般的需求。许多超时和最大值控制着路由器对DoS攻击如何应答。（我将在其他时候就时钟/最大值做更深入的讨论。）

请记住CBAC并不检查ICMP，只检查TCP和UDP。因此，你需要增加相应的ACL入口来适当限制ICMP。考虑在你的ACL上增加这些ICMP入口。这样可以让你的内部网络ping到在互联网中的主机，允许你的路由器对正确的ICMP流量做出回答。

直到目前，我们已经看到怎样配置扩展访问列表的入口并在外部接口上应用了进入流量规则的配置。ACL在入口阻拦所有的流量，而用CBAC可以进行检查。我使用缺省的超时和最大值设置，没有做修改。我建议开始时使用缺省值，然后根据你的需要进行调整。如果你不知道更改这些设置会对防火墙的运转产生什么样的影响，那贸然的更改设置不是一个好主意。接下来，我定义了实际的检查规则来管理哪个应用层协议应该被检查，

让我们看一下检查规则的命令结构。

这是通用的配置命令模式。需要你在很短的时间内指定名称，协议，警报设置，审核，和超时值。现在，我们来创建一个自己的。

我已经命名了check-tcp规则，指定协议检测TCP，同时激活警报和审核选项。需要主意的是警报和审核跟踪选项。这需要一个Syslog系统来发送信息。尽管那个配置超出了本文讨论的范围，我还是要建议在记录所有防火墙活动时使用审核。在这里，我在外部接口应用了Serial1规则，如下：

Router （config）# Interface serial1

Router （config-if）# ip inspect check-tcp out

请注意我已经在外部接口上应用了对外流量的检测规则。这将跟踪检测由内部发起的连接和所有外部接口发往互联网或其他一些外部网络的通信的标题。

如果你在配置CBAC过程中遇到什么困难的话，你可以使用下列的通用命令模式停止配置并恢复所有相关的设置。这并不会删除你配置在外部接口上的扩展访问列表。如果你关闭检测功能，请记住由于访问列表过滤了大多数，如果不是全部的话，从外部接口进入的流量，这很有可能把你的私人网络的所有通信入口都关闭。关闭检查是很简单的：

Router （config）# no ip inspect

这个命令将删除配置中的所有检测信息，包括过滤器规则和应用在接口上的命令行。

现在不再需要基本配置的详细资料了，让我们看一下用ACLs和CBAC检查功能配置一个互联网防火墙路由器。

由于在外部接口上访问列表被用来接收信息，这个基本的CBAC配置只允许有限的ICMP信息通过防火墙路由器。检测规则相当于filter1，它允许内部的用户通过HTTP端口和外界的WWW进行连接并跟踪这些连接，打开返回的状态信息，扩展访问列表。这对FTP和SMTP同样适用。在未来，如果我允许用户使用RealAudio或NetMeeting通道，我可以只是简单的使用add ip inspect 名称命令，其中filter1是名称。

如果想改变检查规则，你可以添加或删除某个行条目。如果想添加说明，通过使用和用户定义的规则相同的名称,用ip inspect 名称命令。如果需要删除某一行，使用no形式的ip inspect名称命令，看下面的例子：

Router （config）# ip inspect filter1 tcp

Router （config）# no ip inspect filter1 tcp

如果你想检查配置中的某一项，可以使用show ip inspect命令，得到CBAC安装详细资料。就象下面的：

Router# show ip inspect all

所有的参数将显示诸如当前检查的配置，当前通过防火墙的连接这样的信息。

篇6：硬件防火墙的例行检查

硬件防火墙是保障内部网络安全的一道重要屏障，它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。

一般来说，硬件防火墙的例行检查主要针对以下内容：

1.硬件防火墙的配置文件

不管你在安装硬件防火墙的时候考虑得有多么的全面和严密，一旦硬件防火墙投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。作为网络安全管理人员，最好能够编写一套修改防火墙配置和规则的安全策略，并严格实施。所涉及的硬件防火墙配置，最好能详细到类似哪些流量被允许，哪些服务要用到代理这样的细节。

在安全策略中，要写明修改硬件防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化，并能尽量避免因修改配置所造成的错误和安全漏洞。

2.硬件防火墙的磁盘使用情况

如果在硬件防火墙上保留日志记录，那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录，那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下，磁盘占用量的异常增长很可能表明日志清除过程存在问题，这种情况相对来说还好处理一些。在不保留日志的情况下，如果磁盘占用量异常增长，则说明硬件防火墙有可能是被人安装了Rootkit工具，已经被人攻破。

因此，网络安全管理人员首先需要了解在正常情况下，防火墙的磁盘占用情况，并以此为依据，设定一个检查基线，

硬件防火墙的磁盘占用量一旦超过这个基线，就意味着系统遇到了安全或其他方面的问题，需要进一步的检查。

3.硬件防火墙的CPU负载

和磁盘使用情况类似，CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员，必须了解硬件防火墙系统CPU负载的正常值是多少，过低的负载值不一定表示一切正常，但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。

4.硬件防火墙系统的精灵程序

每台防火墙在正常运行的情况下，都有一组精灵程序（Daemon），比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行，如果发现某些精灵程序没有运行，则需要进一步检查是什么原因导致这些精灵程序不运行，还有哪些精灵程序还在运行中。

5.系统文件

关键的系统文件的改变不外乎三种情况：管理人员有目的、有计划地进行的修改，比如计划中的系统升级所造成的修改；管理人员偶尔对系统文件进行的修改；攻击者对文件的修改。

经常性地检查系统文件，并查对系统文件修改记录，可及时发现防火墙所遭到的攻击。此外，还应该强调一下，最好在硬件防火墙配置策略的修改中，包含对系统文件修改的记录。

6.异常日志

硬件防火墙日志记录了所有允许或拒绝的通信的信息，是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大，所以，检查异常日志通常应该是一个自动进行的过程。当然，什么样的事件是异常事件，得由管理员来确定，只有管理员定义了异常事件并进行记录，硬件防火墙才会保留相应的日志备查。

上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患，但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要，管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否，甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击，以考核硬件防火墙的能力。

★ 高级硬件测试工程师的岗位职责说明

★ 笔记本电脑的硬件知识CPU,显卡篇

★ CorelDRAW X5模拟人物照片―高级教程篇

★ 植物配置设计说明范文

★ 硬件维护实习日记

★ 防火墙的并发连接数

★ 电脑网络防火墙设置

★ 学校硬件设施安全管理制度

★ 交换机TRUNK配置的问题

★ CiscoHSRP的配置网络知识

硬件防火墙配置：高级篇（精选6篇）

欢迎下载DOC格式的硬件防火墙配置：高级篇，但愿能给您带来参考作用！

推荐度：

点击下载文档 文档为doc格式