防火牆配置中必備的六個主要命令

souphp3l3發表於2016-06-23

 防火牆的基本功能,是透過六個命令來完成的。一般情況下,除非有特殊的安全需求,這個六個命令基本上可以搞定防火牆的配置。下面筆者就結合CISCO的防火牆,來談談防火牆的基本配置,希望能夠給大家一點參考。

第一個命令:interface

Interface是防火牆配置中最基本的命令之一,他主要的功能就是開啟關閉介面、配置介面的速度、對介面進行命名等等。在買來防火牆的時候,防火牆的各個端都都是關閉的,所以,防火牆買來後,若不進行任何的配置,防止在企業的網路上,則防火牆根本無法工作,而且,還會導致企業網路不同。

1、 配置介面速度

在防火牆中,配置介面速度的方法有兩種,一種是手工配置,另外一種是自動配置。手工配置就是需要使用者手工的指定防火牆介面的通訊速度;而自動配置的話,則是指防火牆介面會自動根據所連線的裝置,來決定所需要的通訊速度。

如:interface ethernet0 auto --為介面配置“自動設定連線速度”

Interface ethernet2 100ful --為介面2手工指定連線速度,100MBIT/S。

這裡,引數ethernet0或者etnernet2則表示防火牆的介面,而後面的參數列示具體的速度。

筆者建議

在配置介面速度的時候,要注意兩個問題。

一是若採用手工指定介面速度的話,則指定的速度必須跟他所連線的裝置的速度相同,否則的話,會出現一些意外的錯誤。如在防火牆上,若連線了一個交換機的話,則交換機的埠速度必須跟防火牆這裡設定的速度相匹配。

二是雖然防火牆提供了自動設定介面速度的功能,不過,在實際工作中,作者還是不建議大家採用這個功能。因為這個自動配置介面速度,會影響防火牆的效能。而且,其有時候也會判斷失誤,給網路造成通訊故障。所以,在一般情況下,無論是筆者,還是思科的官方資料,都建議大家採用手工配置介面速度。

2、 關閉與開啟介面

防火牆上有多個介面,為了安全起見,開啟的介面不用的話,則需要及時的進行關閉。一般可用shutdown命令來關閉防火牆的介面。但是這裡跟思科的iOS軟體有一個不同,就是如果要開啟這個介面的話,則不用採用no shutdown命令。在防火牆的配置命令中,沒有這一條。而應該採用不帶引數的shutdown命令,來把一個介面設定為管理模式。

筆者建議

在防火牆配置的時候,不要把所有的介面都開啟,需要用到幾個介面,就開啟幾個介面。若把所有的介面都開啟的話,會影響防火牆的執行效率,而且,對企業網路的安全也會有影響。或者說,他會降低防火牆對於企業網路的控制強度。

第二個命令:nameif

一般防火牆出廠的時候,思科也會為防火牆配置名字,如ethernet0等等,也就是說,防火牆的物理位置跟介面的名字是相同的。但是,很明顯,這對於我們的管理是不利的,我們不能夠從名字直觀的看到,這個介面到底是用來做什麼的,是連線企業的內部網路介面,還是連線企業的外部網路介面。所以,網路管理員,希望能夠重命令這個介面的名字,利用比較直觀的名字來描述介面的用途,如利用outside命令來表示這個介面是用來連線外部網路;而利用inside命令來描述這個介面是用來連線內部網路。同時,在給埠進行命名的時候,還可以指定這個介面的安全等級。

Nameif命令基本格式如下

Nameif hardware-id if-name security-level

其中,hardware-id表示防火牆上介面的具體位置,如ethernet0或者ethernet1等等。這些是思科防火牆在出廠的時候就已經設定好的,不能夠進行更改。若在沒有對介面進行重新命名的時候,我們只能夠透過這個介面位置名稱,來配置對應的介面引數。

而if-name 則是我們為這個介面指定的具體名字。一般來說,這個名字希望能夠反映出這個介面的用途,就好象給這個介面取綽號一樣,要能夠反映能出這個介面的實際用途。另外,這個命名的話,我們網路管理員也必須遵守一定的規則。如這個名字中間不能用空格,不同用數字或者其他特殊字元(這不利於後續的操作),在長度上也不能夠超過48個字元。

security-level表示這個介面的安全等級。一般情況下,可以把企業內部介面的安全等級可以設定的高一點,而企業外部介面的安全等級則可以設定的低一點。如此的話,根據防火牆的訪問規則,安全級別高的介面可以防衛安全級別低的介面。也就是說,不需要經過特殊的設定,企業內部網路就可以訪問企業外部網路。而如果外部網路訪問內部網路,由於是安全級別低的介面訪問安全級別高的介面,則必須要要進行一些特殊的設定,如需要訪問控制列表的支援,等等。

筆者建議

在給介面配置安全等級的時候,一般不需要設定很複雜的安全等級。在安全要求一般的企業,只需要把介面的安全登記分為兩級(一般只用兩個介面,一個連線外部網路,一個連線內部網路),如此的話,防火牆的安全級別管理,會方便許多。

另外,就是企業內部網路的安全級別要高於外部網路的安全級別。因為從企業安全方面考慮,我們的基本原則是內部網路訪問外部網路可以放開,而外部網路訪問內部網路的話,就要有所限制,則主要是出於限制病毒、木馬等給企業網路所造成的危害的目的。不過,若企業內部對外部訪問也有限制的話,如不允許訪問FTP伺服器,等等,則可以藉助訪問控制列表或者其他技術手段來實現。

在對介面進行命名的時候,要能夠反映這個介面的用途,否則的話,對其進行命名也就沒有什麼意思了。一般的話,如可以利用inside或者 outside來表示連線內網與外網的介面。如此的話在,網路管理員在一看到這個介面名字,就知道這個介面的用途。這幾可以提高我們防火牆維護的效率。對於我們按照這個名字來對介面進行配置的時候,就比較容易實現,而不需要再去想我需要配置的介面名字是什麼。若我們真的忘記了介面名字的話,則可以利用 show nameif命令來檢驗介面名字的配置。

第三個命令:IP address

在防火牆管理中,要為每個啟用的防火牆介面配置IP地址。一般來說,防火牆的IP地址支援兩種取得方式,一是透過自動獲得,如可以透過企業內網的DHCP伺服器取得IP地址;二是使用者透過手工指定IP地址。

這個命令的具體格式為

Ip adress if-name IP [NETMASK]

若我們用上面的IF-NAME命令,給防火牆的介面配置好別名之後,則在後續的其他命令中,如這個配置IP地址的命令,則就不需要採用介面的位置名,而直接可以利用這個別名為具體的介面設定相關的引數。

若我們透過手工指定IP地址的時候,需要注意幾個問題。一是若企業中還有DHCP伺服器的話,則要注意這個網路地址衝突的問題。這個防火牆上的介面IP地址,在企業的整個網路中,也必須保持唯一,否則的話,就會造成IP地址衝突的錯誤。所以,若企業中還有DHCP伺服器的話,則在DHCP伺服器配置的時候,需要注意,這個防火牆介面所用的IP地址不應該在DHCP伺服器的自動分配IP的地址池中,否則的話,很容易造成IP地址的衝突。

另外,在給他手工配置IP地址的時候,為了管理上的方便,最好能夠指定連續的IP地址。也就是說,防火牆各個介面的IP地址為連續的。筆者在企業的IP地址規劃中,特意為防火牆的介面預留了4個IP地址。即使,現在沒有使用到這個介面,為了避免以後用到時,IP地址不連續,所以,在整個網路的 IP地址規劃中,還是為其預留了足夠多的IP地址。

這裡的網路掩碼不是必須的。若網路管理員在配置防火牆的時候,沒有配置這個網路掩碼的話,則防火牆會自動根據企業內部網路的結構,則防火牆會自動給其設定一個網路掩碼。所以,在一般的情況下,這個網路掩碼可以不用設定,免得填寫錯誤的話,還造成不必要的損失。

筆者建議

若是採用DHCP方式取得介面的IP地址的,則在DHCP伺服器配置的時候,最好能夠給防火牆的各個介面配置連續的IP地址。如此的話,可以方便我們對防火牆的介面進行管理。若企業的網路規模比較大,安全級別比較高的話,則一般建議不要採用DHCP的方式,而需要給防火牆的各個介面手工指定 IP地址。
第四個命令:NAT 與GLOBAL、STATIC命令

使用NAT(網路地址轉換)命令,網路管理員可以將內部的一組IP地址轉換成為外部的公網地址;而global命令則用於定義用網路地址轉換命令NAT轉換成的地址或者地址的範圍。簡單的說,利用NAT命令與GLOBAL命令,能夠實現IP地址之間的轉換,還可以實現IP地址到埠的對映。

這個網路地址轉換命令在實際工作中非常的有用。我們都知道,現在公網IP地址非常的缺乏,基本上,一家企業只有一到兩個公網地址。而對於企業來說,他們的檔案伺服器、OA系統、郵件伺服器等等可能都需要外部訪問,而如果沒有NAT技術的話 ,則在公網中要進行訪問的話,必須具有公網的IP地址。這就大大限制了企業內部資訊化系統的外部訪問,家庭辦公、出差時訪問企業內部網路等等,變的無法實現。而現在網路地址轉換技術,就是為解決這個問題而產生的。在網路地址轉換技術的幫助下,可以把企業內部的IP地址跟埠唯一的對映到外部公網的IP地址。如此的話,內網的IP地址就有了一個合法的公網IP地址,則在公司外面的員工就可以透過網際網路訪問企業內部的資訊化系統。

在實際工作中,用的最多的就是將本地地址轉換為一個擔擱的全域性地址,而不是一個地址範圍。如公司內部的ERP伺服器IP地址為 192.168.0.6,此時,若我們希望,外部的員工,如在其他城市的一個銷售辦事處,他們能夠利用202.96.96.240這個公網地址訪問這臺伺服器。若要實現這個需求,該如何配置呢?

Static (inside,outside) 192.168.0.6 202.96.96.236

此時,外部使用者就可以利用這個202.96.96.236公網IP地址,來訪問企業內部的ERP系統。

其實,配置了這條命令之後,在防火牆伺服器中,就有了這個一一對應的關係。當外部網路透過訪問202.96.96.236這個IP地址時,在防火牆伺服器中,就會把這個IP地址轉換為192.268.0.6,如此就實現了外部網路訪問企業的內部資訊化系統。

不過,此時若不止這麼一個資訊化系統,現在OA系統(192.168.0.5)與ERP系統(192.168.0.6),在家辦公的人或者出差在外的人都需要能夠訪問這兩個伺服器,此時,該如何處理呢?

如企業有兩個公網IP地址,那也好辦,只需要把OA系統與ERP系統分別對應到一個公網IP地址即可。但是,現在的問題是,企業只有一個IP 地址,此時,該如何處理呢?為此,我們可以利用static命令,實現埠的重定向。簡單的說,埠重定向,允許外部的使用者連線一個內部特定的IP地址與埠,並且讓防火牆將這個資料流量重定向到合適的內部地址中去。

作者提醒

1、 應該有足夠的全域性IP地址去匹配NAT命令指定的本機IP地址。否則的話,可以結合使用PAT(根據埠對應IP地址)來解決全域性地址的短缺問題。而對於絕大部分中國企業來說,基本上地址都是不夠的,要採用PAT技術來解決地址短缺問題。PAT技術,最多允許64000個客戶端(內部IP地址)使用同一個公網的IP地址。

2、 網路地址轉換除了可以解決公網ID地址短缺問題的話,還有一個很好的副作用。就是可以把內部的主機隱藏起來,從而實現內部主機的安全性。如上面的例子中,如外面的使用者需要訪問企業內部的ERP伺服器的話,則他們只需要知道公網地址就可以了,不需要知道到底他們訪問的是內部的那臺伺服器,這臺伺服器的IP地址是多少。如此的話,就可以最大限度的保護企業內部伺服器的安全。

第五個命令:ICMP命令

當我們做好相關的配置之後,接下去的工作我們就需要利用測試命令,來判斷我們所配置的準確性。最基本的兩個測試命令,就是PING與DEBUG命令。

Ping 命令我們網路管理員都是很熟悉的了。但是,在防火牆中有一個比較特殊的地方,就是在預設情況下,防火牆會拒絕所有來自於外部介面的ICMP輸入流量。當我們PING 一個外網的IP地址時,若跟對方連線通暢的話,則對方會返回一個ICMP響應的回答。而防火牆預設的情況下,是會拒絕這個ICMP流量的。這主要是出於安全方面的考慮。但是,在我們進行測試的時候,我們不喜歡防火牆禁止接收這個ICMP響應回答,不然的話,我們就無法進行測試工作了。

所以,在防火牆剛剛開始配置的時候,我們往往需要讓防火牆允許接收這個流量,我們需要利用permit命令來讓防火牆透過這個流量。

我們可以利用這條命令來實現這個需求:icmp permit any any outside。這個命令的意識就是允許ICMP協議在防火牆上暢通無阻的執行,允許防火牆接收來自外部的ICMP流量。

筆者提醒

不過,在測試完以後,最好還是能夠還原原先的設定,即讓防火牆拒絕接收這個來自外部介面ICMP流量,這對於提高企業內部的安全性,非常有幫助,如可以很好的防止DOS攻擊,等等。

第六個命令:write memory.

一般來說,我們在對防火牆配置所做的更改,是不會直接寫入當防火牆的快閃記憶體中的。防火牆如此的設計,是為了防止網路管理員萬一不小心,做了一些難以恢復的設定時,只需要重新啟動一下防火牆,就可以恢復以前的設定了。也就是說在,對防火牆的更新配置,在沒有應該命令把他寫入到快閃記憶體中,防火牆一般都是先把它存放在RAM 中。而RAM中的資料,當防火牆重新啟動後,都會丟失。

所以,當配置測試完成之後,千萬要記住,要利用write memory命令,把相關的更改配置寫入到快閃記憶體中。如此的話,才能夠在防火牆重新啟動後,這些相關的配置仍然能夠起作用。

筆者提醒

在沒有測試之前,最好不要把更改配置寫入到快閃記憶體中。因為一旦寫入到快閃記憶體中,你若做了一些難以恢復的配置,而在測試的時候出現了問題,此時,你只能夠重置防火牆,以前的配置將會全部丟失,回覆到出廠狀態,那對於我們網路管理員來說,是個很大的打擊。所以,一般需要對相關的配置測試無誤後,才能夠利用這個命令,永久的儲存配置。

不過,在防火牆配置的時候,要注意不要斷電,否則的話,你做的配置將會全功盡棄。不過,若在防火牆一端,接上UPS電源,是一個比較明智的做法。

相關文章