防火墻的基本功能,是通過六個命令來完成的�。一般情況下��,除非有特殊的安全需求,這個六個命令基本上可以搞定防火墻的配置����。下面筆者就結(jié)合CISCO的防火墻,來談?wù)劮阑饓Φ幕九渲���,希望能夠給大家一點參考�。
第三個命令:IP address
在防火墻管理中��,要為每個啟用的防火墻接口配置IP地址��。一般來說����,防火墻的IP地址支持兩種取得方式���,一是通過自動獲得,如可以通過企業(yè)內(nèi)網(wǎng)的DHCP服務(wù)器取得IP地址;二是用戶通過手工指定IP地址�。
這個命令的具體格式為
Ip adress if-name IP [NETMASK]
若我們用上面的IF-NAME命令��,給防火墻的接口配置好別名之后,則在后續(xù)的其他命令中����,如這個配置IP地址的命令��,則就不需要采用接口的位置名,而直接可以利用這個別名為具體的接口設(shè)置相關(guān)的參數(shù)。
若我們通過手工指定IP地址的時候����,需要注意幾個問題��。一是若企業(yè)中還有DHCP服務(wù)器的話,則要注意這個網(wǎng)絡(luò)地址沖突的問題�。這個防火墻上的接口IP地址����,在企業(yè)的整個網(wǎng)絡(luò)中,也必須保持唯一����,否則的話,就會造成IP地址沖突的錯誤�����。所以,若企業(yè)中還有DHCP服務(wù)器的話���,則在DHCP服務(wù)器配置的時候��,需要注意,這個防火墻接口所用的IP地址不應(yīng)該在DHCP服務(wù)器的自動分配IP的地址池中�����,否則的話����,很容易造成IP地址的沖突��。
另外����,在給他手工配置IP地址的時候���,為了管理上的方便����,最好能夠指定連續(xù)的IP地址�。也就是說���,防火墻各個接口的IP地址為連續(xù)的��。筆者在企業(yè)的IP地址規(guī)劃中����,特意為防火墻的接口預(yù)留了4個IP地址。即使�����,現(xiàn)在沒有使用到這個接口,為了避免以后用到時�,IP地址不連續(xù)�,所以�����,在整個網(wǎng)絡(luò)的 IP地址規(guī)劃中���,還是為其預(yù)留了足夠多的IP地址。
這里的網(wǎng)絡(luò)掩碼不是必須的��。若網(wǎng)絡(luò)管理員在配置防火墻的時候,沒有配置這個網(wǎng)絡(luò)掩碼的話���,則防火墻會自動根據(jù)企業(yè)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)���,則防火墻會自動給其設(shè)置一個網(wǎng)絡(luò)掩碼���。所以����,在一般的情況下,這個網(wǎng)絡(luò)掩碼可以不用設(shè)置�,免得填寫錯誤的話����,還造成不必要的損失��。
筆者建議
若是采用DHCP方式取得接口的IP地址的��,則在DHCP服務(wù)器配置的時候,最好能夠給防火墻的各個接口配置連續(xù)的IP地址����。如此的話�����,可以方便我們對防火墻的接口進行管理。若企業(yè)的網(wǎng)絡(luò)規(guī)模比較大�����,安全級別比較高的話��,則一般建議不要采用DHCP的方式��,而需要給防火墻的各個接口手工指定IP 地址���。
第四個命令:NAT 與GLOBAL����、STATIC命令
使用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)命令,網(wǎng)絡(luò)管理員可以將內(nèi)部的一組IP地址轉(zhuǎn)換成為外部的公網(wǎng)地址;而global命令則用于定義用網(wǎng)絡(luò)地址轉(zhuǎn)換命令NAT轉(zhuǎn)換成的地址或者地址的范圍���。簡單的說���,利用NAT命令與GLOBAL命令,能夠?qū)崿F(xiàn)IP地址之間的轉(zhuǎn)換,還可以實現(xiàn)IP地址到端口的映射�。
這個網(wǎng)絡(luò)地址轉(zhuǎn)換命令在實際工作中非常的有用�����。我們都知道����,現(xiàn)在公網(wǎng)IP地址非常的缺乏�����,基本上�����,一家企業(yè)只有一到兩個公網(wǎng)地址���。而對于企業(yè)來說��,他們的文件服務(wù)器、OA系統(tǒng)�、郵件服務(wù)器等等可能都需要外部訪問,而如果沒有NAT技術(shù)的話���,則在公網(wǎng)中要進行訪問的話��,必須具有公網(wǎng)的IP地址。這就大大限制了企業(yè)內(nèi)部信息化系統(tǒng)的外部訪問����,家庭辦公、出差時訪問企業(yè)內(nèi)部網(wǎng)絡(luò)等等��,變的無法實現(xiàn)����。而現(xiàn)在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)����,就是為解決這個問題而產(chǎn)生的���。在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的幫助下�,可以把企業(yè)內(nèi)部的IP地址跟端口唯一的映射到外部公網(wǎng)的IP地址。如此的話��,內(nèi)網(wǎng)的IP地址就有了一個合法的公網(wǎng)IP地址����,則在公司外面的員工就可以通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部的信息化系統(tǒng)����。
在實際工作中�����,用的最多的就是將本地地址轉(zhuǎn)換為一個擔(dān)擱的全局地址�,而不是一個地址范圍�����。如公司內(nèi)部的ERP服務(wù)器IP地址為 192.168.0.6���,此時�,若我們希望�,外部的員工�,如在其他城市的一個銷售辦事處,他們能夠利用202.96.96.240這個公網(wǎng)地址訪問這臺服務(wù)器�����。若要實現(xiàn)這個需求��,該如何配置呢?
Static (inside,outside) 192.168.0.6 202.96.96.236
此時�,外部用戶就可以利用這個202.96.96.236公網(wǎng)IP地址�����,來訪問企業(yè)內(nèi)部的ERP系統(tǒng)��。
其實�,配置了這條命令之后��,在防火墻服務(wù)器中,就有了這個一一對應(yīng)的關(guān)系���。當(dāng)外部網(wǎng)絡(luò)通過訪問202.96.96.236這個IP地址時,在防火墻服務(wù)器中�,就會把這個IP地址轉(zhuǎn)換為192.268.0.6,如此就實現(xiàn)了外部網(wǎng)絡(luò)訪問企業(yè)的內(nèi)部信息化系統(tǒng)�����。
不過���,此時若不止這么一個信息化系統(tǒng),現(xiàn)在OA系統(tǒng)(192.168.0.5)與ERP系統(tǒng)(192.168.0.6)��,在家辦公的人或者出差在外的人都需要能夠訪問這兩個服務(wù)器�,此時,該如何處理呢?
如企業(yè)有兩個公網(wǎng)IP地址��,那也好辦,只需要把OA系統(tǒng)與ERP系統(tǒng)分別對應(yīng)到一個公網(wǎng)IP地址即可�����。但是����,現(xiàn)在的問題是��,企業(yè)只有一個IP地址���,此時���,該如何處理呢?為此���,我們可以利用static命令�,實現(xiàn)端口的重定向。簡單的說����,端口重定向,允許外部的用戶連接一個內(nèi)部特定的IP地址與端口���,并且讓防火墻將這個數(shù)據(jù)流量重定向到合適的內(nèi)部地址中去�����。
作者提醒
1���、應(yīng)該有足夠的全局IP地址去匹配NAT命令指定的本機IP地址�。否則的話����,可以結(jié)合使用PAT(根據(jù)端口對應(yīng)IP地址)來解決全局地址的短缺問題。而對于絕大部分中國企業(yè)來說,基本上地址都是不夠的�,要采用PAT技術(shù)來解決地址短缺問題。PAT技術(shù)����,最多允許64000個客戶端(內(nèi)部IP地址)使用同一個公網(wǎng)的IP地址����。
2��、網(wǎng)絡(luò)地址轉(zhuǎn)換除了可以解決公網(wǎng)ID地址短缺問題的話,還有一個很好的副作用。就是可以把內(nèi)部的主機隱藏起來��,從而實現(xiàn)內(nèi)部主機的安全性�。如上面的例子中,如外面的用戶需要訪問企業(yè)內(nèi)部的ERP服務(wù)器的話����,則他們只需要知道公網(wǎng)地址就可以了,不需要知道到底他們訪問的是內(nèi)部的那臺服務(wù)器����,這臺服務(wù)器的IP地址是多少�����。如此的話���,就可以最大限度的保護企業(yè)內(nèi)部服務(wù)器的安全�。
相關(guān)推薦:
網(wǎng)絡(luò)技術(shù):解析網(wǎng)絡(luò)防火墻工作方式與優(yōu)缺點 2010年計算機軟件水平考試時間安排通知 2010年計算機軟件水平考試工作安排詳情
