1、三層交換機與路由器的主要區別.主要功能不同雖然三層交換機與路由器都具有路由功能，但我們不能因此而把它們等同起來，正如現在許多網絡 設備同時具備多種傳統網絡設備功能一樣，就如現在有許多寬帶路由器不僅具有路由功能，還提供 了交換機端口、硬件防火墻功能，但不能把它與交換機或者防火墻等同起來一樣。因為這些路由器 的主要功能還是路由功能，其它功能只不過是其附加功能，其目的是使設備適用面更廣、使其更加 實用。這里的三層交換機也一樣，它仍是交換機產品，只不過它是具備了一些基本的路由功能的交 換機，它的主要功能仍是數據交換。也就是說它同時具備了數據交換和路由轉發兩種功能，但其主 要功能還是數據交換；而路由器僅

2、具有路由轉發這一種主要功能。.主要適用的環境不一樣三層交換機的路由功能通常比較簡單，因為它所面對的主要是簡單的局域網連接。正因如此，三層 交換機的路由功能通常比較簡單，路由路徑遠沒有路由器那么復雜。它用在局域網中的主要用途還 是提供快速數據交換功能，滿足局域網數據交換頻繁的應用特點。而路由器則不同，它的設計初哀就是為了滿足不同類型的網絡連接，雖然也適用于局域網之間的連 接，但它的路由功能更多的體現在不同類型網絡之間的互聯上，如局域網與廣域網之間的連接、不 同協議的網絡之間的連接等，所以路由器主要是用于不同類型的網絡之間。它最主要的功能就是路 由轉發，解決好各種復雜路由路徑網絡的連接就是它的最終

3、目的，所以路由器的路由功能通常非常 強大，不僅適用于同種協議的局域網間，更適用于不同協議的局域網與廣域網間。它的優勢在于選 擇最佳路由、負荷分擔、鏈路備份及和其他網絡進行路由信息的交換等等路由器所具有功能。為了 與各種類型的網絡連接，路由器的接口類型非常豐富，而三層交換機則一般僅同類型的局域網接 口，非常簡單。.性能體現不一樣從技術上講，路由器和三層交換機在數據包交換操作上存在著明顯區別。路由器一般由基于微處理 器的軟件路由引擎執行數據包交換，而三層交換機通過硬件執行數據包交換。三層交換機在對第一 個數據流進行路由后，它將會產生一個MACM址與IP地址的映射表，當同樣的數據流再次通過時，將根據

4、此表直接從二層通過而不是再次路由，從而消除了路由器進行路由選擇而造成網絡的延遲， 提高了數據包轉發的效率。同時，三層交換機的路由查找是針對數據流的，它利用緩存技術，很容 易利用ASIC技術來實現，因此，可以大大節約成本，并實現快速轉發。而路由器的轉發采用最長匹 配的方式，實現復雜，通常使用軟件來實現，轉發效率較低。正因如此，從整體性能上比較的話，三層交換機的性能要遠優于路由器，非常適用于數據交換頻繁 的局域網中；而路由器雖然路由功能非常強大，但它的數據包轉發效率遠低于三層交換機，更適合 于數據交換不是很頻繁的不同類型網絡的互聯，如局域網與互聯網的互聯。如果把路由器，特別是 高檔路由器用于局域網

5、中，則在相當大程度上是一種浪費（就其強大的路由功能而言），而且還不能很好地滿足局域網通信性能需求，影響子網間的正常通信。綜上所述，三層交換機與路由器之間還是存在著非常大的本質區別的。無論從哪方面來說，在局域 網中進行多子網連接，最好還選用三層交換機，特別是在不同子網數據交換頻繁的環境中。一方面 可以確保子網間的通信性能需求，另一方面省去了另外購買交換機的投資。當然，如果子網間的通 信不是很頻繁，采用路由器也無可厚非，也可達到子網安全隔離相互通信的目的。具體要根據實際 需求來定。防火墻的選購有關防火墻方面的知識，在前幾篇中已作了較全面的介紹，相信各位對防火墻的認識已有所提高。 最后在本篇之中，我

6、要向大家介紹的是在防火墻選購方面需注意的有關事項，也可稱之為選購原則 吧。這是在你決定利用前幾篇知識開始為自己企業選購防火墻之前需要最后掌握的。其實防火墻的選購與其它網絡設備和選購差不多，主要是考慮到品牌和性能。品牌好說，有名的大 家都或許早已知道一些，但是對于性能，卻非常廣泛，不同品牌、不同型號差別較大，是整個防火 墻選購注意事項中的關鍵所在。本文所要介紹的選購原則主要是從性能角度考慮。.產品類型防火墻的產品分類標準較多，本篇主要介紹的是硬件防火墻，而且只考慮傳統邊界防火墻。在邊界 防火墻中，如果硬件結構來看的話，基本上有兩大類：路由器集成式和硬件獨立式防火墻。前者是 在邊界路由器基礎上輔以

7、軟件，添加一些包過濾功能，通常稱之為包過濾防火墻，如Cisco IOS防火墻等；而獨立式硬件防火墻通常是基于應用級網關、自動代理等較先進過濾技術的，各種過濾技術 有不同的優點和適用環境，要注意選擇。詳細防火墻分類，請參照毅面篇介紹。另外防火墻所用的系統也非常關鍵，它關系到防火墻自身的安全性能。目前包過濾型的路由器防火 墻是沒有單獨的操作系統的，而獨立式的硬件防火墻有的采用通用操作系統；而有的則采用專門開 發的嵌入式操作系統。相比之下，專門開發的操作系統比較安全，因為它所包括的服務比較小，安 全漏洞比較少。. LAN 接口防火墻的接口雖然沒有路由器那么復雜，但也因具體的應用環境不同，所用的接口類

8、型也不一樣。主要表現在內部網絡接口類型上，防火墻的LAN接口類型要符合應用環境的網絡連接需求。主要的LAN接口類型有以太網、快速以太網、千兆以太網、ATM令牌環及FDDI等主流網絡類型。在企業局域網中，通常只需要能支持以太網、快速以太網，最多還可選擇支持千兆以太網的。注意支持接口 類型越多，價格越貴，因為在防火墻主板中的電路會越復雜。不要一味貪全。在防火墻LAN接口支持方面，還要考慮其最大的LAN接口數，如果企業只有一個網絡需要保護，則呆選擇具有1個LAN接口的，而需組建多宿主機模式，則需要選擇能提供多個LAN接口的防火墻，以實現保護不同內網的目的。當然接口數越多，價格也越貴。.協議支持防火墻

9、要對各種數據包進行過濾，就必須對相應數據包通信方式提供支持，除了廣泛受支持的TCP/IP協議外，還有可能需要支持AppleTalk 、 DECnet IPX及NETBEUI等協議，當然這要根據具體的應用環境而定。如果防火墻要支持VPN通信，則一定要選擇支持VPN隧道協議（PPTP和L2TP）,以及IPSec安全協議等。協議的選擇與內部網絡所用操作系統關系密切。.訪問控制配置在防火墻中的訪問規則表中，不同的防火墻有不同的配置方式。好的防火墻過濾規則應涵蓋所有出 入防火墻的數據包的處理方法，對于沒有明確定義的數據包，也應有一個默認處理方法。同時要求 過濾規則應易于理解，易于編輯修改，并具備一致性檢

10、測機制，防止各條規則間相互沖突，而不起 作用。防火墻能否在應用層提供代理支持也是非常重要的，如HTTR FTP、TELNET SNMP弋理等。在傳輸層是否可以提供代理支持；是否支持FTP文件類型過濾，允許 FTP命令防止某些類型文件通過防火墻；在應用級代理方面，是否具有應用層高級代理功能，如 HTTR POP3 o在安全策略上，防火墻應具有相當的靈活性。首先防火墻的過濾語言應該是靈活的，編程對用戶是友好的，還應具備若干可能的過濾屬性，如源和目的IP地址、協議類型、源和目的TCP/UD嘲口及入出接口等。只有這樣用戶才能根據實際需求采取靈活的安全策略保護自己企業網絡的安全。另外，防火墻除應包含先進

11、的鑒別措施，還應采用盡量多的先進技術，如包過濾技術、加密技術、 可信的信息技術等。如身份識別及驗證、信息的保密性保護、信息的完整性校驗、系統的訪問控制 機制、授權管理等技術，這些都是防火墻安全系統所必需考慮的。在身份認證支持方面，一般情況下防火墻應具有一個以上認證方案，如RADIUS Kerberos、TACACS/TACACS、 口令方式、數字證書等。防火墻能夠為本地或遠程用戶提供經過認證與授權的 對網絡資源的訪問，防火墻管理員必須決定客戶以何種方式通過認證。列出防火墻所能支持的認證 標準和CA互操作性（廠商可以選擇自己的認證方案，但應符合相應的國際標準），以及實現的認證協議是否與其他CA產

12、品兼容互通。.自身的可靠性防火墻本身就是一個用于安全防護的設備，當然其自身的安全性也就顯得更加重要了。防火墻的安全性能取決于防火墻是否采用了安全的操作系統和是否采用專用的硬件平臺。因為現在第二代防火 墻產品通常不再依靠用戶的操作系統，而是采用自已單獨開發的操作系統。應用系統的安全性能是 以防火墻自身操作系統的安全性能為基礎的，同時，應用系統自身的安全實現也直接影響到整個系 統的安全性。在硬件配置方面，提高防火墻的可靠性通常是通過提高防火墻部件的強健性、增大設計閥值和增加 冗余部件進行的。.防御功能在提供病毒掃描功能的防火墻中，要驗證其掃描的文檔類型，如是否會對電子郵件附件中的口05口ZIP文件

13、，FTP中的下載或上載文件內容進行掃描，以發現其中包含的危險信息。驗證防火墻是否具有抵御 DoS攻擊的能力。在網絡攻擊中，拒絕服務攻擊是使用頻率最高的手段。 拒絕服務攻擊（DoS）就是攻擊者過多地占用共享資源，導致服務器超載或系統資源耗盡，而使其他用 戶無法享有服務或沒有資源可用。防火墻通過控制、檢測與報警等機制，應可有效地防止或抵御黑 客客的DoS攻擊。當然除了防火墻要具備這這能力外，我們還可對網絡系統進行完善，更加網絡自身的DoS攻擊防御能力。拒絕服務攻擊可以分為兩類：一類是由于操作系統或應用軟件在設計或編程上存在缺陷而造成的，這種類型只能通過打補丁的辦法來解決，如我們常見的各種Windo

14、ws系統安全補丁。另一類是由于協議本身存在缺陷而造成的，這種類型的攻擊雖然較少，但是造成的危害卻非常大。對于第 一類問題，防火墻顯得有些力不從心，因為系統缺陷與病毒感染不同，沒有病毒碼作為依據，防火 墻常常會作出錯誤的判斷。防火墻有能力對付第二類攻擊。隨著黑客攻擊手段的提高，新的入侵的手段也已開始普遍，如基于ActiveX、Java、Cookies、Javascript 程序的入侵。防火墻應該能夠從HTTP頁面剝離Java Applet 、ActiveX等小程序及從Script、PH所口 ASP等代碼檢測出危險代碼或病毒，并向瀏覽器用戶報警。同時，能夠過濾用戶上載的CGI、ASP等程序，當發現

15、危險代碼時，向服務器報警。.連接性能因為防火墻位于網絡邊界，需對進入網絡的所有數據包進行過濾，這就要求防火墻能以最快的速度及時對所有數據包進行檢測，否則就可能造成比較的延時，甚至死機。這個指標又稱之為吞吐量”,非常重要，它體現了防火墻的可用性，也體現了企業用戶使用防火墻產品的代價（延時）。如果 防火墻對網絡造成較大的延時，還會給用戶造成較大的損失。這一點我們在使用個人防火墻時可能 深有感觸，有時我們在打開防火墻時上網速度非常慢，而一旦去掉防火墻速度就上來了，原因就為因為防火墻在過濾數據包時效率不高。就防火墻類型來說，包過濾型速度最快，對原有網絡性能影響最小，在防火墻端口帶寬足夠寬（如現在的千兆

16、防火墻）的情況下，其影響還不足以讓人感覺。而先進的動態包過濾、應用級網關、自適應 代理防火墻，雖然其包檢測機制比包過濾先進，但所需時間要比包過濾多，因而在效率方面就不如 包過濾型。當然我們知道，包過濾機制本身就存在許多不安全、不全面的因素，所以這類防火墻對網絡的防護能力非常有限，因此在較大型、或者較注重安全的網絡中建議不要選擇此類防火墻。.管理功能在管理方面，主要是出于網絡管理員對防火墻的日常管理工作方面便性角度考慮，防火墻要能為管 理員提供足夠的信息或操作便利。通常網絡管理員需對防火墻墻進行如下管理工作：通過防火墻的身份鑒別，編寫防火墻的安全規 則；配置防火墻的安全參數；查看防火墻的日志，通

17、過日志記錄信息修改安全規則、調整網絡部署 等。在這些日常管理工作中，有的要在本地執行，而有的允許通過遠程管理方式進行遠程管理。這就要求防火墻支持相應的遠程管理方式。在防火墻配置方面，在上一篇我們介紹到它也有幾種方式，如本地控制端口連接方式、遠程 Telnet、FTP,甚至HTTP方式，查看所選防火墻所支持的配置方式是否滿足你公司的實際需求。對于大型網絡中，如果存在多個防火墻，我們還考慮防火墻是否支持集中管理，通過集成策略集中 管理多個防火墻可以大大減輕網絡管理負擔。另一方面，還要考慮防火墻是否提供基于時間的訪問 控制；是否支持SNM坐視和配置。在大、中型企業防火墻管理中方面，還需考慮以下幾方面

18、的性能：是否支持帶寬管理；是否支持負載均衡特性；是否支持失效恢復特性（failover）。支持帶寬管理的防火墻能夠根據當前的流量動態調整某些客戶端占用的帶寬；負載均衡特性可以看成動態的端口映射，它將一個外部地址的某一TCP或UDP端口映射到一組內部地址的某一端口，負載均衡主要用于將某項服務（如HTTP）分攤到一組內部服務器上以平衡負載；而失效恢復特性是一種容錯技術，如雙機熱備份、故障恢復，雙電源備 份等。.記錄和報表功能這項功能是對采用應用級網關、自適應代理服務器等新技術的防火墻而言的，對于包過濾路由器防 火墻是不具備此功能的。在防火墻的日志記錄和報表功能上，主要考慮以下幾個方面：防火墻處理完

19、整日志的方法：防火墻應該規定對于符合條件的報文進行日志記錄，同時還需提供 日志信息管理和存儲方法。是否提供自動日志掃描：指防火墻是否具有日志的自動分析和掃描功能對于幫助管理員進行有效地管理非常重要，通過防火墻的自動分析和掃描功能，管理員可以獲得更詳細的統計結果，以便管 理員針對性進行相應方面的完善。是否具人警告通知機制：防火墻應提供警告機制，在檢測到網絡入侵，及設備運轉異常情況時，通過警告信息來通知管理員采取必要的措施，警告方式包括E- mail、狀態顯示、聲音報警、呼叫報警等。是否提供簡要報表（按照用戶ID或IP地址）：這是防火墻日志記錄的一種輸出方式，具有這種功能的防火墻可按管理員要求提供

20、相應的報表，分類打印。這樣可靈活滿足各種管理需求。是否提供實時統計：這也是防火墻日志記錄的一種輸出方式，通過實時統計狀態顯示，管理員可 及時地分析當前網絡安全狀態，及時地發現和解決安全隱患，一般是以圖表方式顯示的。.靈活的可擴展和可升級性用戶的網絡不可能永遠一成不變，隨著業務的發展，公司內部可能組建不同安全級別的子網，這樣防火墻不僅要在公司內部網和外部網之間進行過濾，還要在公司內部子網之間進行過濾（現在的分布式防火墻不僅可以做到這一點，而且還可在內部網各用戶之間過濾）。目前的防火墻一般標配三個網絡接口，分別連接外部網、內部網和SSN用戶在購買防火墻時必須弄清楚是否可以增加網絡接口，因為有些防火

21、墻無法擴展。用戶購買或配置防火墻，首先要對自身的安全需求、網絡特性和成本預 算做出分析，然后對防火墻產品進行評估和審核，選出24家主要品牌產品進行洽談，最后再確定優選方案。通常小型企業接入互聯網的目的一般是為了方便內部用戶瀏覽Web收發E-mail以及發布主頁。這類用戶在選購防火墻時，主要要注意考慮保護內部（敏感）數據的安全，特別要注重安全性，對服務協議的多樣性以及速度等可以不作特殊要求。建議這類用戶選用一般的代理型防火墻，具有http、mail等代理功能即可。而對于有電子商務應用的企業和網站等用戶來說，這些企業每天都會有大量的商務信息通過防火墻。如果這些用戶需要在外部網絡發布Welb （將W

22、eb服務器置于外部的情況），同時需要保護數據庫或應用服務器（置于防火墻內），這就要求所采用的防火墻具有傳送SQL數據的功能，而且必須具有較快的傳送速度。建議這些用戶采用高效的包過濾型防火墻，并將其配置為只允許外部Web服務器和內部傳送 SQL數據使用。未來的防火墻系統應該是一個可隨意伸縮的模塊化解決方案，包括從最基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個獨立的應用網關，使用戶有充分的余地構建自己所需要的防火墻體 系。.協同工作能力因為防火墻只是一個基礎的網絡安全設備，它不代表網絡安全防護體系的全部，通常它需要與防病 毒系統和入侵檢測系統等安全產品協同配合，才能從根本上保證整個系統的

23、安全，所以在選購防火墻時就要考慮它是否能夠與其他安全產品協同工作。如何檢驗它是否具有這個能力，通常是看它是否支持OPSEC（開放安全結構）標準，通過這個接口與入侵檢測系統協同工作，通過CVP（內容引導協議）與防病毒系統協同工作。.品牌知名度之所以把它放在最后介紹，那是因為它不能說是一項硬件選購指標，只能是一項參考指標。防火墻產品屬高科技產品，生產這樣的設備不僅需要強大的資金作后盾，而且在技術實力需要有強大的保障。選擇了好的品牌在一定程度上也就選擇了好的技術和服務，對將來的使用更加有保障。所以在選購防火墻產品時千萬別隨便貪圖一時便宜，選購一些雜牌產品。目前國外在防火墻產品的開發、生產中比較著名的

24、品牌有：3COM Cisco、Nokia、NetScreen、Check Point 等，這些品牌技術實力比較強，而且都能提供高檔產品，當然價格也相比下面要介紹的國產品牌要貴許多（通常在15萬元以上）甚至貴一倍以上。這些品牌對于大、中型有資金實力的企業來說比較理想，因為購買了這類品牌產品，相對來說在技術方面更有保障，能滿足公司各方面的特殊需求，而且可擴展性比 較強，適宜公司的發展需要。國內開發、生產防火墻的品牌主要有：聯想 -Dlink、天網、實達、東軟、天融信等。這些品牌相對國外著名品牌來說都處于中、低檔次。當然價格要便宜許多（通常在10萬元以下），而且還能提供全中文的使用說明書，方便安裝、

25、調試和維護。對于中小企業來說國產品牌是理想的選擇。以上介紹了在選購防火墻時所要注意的各個方面，事實上很難找到完全符合以上各項要求的防火墻產品。事實上如何評估防火墻是一個十分復雜的問題。一般說來，防火墻的安全和性能（速度等）是最重要的指標，用戶接口（管理和配置界面）和審計追蹤次之，然后才是功能上的擴展性。用戶時常會面對安全和性能之間的矛盾，代理型防火墻通常更具安全性，但是性能要差于包過濾型防火墻。好了，關于防火墻的選購就介紹至此。這樣有關防火墻方面的知識就介紹完了，從下篇開始就介紹 本教程的最后，也是最重要的一個網絡硬件設備-服務器。防火墻的配置在前幾篇對防火墻的有關知識和技術作了一個較全面的介

26、紹，本篇要為大家介紹一些實用的知識， 那就是如何配置防火中的安全策略。但要注意的是，防火墻的具體配置方法也不是千篇一律的，不 要說不同品牌，就是同一品牌的不同型號也不完全一樣，所以在此也只能對一些通用防火墻配置方 法作一基本介紹。同時，具體的防火墻策略配置會因具體的應用環境不同而有較大區別。首先介紹 一些基本的配置原則。一.防火墻的基本配置原則默認情況下，所有的防火墻都是按以下兩種情況配置的：拒絕所有的流量，這需要在你的網絡中特殊指定能夠進入和出去的流量的一些類型。允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。可論證地，大多數防火墻默認 都是拒絕所有的流量作為安全選項。一旦你安裝防

27、火墻后，你需要打開一些必要的端口來使防火墻 內的用戶在通過驗證之后可以訪問系統。換句話說，如果你想讓你的員工們能夠發送和接收Email ,你必須在防火墻上設置相應的規則或開啟允許POP笏口 SMTP勺進程。在防火墻的配置中，我們首先要遵循的原則就是安全實用，從這個角度考慮，在防火墻的配置過程 中需堅持以下三個基本原則：.簡單實用：對防火墻環境設計來講，首要的就是越簡單越好。其實這也是任何事物的基本原 則。越簡單的實現方式，越容易理解和使用。而且是設計越簡單，越不容易出錯，防火墻的安全功 能越容易得到保證，管理也越可靠和簡便。每種產品在開發前都會有其主要功能定位，比如防火墻產品的初衷就是實現網絡

28、之間的安全控制， 入侵檢測產品主要針對網絡非法行為進行監控。但是隨著技術的成熟和發展，這些產品在原來的主 要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能， 在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應用環境都需要，在配置時我們 也可針對具體應用環境進行配置，不必要對每一功能都詳細配置，這樣一則會大大增強配置難度， 同時還可能因各方面配置不協調，引起新的安全漏洞，得不償失。.全面深入：單一的防御措施是難以保障系統的安全的，只有采用全面的、多層次的深層防御戰略體系才能實現系統的真正安全。在防火墻配置中，我們不要停留在幾個表面的防火墻語句上，而應

29、系統地看等整個網絡的安全防護體系，盡量使各方面的配置相互加強，從深層次上防護整個系 統。這方面可以體現在兩個方面：一方面體現在防火墻系統的部署上，多層次的防火墻部署體系， 即采用集互聯網邊界防火墻、部門邊界防火墻和主機防火墻于一體的層次防御；另一方面將入侵檢 測、網絡加密、病毒查殺等多種安全措施結合在一起的多層安全體系。.內外兼顧：防火墻的一個特點是防外不防內，其實在現實的網絡環境中，80%以上的威脅都來自內部，所以我們要樹立防內的觀念，從根本上改變過去那種防外不防內的傳統觀念。對內部威脅 可以采取其它安全措施，比如入侵檢測、主機防護、漏洞掃描、病毒查殺。這方面體現在防火墻配 置方面就是要引入

30、全面防護的觀念，最好能部署與上述內部防護手段一起聯動的機制。目前來說，要做到這一點比較困難。二、防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經過基本的初始配置。但因各種防火墻的初始配置基本 類似，所以在此僅以Cisco PIX防火墻為例進行介紹。防火墻的初始配置也是通過控制端口(Console )與PC機(通常是便于移動的筆記本電腦)的串口連接，再通過 Windows系統自帶的超級終端(HyperTerminal )程序進行選項配置。防火墻的初始配置 物理連接與前面介紹的交換機初始配置連接方法一樣，參見圖1所示。圖1防火墻除了以上所說的通過控制端口( Console )進行初始配置外

31、，也可以通過telnet和Tffp配置方式進行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而 Tffp方式需要專用的Tffp服務器軟件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶配置模式，即：普通模式( Unprivileged mode )、特權模式(Privileged Mode )、配置模式(Configuration Mode )和端口模式(Interface Mode ),進入這 四種用戶模式的命令也與路由器一樣：普通用戶模式無需特別命令，啟動后即進入；進入特權用戶模式的命令為enable；進入配置模式的命令為 config terminal ；而進入端口

32、模式的命令為interface ethernet ()。不過因為防火墻的端口沒有路由器那么復雜，所以通常把端口 模式歸為配置模式，統稱為“全局配置模式o防火墻的具體配置步驟如下：.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上，參 見圖1。.打開PIX防火電源，讓系統加電初始化，然后開啟與防火墻連接的主機。.運行筆記本電腦 Windows系統中的超級終端(HyperTerminal )程序(通常在附件程序組中)。 對超級終端的配置與交換機或路由器的配置一樣，參見本教程前面有關介紹。.當PIX防火墻進入系統后即顯示pixfirewall的提示符，這就證明防

33、火墻已啟動成功，所進入的是防火墻用戶模式。可以進行進一步的配置了。.輸入命令：enable,進入特權用戶模式，此時系統提示為：pixfirewall# 。.輸入命令：configure terminal,進入全局配置模式，對系統進行初始化設置。.首先配置防火墻的網卡參數(以只有1個LAN和1個WA冷口的防火墻配置為例)Interface ethernet。auto # 0號網卡系統自動分配為WAN3卡，auto選項為系統自適應網卡類型Interface ethernet1 auto.配置防火墻內、外部網卡的 IP地址IP address inside ip_address netmask #

34、Inside代表內部網卡IP address outside ip_address netmask # outside代表夕卜部網卡.指定外部網卡的IP地址范圍：global 1 ip_address-ip_address.指定要進行轉換的內部地址 nat 1 ip_address netmask （5）.配置某些控制選項： conduit global_ip port-port protocol foreign_ip netmask 其中，global_ip :指的是要控制的地址； port :指的是所作用的端口，0代表所有端口；protocol :指的是連接協議，比如：TCR UD瞪；fo

35、reign_ip :表示可訪問的 global_ip 外部IP地址；netmask ：為可選項，代表要控制的子網掩碼。. 配置保存： wr mem.退出當前模式此命令為exit ,可以任何用戶模式下執行，執行的方法也相當簡單，只輸入命令本身即可。它與 Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權模式，再退到普通模式下的操作步 驟。pixfirewall（config）# exitpixfirewall# exitpixfirewall9.查看當前用戶模式下的所有可用命令：show,在相應用戶模式下鍵入這個命令后，即顯示出當前所有可用的命令及簡單功能描述。.查看端口狀態：show

36、interface ,這個命令需在特權用戶模式下執行，執行后即顯示出防火墻 所有接口配置情況。.查看靜態地址映射:show static ,這個命令也須在特權用戶模式下執行，執行后顯示防火墻的 當前靜態地址映射情況。三、Cisco PIX防火墻的基本配置.同樣是用一條串行電纜從電腦的COMH連到Cisco PIX 525 防火墻的console 口；.開啟所連電腦和防火墻的電源，進入 Windows系統自帶的超級終端，通訊參數可按系統默然。進入防火墻初始化配置，在其中主要設置有：Date（日期）、time（時間）、hostname（主機名稱）、inside ip address（內部網卡IP地

37、址）、domain（主域）等，完成后也就建立了一個初始化設置了。此時的提示符為：pix255。.輸入enable命令，進入Pix 525特權用戶模式，默然密碼為空。如果要修改此特權用戶模式密碼，則可用 enable password 命令，命令格式為：enable passwordpassword encrypted ,這個密碼必須大于16位。Encrypted選項是確定所加密碼是否需要加密。4、定義以太端口：先必須用 enable命令進入特權用戶模式，然后輸入configure terminal （可簡稱為config t ）,進入全局配置模式模式。具體配置pix525enablePassw

38、ord:pix525#config tpix525 （config）#interface ethernetO autopix525 （config）#interface ethernet1 auto在默然T普況下 ethernetO 是屬外部網卡 outside, ethernet1 是屬內部網卡inside, inside 在初始化配置成功的情況下已經被激活生效了，但是 outside必須命令配置激活。. clock配置時鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時間和日期 都不準確，也就無法正確分析記錄中的信息。這須在全局配置模式下進行。時鐘設置命令格式有兩種，

39、主要是日期格式不同，分別為：clock set hh:mm:ss month day month year 和 clock set hh:mm:ss day month year前一種格式為：小時：分鐘：秒月 日年；而后一種格式為：小時：分鐘：秒 日月年，主要在日、月份的前后順序不同。在時間上如果為0,可以為一位，如：21:0:0 o.指定接口的安全級別指定接口安全級別的命令為nameif ,分別為內、外部網絡接口指定一個適當的安全級別。在此要注意，防火墻是用來保護內部網絡的，外部網絡是通過外部接口對內部網絡構成威脅的，所以要從根 本上保障內部網絡的安全，需要對外部網絡接口指定較高的安全級別，

40、而內部網絡接口的安全級別 稍低，這主要是因為內部網絡通信頻繁、可信度高。在 Cisco PIX系列防火墻中，安全級別的定義是 由security ()這個參數決定的，數字越小安全級別越高，所以 security0是最高的，隨后通常是以10的倍數遞增，安全級別也相應降低。如下例：pix525(config)#nameif ethernet0 outside security0 # outside是指夕卜部接口pix525(config)#nameif ethernet1 inside security100 # inside是指內部接口.配置以太網接口 IP地址. access-group這個命

41、令是把訪問控制列表綁定在特定的接口上。須在配置模式下進行配置。命令格式為：access-group acl_ID in interface interface_name,其中的acl_ID 是指訪問控制列表名稱，interface_name 為網絡接口名稱。如：access-group acl_out in interface outside,在外部網絡接口上綁定名稱為acl_out 的訪問控制列表。clear access-group :清除所有綁定的訪問控制綁定設置。no access-group acl_ID in interface interface_name: 清除指定的訪問控制綁

42、定設置。show access-group acl_ID in interface interface_name: 顯示指定的訪問控制綁定設置。.配置訪問列表所用配置命令為：access-list ,合格格式比較復雜，如下：標準規貝 U 的創建命令：access-list normal | special listnumberl permit | deny source-addr source-mask 擴展規貝U的倉U建命令：access-list normal | special listnumber2 permit | deny protocolsource-addr source-ma

43、sk operator portl port2 dest-addr dest-mask operator portlport2 | icmp-type icmp-code log 其中的100表示訪問規則號，根據當前已配置的規則條數來確定，不能與原來規則的重復，也必須 是正整數。關于這個命令還將在下面的高級配置命令中詳細介紹。.地址轉換(NAT)防火墻的NAT配置與路由器的NAT配置基本一樣，首先也必須定義供NAT轉換的內部IP地址組，接著定義內部網段。定義供 NAT轉換的內部地址組的命令是nat ,它的格式為：nat (if_name) nat_id local_ipnetmask max_

44、conns em_limit ,其中if_name 為接口名；nat_id 參數代表內部地址組號；而 local_ip 為本地網絡地址；netmask為子網掩碼；max_conns為此接口上所允許的最大TCPil接數，默認為0,表示不限制連接；em_limit為允許從此端口發出的連接數，默認也為0,即不限制。如：隨后再定義內部地址轉換后可用的外部地址池，它所用的命令為global,基本命令格式為：global (if_name) nat_id global_ip netmask max_conns em_limit, 各參數解釋同上。如：global (o11. Port Redirectio

45、n with Statics這是靜態端口重定向命令。在Cisco PIX版本以上，增加了端口重定向的功能，允許外部用戶通過一個特殊的IP地址/端口通過防火墻傳輸到內部指定的內部服務器。其中重定向后的地址可以是單一 外部地址、共享的外部地址轉換端口(PAID ,或者是共享的外部端口。這種功能也就是可以發布內部WWW FTP、Mail等服務器，這種方式并不是直接與內部服務器連接，而是通過端口重定向連接的，所以可使內部服務器很安全。命令格式有兩種，分別適用于TCP/UDPS信和非TCP/UDPS信：(1). static(internal_if_name, external_if_name)glob

46、al_ip|interfacelocal_ipnetmask mask max_conns emb_limitnorandomseq .static (internal_if_name, external_if_name) tcp|udpglobal_ip|interface global_port local_ip local_port netmask mask max_conns emb_limit norandomseq 此命令中的以上各參數解釋如下：internal_if_name :內部接口名稱； external_if_name :外部接口名稱；tcp|udp:選擇通信協議類型；g

47、lobal_ip|interface :重定向后的外部 IP地址或共享端口；local_ip :本地IP地址；netmask mask:本地子網掩碼；max_conns：允許的最大 TCP連接數，默認為0,即不限制；emb_limit :允許從此端口發起的連接數，默認也為0,即不限制；norandomseq :不對數據包排序，此參數通常不用選。現在我們舉一個實例，實例要求如下圖2以上各項重定向要求對應的配置語句如下：12.顯示與保存結果顯示結果所用命令為：show config ；保存結果所用命令為：write memory。四、包過濾型防火墻的訪問控制表(ACL)配置除了以上介紹的基本配置外

48、，在防火墻的安全策略中最重要還是對訪問控制列表(ACD進行配有關置。下面介紹一些用于此方面配置的基本命令。1. access-list :用于創建訪問規則這一訪問規則配置命令要在防火墻的全局配置模式中進行。同一個序號的規則可以看作一類規則，同一個序號之間的規則按照一定的原則進行排列和選擇，這個順序可以通過show access-list 命令看到。在這個命令中，又有幾種命令格式，分別執行不同的命令。(1)創建標準訪問列表命令格式： access-list normal | special listnumber1 permit | deny source-addr source-mask (2)

49、創建擴展訪問列表命令格式：access-list normal | special listnumber2 permit | deny protocol source-addrsource-mask operator port1 port2 dest-addr dest-mask operator port1 port2 |icmp-type icmp-code log (3)刪除訪問列表命令格式：no access-list normal | special all | listnumber subitem 上述命令參數說明如下： normal:指定規則加入普通時間段。 special ：指

50、定規則加入特殊時間段。listnumber1 :是1到99之間的一個數值，表示規則是標準訪問列表規則。listnumber2 :是100至U 199之間的一個數值，表示規則是擴展訪問列表規則。 permit :表明允許滿足條件的報文通過。 deny：表明禁止滿足條件的報文通過。 protocol :為協議類型，支持ICMP、TCR UD瞪，其它的協議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協議。 source -addr :為源 IP 地址。 dest -addr ：為目的IP地址。 dest -mask：為目的地址的子網掩碼。 operator ：端口操作符，在協議

51、類型為 TCP或UDP時支持端口比較，支持的比較操作有：等于 (eq)、大于(gt)、小于(lt )、不等于(neq)或介于(range )；如果操作符為range ,則后面需要跟兩個端口。portl 在協議類型為 TCP或UDP時出現，可以為關鍵字所設定的預設值（如 telnet ）或065535之 間的一個數值。port2 在協議類型為TCP或UDPM操作類型為range時出現；可以為關鍵字所設定的預設值（如telnet ）或065535之間的一個數值。 icmp -type :在協議為ICMP時出現，代表ICMP報文類型；可以是關鍵字所設定的預設值（如echo-reply ）或者是025

52、5之間的一個數值。 icmp-code：在協議為ICMP,且沒有選擇所設定的預設值時出現；代表 ICMP碼，是0255之間的 一個數值。 log：表示如果報文符合條件，需要做日志。 listnumber :為刪除的規則序號，是1199之間的一個數值。 subitem :指定刪除序號為listnumber 的訪問列表中規則的序號。Quidway （config）#aclear access-list counters:清除訪問列表規則的統計信息命令格式： clear access-list counters listnumber 這一命令必須在特權用戶模式下進行配置。listnumber參數是用

53、指定要清除統計信息的規則號，如不指定，則清除所有的規則的統計信息。如要在華為的一款包過濾路由器上清除當前所使用的規則號為100的訪問規則統計信息。訪問配置語句為：clear access-list counters 100如有清除當前所使用的所有規則的統計信息，則以上語句需改為：Quidway#clear access-listcountersip access-group 使用此命令將訪問規則應用到相應接口上。使用此命令的no形式來刪除相應的設置，對應格式為：ip access-group listnumber in | out 此命令須在端口用戶模式下配置，進入端口用戶模式的命令為：int

54、erface ethernet （）,括號中為相應的端口號，通常 0為外部接口，而1為內部接口。進入后再用 ip access-group 命令來配置訪 問規則。listnumber 參數為訪問規則號，是1199之間的一個數值（包括標準訪問規則和擴展訪問規則兩類）；in表示規則應用于過濾從接口接收到的報文；而 out表示規則用于過濾從接口轉發出 去的報文。一個接口的一個方向上最多可以應用20類不同的規則；這些規則之間按照規則序號的大小進行排列，序號大的排在前面，也就是優先級高。對報文進行過濾時，將采用發現符合的規則即 得出過濾結果的方法來加快過濾速度。所以，建議在配置規則時，盡量將對同一個網絡

55、配置的規則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規則之間的排列和選擇順序可以用 show access-list命令來查看。例如將規則100應用于過濾從外部網絡接口上接收到的報文，配置語句為（同樣為在傾為包過濾路由器上）：ip access-group 100 in如果要刪除某個訪問控制表列綁定設置，則可用no ip access-group listnumber in | out 命令。show access-list此配置命令用于顯示包過濾規則在接口上的應用情況。命令格式為：show access-list all |listnumber | interface inter

56、face-name 這一命令須在特權用戶模式下進行配置，其中all參數表示顯示所有規則的應用情況，包括普通時間段內及特殊時間段內的規則；如果選擇listnumber參數，則僅需顯示指定規則號的過濾規則；interface表示要顯示在指定接口上應用的所有規則序號；interface-name參數為接口的名稱。使用此命令來顯示所指定的規則，同時查看規則過濾報文的情況。每個規則都有一個相應的計數器，如果用此規則過濾了一個報文，則計數器加1;通過對計數器的觀察可以看出所配置的規則中，哪些規則是比較有效，而哪些基本無效。例如，現在要顯示當前所使用序號為100的規則的使用情況，可執行 Quidway#sh

57、ow access-list 100語句即可，隨即系統即顯示這條規則的使用情況，格式如下：Using normal packet-filtering access rules now.100 deny udp any any eq rip (no matches - rule 3)show firewall此命令須在特權用戶模式下執行，它顯示當前防火墻狀態。命令格式非常簡單，也為：showfirewall 。這里所說的防火墻狀態，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統計信息。Telnet這是用于定義能過防火配置控制端口進行遠程登錄的有關參數選項，也須在全局配置

58、用戶模式下進 行配置。命令格式為： telnet ip_address netmask if_name其中的ip_address 參數是用來指定用于 Telnet登錄的IP地址，netmask為子網掩碼，if_name用于 指定用于Telnet登錄的接口，通常不用指定，則表示此 IP地址適用于所有端口。如：如果要清除防火墻上某個端口的Telnet參數配置，則須用 clear telnet 命令，其格式為：cleartelnet ip_address netmask if_name,其中各選項說明同上。它與另一個命令no telnet 功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命

59、令格式為：no telnet ip_addressnetmask if_name 。如果要顯示當前所有的Telnet配置，則可用show telnet 命令。關于防火墻的配置就介紹至此，下一篇將是防火墻的最后一篇，將介紹防火墻選購方面的知識。最新防火墻技術一、防火墻技術發展概述傳統的防火墻通常是基于訪問控制列表(ACL)進行包過濾的，位于在內部專用網的入口處，所以也俗稱“邊界防火墻。隨著防火墻技術的發展，防火墻技術也得到了發展，出現了一些新的防火墻技術，如電路級網關技術、應用網關技術和動態包過濾技術，在實際運用中，這些技術差別非常大， 有的工作在 OSI參考模式的網絡層，；有的工作在傳輸層，還

60、有的工作在應用層。在這些已出現的防火墻技術中，靜態包過濾是最差的安全解決方案，其應用存在著一些不可克服的限制，最明顯的表現就是不能檢測出基于用戶身份的地址欺騙型數據包，并且很容易受到諸如DoS(拒絕服務)、IP地址欺詐等黑客攻擊。現在已基本上沒有防火墻廠商單獨使用這種技術。應用層網關和電路級網關是比較好的安全解決方案，它們在應用層檢查數據包。但是，我們不可能對每一 個應用都運行這樣一個代理服務器，而且部分應用網關技術還要求客戶端安裝有特殊的軟件。這兩 種解決方案在性能上也有很大的不足之處。動態包過濾是基于連接狀態對數據包進行檢查，由于動 態包過濾解決了靜態包過濾的安全限制，并且比代理技術在性能