常见防火墙配置大全

常见防火墙配置大全

目前在我国常见的防火墙厂家有思科、天融信、东软、华为3COM，本文将对几个厂家的典型防火墙的配置作详细说明。

一、C isco Secure PIX 515-E Firewall

1、超级终端登录

与其他的Cisco 设备一样，用Console 线连接到防火墙，初始特权密码为空。

2、配置内部接口和IP

输入enable，进入接口模式，配置接口的ip

3、用dir命令查看当前防火墙的image版本：

4、配置允许用ASA图形来管理防火墙

5、存盘重启

6、IE浏览防火墙IP，出现安装ASDM界面

选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

7、运行ASDM Launcher，出现登陆画面

8、验证消息

9、登录进去后，进入asa配置防火墙界面：

10、选择工具栏的“Configuration”按钮

11、选择“Interface”，对防火墙的接口进行配置：

选中对应的接口，选择edit按钮：

12、配置接口的IP 地址，并将该接口指定为outside

单击OK 后，弹出“Security Level Change”对话框，单击OK

13、编辑g0/1 接口，并定义为DMZ 区域

14、接口配置完成后，要单击apply 按钮，以应用刚才的改变

15、单击Routing->Static Route->Add，增加路由

16、修改防火墙密码

17、动态NAT转换（选择Add Dynamic NAT Rule）

Interface 选择inside，Source 处输入any

单击add，增加地址池

Interface 选择Outside，选择PAT，单击Add 按钮

18、静态NAT转换

19、建立安全策略

注意缺省情况下高安全级别到低安全级别安全策略是允许通过的，所以inside到ouside，DMZ到 ouside不用设置安全策略流量就可以通过此时我们只需要建立outside到 DMZ的HTTP server（172.16.1.10）的安全策略：

20、设置透明模式

超级终端转换模式命令

定义接口

二、天融信网络卫士NGFW4000-S防火墙

下面我以国内防火墙第一品牌天融信NGFW 4000为例给各位讲解一下在一个典型的网络环境中应该如何来配置防火墙。

NGFW4000有3个标准端口，其中一个接外网（Internet网），一个接内网，一个接DMZ区，在DMZ区中有网络服务器。安装防火墙所要达到的效果是：内网区的电脑可以任意访问外网，可以访问DMZ中指定的网络服务器，Internet 网和DMZ的电脑不能访问内网；Internet网可以访问DMZ中的服务器。

1、配置管理端口

天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的，管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下，3个口都不是管理端口，所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来，给防火墙指定一个管理端口，以后对防火墙的设置就可以通过远程来实现了。

使用一条串口线把电脑的串口（COM1）与NGFW4000防火墙的console口连接起来，启动电脑的"超级终端"，端口选择COM1，通信参数设置为每秒位数9600，数据位8，奇偶校验无，停止位1，数据流控制无。进入超级终端的界面，输入防火墙的密码进入命令行格式。

定义管理口：if eth1 XXX.XXX.XXX.XXX 255.255.255.0

修改管理口的GUI登录权限： fire client add topsec -t gui -a 外网 -i 0.0.0.0-255.255.255.255

2、使用GUI管理软件配置防火墙

安装天融信防火墙GUI管理软件"TOPSEC集中管理器"，并建立NGFW4000管理项目，输入防火墙管理端口的IP地址与说明。然后登录进入管理界面。

（1）定义网络区域

Internet（外网）：接在eth0上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping、GUI、telnet。

Intranet（内网）：接在eth1上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，允许ping、GUI、telnet。

DMZ区：接在eth2上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，禁止ping、GUI、telnet。

（2）定义网络对象

一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的，也可以作为通信策略中的源和目的。网络节点同时可以作为地址映射的地址池使用，表示地址映射的实际机器，详细描述见通信策略。

子网表示一段连续的IP地址。可以作为策略的源或目的，还可以作为NAT的地址池使用。如果子网段中有已经被其他部门使用的IP，为了避免使用三个子网来描述技术部使用的IP地址，可以将这两个被其他部门占用的地址在例外地址中说明。

为了配置访问策略，先定义特殊的节点与子网：

FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

V_SERVER：代表外网访问的虚拟服务器，区域=Internet，IP=防火墙IP地址。

inside：表示内网上的所有机器，区域=Intranet，起始地址=0.0.0.0，结束地址=255.255.255.255。

outside：表示外网上的所有机器，区域=Internet，起始地址=0.0.0.0，结束地址=255.255.255.255。

（3）配置访问策略

在DMZ区域中增加三条访问策略：

A、访问目的=FTP_SERVER，目的端口=TCP 21。源=inside，访问权限=读、写。源=outside，访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。