防火墙命令手册
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙命令手册
目录
1简介 (3)
2功能简述 (3)
2.1连接监测 (3)
2.2包过滤策略 (4)
2.3协议状态检测 (4)
2.4基于MAC地址的桥过滤 (4)
3配置防火墙 (5)
4典型配置 (17)
1 简介
Internet 的发展给政府结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用Internet 来提高办事效率和市场反应速度,以便更具竞争力。通过Internet ,企业可以从异地取回重要数据,同时又要面对Internet 开放带来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的" 战壕" ,而这个" 战壕" 就是防火墙。
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet 网络为最甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet 之间的任何活动,保证了内部网络的安全。
除了安全作用,防火墙还支持具有Internet 服务特性的企业内部网络技术体系VPN 。通过VPN ,将企事业单位在地域上分布在全世界各地的LAN 或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
2 功能简述
2.1 连接监测
基于状态的资源和连接控制基于这样的观点:如果连接长时间没有应答,一直处于半连接状态,会浪费连接资源。同样虽然连接已经建立,但长时间没有数据流穿过,
也会浪费了连接资源。
连接监测功能通过追踪和统计连接建立的过程和数量,来管理系统和ICMP,TCP,UDP,Generic协议的连接状态,提高网络访问的性能。
2.2 包过滤策略
包过滤策略能够保护内部网络资源,防止外来者接触。同时限制内部网络用户对外部网络的访问。
防火墙包过滤策略根据IP包中IP、TCP、UDP协议的头部信息,以及承载IP的Ethernet帧头的MAC地址、IP报文进入系统的入口设备以及IP报文离开系统的出口设备决定对IP包进行的操作,由此控制对网络内部或网络外部资源的访问,提高网络的安全性能。
由于包过滤策略能处理MAC地址、IP,TCP,UDP协议的头部信息,这样既控制了网络中的通过系统数据流量,又能维持一定的系统性能。
注意:MAC地址只能用于包过滤策略的源端。因为Ethernet帧的目的MAC地址通常是网关设备自己。
基于策略的连接数限制
基于策略的连接数限制功能统计匹配每个策略的总连接数和每个主机的连接数,并能够对这些连接数量加以限制。
2.3 协议状态检测
系统实现了对以下协议的状态检测功能:FTP,H323和SIP。在这些协议当中,主连接的净载荷中,包含有动态协商的附加连接的信息(端口号和IP地址)。系统不要求配置附加连接的包过滤策略。而当进行conntrack时,通过对可能产生附加连接的报文进行检查,可以在附加连接建立之前获得精确的信息,利用这些信息就可以检测出这些附加连接并对附加连接实施与主连接一样的包过滤策略。
2.4 基于MAC地址的桥过滤
在桥模式(bridge mode)下,系统支持对以太网帧进行基于MAC地址的过滤。
系统在对以太网帧进行路由之前进行MAC地址的过滤。
基于MAC地址的过滤实现以下三种过滤:
●对封装内容不是IP协议包的以太网帧进行过滤。
●对目的MAC地址是组播地址的以太网帧进行过滤。
●对帧头中的源MAC地址或目的MAC地址匹配配置的MAC过滤条目的以太
网帧进行过滤。
对于每个被过滤的以太网帧产生系统日志。
注:对所有的组播帧,其目的MAC地址的第一个字节都是0x01。
3 配置防火墙
4 典型配置
1.下图为连接监测和包过滤策略配置图。假定防火墙接口eth0连接Internet,其
他接口连接企业内部网络。其中vlan1连接研发部,vlan2连接财务部。要
求财务部不能访问外网,研发部只能在周一直周五的18~21点之间才能访
问外网。
图2 连接监测和包过滤策略配置
步骤1:配置接口
Host> enable
Host# host# configure terminal
host(config)# host(config)# interface eth0
host(config-eth0)#ip address 204.100.100.1/24
host(config-eth0)# interface vlan1
host(config-eth1)#ip address 192.168.200.1/24
host(config-eth1)#interface vlan2
host(config-vlan1)#ip address 192.168.100.1/24
host(config-vlan1)#interface eth2
host(config-eth2)#port access vlan 2
host(config-eth2)#exit