防火墻配置中必備的六個主要命令解析
防火墻的基本功能,是通過六個命令來完成的。一般情況下,除非有特殊的安全需求,這個六個命令基本上可以搞定防火墻的配置。下面筆者就結合CISCO的防火墻,來談談防火墻的基本配置,希望能夠給大家一點參考。
第一個命令:interface
Interface是防火墻配置中最基本的命令之一,他主要的功能就是開啟關閉接口、配置接口的速度、對接口進行命名等等。在買來防火墻的時候,防火墻的各個端都都是關閉的,所以,防火墻買來后,若不進行任何的配置,防止在企業的網絡上,則防火墻根本無法工作,而且,還會導致企業網絡不同。
1、 配置接口速度
在防火墻中,配置接口速度的方法有兩種,一種是手工配置,另外一種是自動配置。手工配置就是需要用戶手工的指定防火墻接口的通信速度;而自動配置的話,則是指防火墻接口會自動根據所連接的設備,來決定所需要的通信速度。
如:interface ethernet0 auto --為接口配置“自動設置連接速度”
Interface ethernet2 100ful --為接口2手工指定連接速度,100MBIT/S。
這里,參數ethernet0或者etnernet2則表示防火墻的接口,而后面的參數表示具體的速度。
筆者建議
在配置接口速度的時候,要注意兩個問題。
一是若采用手工指定接口速度的話,則指定的速度必須跟他所連接的設備的速度相同,否則的話,會出現一些意外的錯誤。如在防火墻上,若連接了一個交換機的話,則交換機的端口速度必須跟防火墻這里設置的速度相匹配。
二是雖然防火墻提供了自動設置接口速度的功能,不過,在實際工作中,作者還是不建議大家采用這個功能。因為這個自動配置接口速度,會影響防火墻的性能。而且,其有時候也會判斷失誤,給網絡造成通信故障。所以,在一般情況下,無論是筆者,還是思科的官方資料,都建議大家采用手工配置接口速度。
2、 關閉與開啟接口
防火墻上有多個接口,為了安全起見,打開的接口不用的話,則需要及時的進行關閉。一般可用shutdown命令來關閉防火墻的接口。但是這里跟思科的IOS軟件有一個不同,就是如果要打開這個接口的話,則不用采用no shutdown命令。在防火墻的配置命令中,沒有這一條。而應該采用不帶參數的shutdown命令,來把一個接口設置為管理模式。
筆者建議
在防火墻配置的時候,不要把所有的接口都打開,需要用到幾個接口,就打開幾個接口。若把所有的接口都打開的話,會影響防火墻的運行效率,而且,對企業網絡的安全也會有影響。或者說,他會降低防火墻對于企業網絡的控制強度。
第二個命令:nameif
一般防火墻出廠的時候,思科也會為防火墻配置名字,如ethernet0等等,也就是說,防火墻的物理位置跟接口的名字是相同的。但是,很明顯,這對于我們的管理是不利的,我們不能夠從名字直觀的看到,這個接口到底是用來做什么的,是連接企業的內部網絡接口,還是連接企業的外部網絡接口。所以,網絡管理員,希望能夠重命令這個接口的名字,利用比較直觀的名字來描述接口的用途,如利用outside命令來表示這個接口是用來連接外部網絡;而利用inside命令來描述這個接口是用來連接內部網絡。同時,在給端口進行命名的時候,還可以指定這個接口的安全等級。
Nameif命令基本格式如下
Nameif hardware-id if-name security-level
其中,hardware-id表示防火墻上接口的具體位置,如ethernet0或者ethernet1等等。這些是思科防火墻在出廠的時候就已經設置好的,不能夠進行更改。若在沒有對接口進行重新命名的時候,我們只能夠通過這個接口位置名稱,來配置對應的接口參數。
而if-name 則是我們為這個接口指定的具體名字。一般來說,這個名字希望能夠反映出這個接口的用途,就好象給這個接口取綽號一樣,要能夠反映能出這個接口的實際用途。另外,這個命名的話,我們網絡管理員也必須遵守一定的規則。如這個名字中間不能用空格,不同用數字或者其他特殊字符(這不利于后續的操作),在長度上也不能夠超過48個字符。
security-level表示這個接口的安全等級。一般情況下,可以把企業內部接口的安全等級可以設置的高一點,而企業外部接口的安全等級則可以設置的低一點。如此的話,根據防火墻的訪問規則,安全級別高的接口可以防衛安全級別低的接口。也就是說,不需要經過特殊的設置,企業內部網絡就可以訪問企業外部網絡。而如果外部網絡訪問內部網絡,由于是安全級別低的接口訪問安全級別高的接口,則必須要要進行一些特殊的設置,如需要訪問控制列表的支持,等等。
筆者建議
在給接口配置安全等級的時候,一般不需要設置很復雜的安全等級。在安全要求一般的企業,只需要把接口的安全登記分為兩級(一般只用兩個接口,一個連接外部網絡,一個連接內部網絡),如此的話,防火墻的安全級別管理,會方便許多。
另外,就是企業內部網絡的安全級別要高于外部網絡的安全級別。因為從企業安全方面考慮,我們的基本原則是內部網絡訪問外部網絡可以放開,而外部網絡訪問內部網絡的話,就要有所限制,則主要是出于限制病毒、木馬等給企業網絡所造成的危害的目的。不過,若企業內部對外部訪問也有限制的話,如不允許訪問FTP服務器,等等,則可以借助訪問控制列表或者其他技術手段來實現。
在對接口進行命名的時候,要能夠反映這個接口的用途,否則的話,對其進行命名也就沒有什么意思了。一般的話,如可以利用inside或者outside來表示連接內網與外網的接口。如此的話在,網絡管理員在一看到這個接口名字,就知道這個接口的用途。這幾可以提高我們防火墻維護的效率。對于我們按照這個名字來對接口進行配置的時候,就比較容易實現,而不需要再去想我需要配置的接口名字是什么。若我們真的忘記了接口名字的話,則可以利用show nameif命令來檢驗接口名字的配置。
第三個命令:IP address
在防火墻管理中,要為每個啟用的防火墻接口配置IP地址。一般來說,防火墻的IP地址支持兩種取得方式,一是通過自動獲得,如可以通過企業內網的DHCP服務器取得IP地址;二是用戶通過手工指定IP地址。
這個命令的具體格式為
Ip adress if-name IP [NETMASK]
若我們用上面的IF-NAME命令,給防火墻的接口配置好別名之后,則在后續的其他命令中,如這個配置IP地址的命令,則就不需要采用接口的位置名,而直接可以利用這個別名為具體的接口設置相關的參數。
若我們通過手工指定IP地址的時候,需要注意幾個問題。一是若企業中還有DHCP服務器的話,則要注意這個網絡地址沖突的問題。這個防火墻上的接口IP地址,在企業的整個網絡中,也必須保持唯一,否則的話,就會造成IP地址沖突的錯誤。所以,若企業中還有DHCP服務器的話,則在DHCP服務器配置的時候,需要注意,這個防火墻接口所用的IP地址不應該在DHCP服務器的自動分配IP的地址池中,否則的話,很容易造成IP地址的沖突。
另外,在給他手工配置IP地址的時候,為了管理上的方便,最好能夠指定連續的IP地址。也就是說,防火墻各個接口的IP地址為連續的。筆者在企業的IP地址規劃中,特意為防火墻的接口預留了4個IP地址。即使,現在沒有使用到這個接口,為了避免以后用到時,IP地址不連續,所以,在整個網絡的IP地址規劃中,還是為其預留了足夠多的IP地址。
這里的網絡掩碼不是必須的。若網絡管理員在配置防火墻的時候,沒有配置這個網絡掩碼的話,則防火墻會自動根據企業內部網絡的結構,則防火墻會自動給其設置一個網絡掩碼。所以,在一般的情況下,這個網絡掩碼可以不用設置,免得填寫錯誤的話,還造成不必要的損失。
筆者建議
若是采用DHCP方式取得接口的IP地址的,則在DHCP服務器配置的時候,最好能夠給防火墻的各個接口配置連續的IP地址。如此的話,可以方便我們對防火墻的接口進行管理。若企業的網絡規模比較大,安全級別比較高的話,則一般建議不要采用DHCP的方式,而需要給防火墻的各個接口手工指定IP地址。
第四個命令:NAT 與GLOBAL、STATIC命令
使用NAT(網絡地址轉換)命令,網絡管理員可以將內部的一組IP地址轉換成為外部的公網地址;而global命令則用于定義用網絡地址轉換命令NAT轉換成的地址或者地址的范圍。簡單的說,利用NAT命令與GLOBAL命令,能夠實現IP地址之間的轉換,還可以實現IP地址到端口的映射。
這個網絡地址轉換命令在實際工作中非常的有用。我們都知道,現在公網IP地址非常的缺乏,基本上,一家企業只有一到兩個公網地址。而對于企業來說,他們的文件服務器、OA系統、郵件服務器等等可能都需要外部訪問,而如果沒有NAT技術的話 ,則在公網中要進行訪問的話,必須具有公網的IP地址。這就大大限制了企業內部信息化系統的外部訪問,家庭辦公、出差時訪問企業內部網絡等等,變的無法實現。而現在網絡地址轉換技術,就是為解決這個問題而產生的。在網絡地址轉換技術的幫助下,可以把企業內部的IP地址跟端口唯一的映射到外部公網的IP地址。如此的話,內網的IP地址就有了一個合法的公網IP地址,則在公司外面的員工就可以通過互聯網訪問企業內部的信息化系統。
在實際工作中,用的最多的就是將本地地址轉換為一個擔擱的全局地址,而不是一個地址范圍。如公司內部的ERP服務器IP地址為192.168.0.6,此時,若我們希望,外部的員工,如在其他城市的一個銷售辦事處,他們能夠利用202.96.96.240這個公網地址訪問這臺服務器。若要實現這個需求,該如何配置呢?
Static (inside,outside) 192.168.0.6 202.96.96.236
此時,外部用戶就可以利用這個202.96.96.236公網IP地址,來訪問企業內部的ERP系統。
其實,配置了這條命令之后,在防火墻服務器中,就有了這個一一對應的關系。當外部網絡通過訪問202.96.96.236這個IP地址時,在防火墻服務器中,就會把這個IP地址轉換為192.268.0.6,如此就實現了外部網絡訪問企業的內部信息化系統。
不過,此時若不止這么一個信息化系統,現在OA系統(192.168.0.5)與ERP系統(192.168.0.6),在家辦公的人或者出差在外的人都需要能夠訪問這兩個服務器,此時,該如何處理呢?
如企業有兩個公網IP地址,那也好辦,只需要把OA系統與ERP系統分別對應到一個公網IP地址即可。但是,現在的問題是,企業只有一個IP地址,此時,該如何處理呢?為此,我們可以利用static命令,實現端口的重定向。簡單的說,端口重定向,允許外部的用戶連接一個內部特定的IP地址與端口,并且讓防火墻將這個數據流量重定向到合適的內部地址中去。
作者提醒
1、 應該有足夠的全局IP地址去匹配NAT命令指定的本機IP地址。否則的話,可以結合使用PAT(根據端口對應IP地址)來解決全局地址的短缺問題。而對于絕大部分中國企業來說,基本上地址都是不夠的,要采用PAT技術來解決地址短缺問題。PAT技術,最多允許64000個客戶端(內部IP地址)使用同一個公網的IP地址。
2、 網絡地址轉換除了可以解決公網ID地址短缺問題的話,還有一個很好的副作用。就是可以把內部的主機隱藏起來,從而實現內部主機的安全性。如上面的例子中,如外面的用戶需要訪問企業內部的ERP服務器的話,則他們只需要知道公網地址就可以了,不需要知道到底他們訪問的是內部的那臺服務器,這臺服務器的IP地址是多少。如此的話,就可以最大限度的保護企業內部服務器的安全。
第五個命令:ICMP命令
當我們做好相關的配置之后,接下去的工作我們就需要利用測試命令,來判斷我們所配置的準確性。最基本的兩個測試命令,就是PING與DEBUG命令。
Ping 命令我們網絡管理員都是很熟悉的了。但是,在防火墻中有一個比較特殊的地方,就是在默認情況下,防火墻會拒絕所有來自于外部接口的ICMP輸入流量。當我們PING 一個外網的IP地址時,若跟對方連接通暢的話,則對方會返回一個ICMP響應的回答。而防火墻默認的情況下,是會拒絕這個ICMP流量的。這主要是出于安全方面的考慮。但是,在我們進行測試的時候,我們不喜歡防火墻禁止接收這個ICMP響應回答,不然的話,我們就無法進行測試工作了。
所以,在防火墻剛剛開始配置的時候,我們往往需要讓防火墻允許接收這個流量,我們需要利用permit命令來讓防火墻通過這個流量。
我們可以利用這條命令來實現這個需求:icmp permit any any outside。這個命令的意識就是允許ICMP協議在防火墻上暢通無阻的運行,允許防火墻接收來自外部的ICMP流量。
筆者提醒
不過,在測試完以后,最好還是能夠還原原先的設置,即讓防火墻拒絕接收這個來自外部接口ICMP流量,這對于提高企業內部的安全性,非常有幫助,如可以很好的防止DOS攻擊,等等。
第六個命令:write memory.
一般來說,我們在對防火墻配置所做的更改,是不會直接寫入當防火墻的閃存中的。防火墻如此的設計,是為了防止網絡管理員萬一不小心,做了一些難以恢復的設置時,只需要重新啟動一下防火墻,就可以恢復以前的設置了。也就是說在,對防火墻的更新配置,在沒有應該命令把他寫入到閃存中,防火墻一般都是先把它存放在RAM 中。而RAM中的數據,當防火墻重新啟動后,都會丟失。
所以,當配置測試完成之后,千萬要記住,要利用write memory命令,把相關的更改配置寫入到閃存中。如此的話,才能夠在防火墻重新啟動后,這些相關的配置仍然能夠起作用。
筆者提醒
在沒有測試之前,最好不要把更改配置寫入到閃存中。因為一旦寫入到閃存中,你若做了一些難以恢復的配置,而在測試的時候出現了問題,此時,你只能夠重置防火墻,以前的配置將會全部丟失,回復到出廠狀態,那對于我們網絡管理員來說,是個很大的打擊。所以,一般需要對相關的配置測試無誤后,才能夠利用這個命令,永久的保存配置。
不過,在防火墻配置的時候,要注意不要斷電,否則的話,你做的配置將會全功盡棄。不過,若在防火墻一端,接上UPS電源,是一個比較明智的做法。
【編輯推薦】
