网络通信基础知识

1、三层交换机与路由器的主要区别1. 主要功能不同虽然三层交换机与路由器都具有路由功能，但我们不能因此而把它们等同起来，正如现在许多网络设备同时具备多种传统网络设备功能一样，就如现在有许多宽带路由器不仅具有路由功能，还提供了交换机端口、硬件防火墙功能，但不能把它与交换机或者防火墙等同起来一样。因为这些路由器的主要功能还是路由功能，其它功能只不过是其附加功能，其目的是使设备适用面更广、使其更加实用。这里的三层交换机也一样，它仍是交换机产品，只不过它是具备了一些基本的路由功能的交换机，它的主要功能仍是数据交换。也就是说它同时具备了数据交换和路由转发两种功能，但其主要功能还是数据交换；而路由器仅具有路由

2、转发这一种主要功能。2. 主要适用的环境不一样三层交换机的路由功能通常比较简单，因为它所面对的主要是简单的局域网连接。正因如此，三层交换机的路由功能通常比较简单，路由路径远没有路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能，满足局域网数据交换频繁的应用特点。而路由器则不同，它的设计初哀就是为了满足不同类型的网络连接，虽然也适用于局域网之间的连接，但它的路由功能更多的体现在不同类型网络之间的互联上，如局域网与广域网之间的连接、不同协议的网络之间的连接等，所以路由器主要是用于不同类型的网络之间。它最主要的功能就是路由转发，解决好各种复杂路由路径网络的连接就是它的最终目的，所以路由

3、器的路由功能通常非常强大，不仅适用于同种协议的局域网间，更适用于不同协议的局域网与广域网间。它的优势在于选择最佳路由、负荷分担、链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。为了与各种类型的网络连接，路由器的接口类型非常丰富，而三层交换机则一般仅同类型的局域网接口，非常简单。3. 性能体现不一样从技术上讲，路由器和三层交换机在数据包交换操作上存在着明显区别。路由器一般由基于微处理器的软件路由引擎执行数据包交换，而三层交换机通过硬件执行数据包交换。三层交换机在对第一个数据流进行路由后，它将会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不

4、是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率。同时，三层交换机的路由查找是针对数据流的，它利用缓存技术，很容易利用ASIC技术来实现，因此，可以大大节约成本，并实现快速转发。而路由器的转发采用最长匹配的方式，实现复杂，通常使用软件来实现，转发效率较低。正因如此，从整体性能上比较的话，三层交换机的性能要远优于路由器，非常适用于数据交换频繁的局域网中；而路由器虽然路由功能非常强大，但它的数据包转发效率远低于三层交换机，更适合于数据交换不是很频繁的不同类型网络的互联，如局域网与互联网的互联。如果把路由器，特别是高档路由器用于局域网中，则在相当大程度上是一种浪费（就

5、其强大的路由功能而言），而且还不能很好地满足局域网通信性能需求，影响子网间的正常通信。综上所述，三层交换机与路由器之间还是存在着非常大的本质区别的。无论从哪方面来说，在局域网中进行多子网连接，最好还选用三层交换机，特别是在不同子网数据交换频繁的环境中。一方面可以确保子网间的通信性能需求，另一方面省去了另外购买交换机的投资。当然，如果子网间的通信不是很频繁，采用路由器也无可厚非，也可达到子网安全隔离相互通信的目的。具体要根据实际需求来定。防火墙的选购有关防火墙方面的知识，在前几篇中已作了较全面的介绍，相信各位对防火墙的认识已有所提高。最后在本篇之中，我要向大家介绍的是在防火墙选购方面需注意的有关

6、事项，也可称之为选购原则吧。这是在你决定利用前几篇知识开始为自己企业选购防火墙之前需要最后掌握的。其实防火墙的选购与其它网络设备和选购差不多，主要是考虑到品牌和性能。品牌好说，有名的大家都或许早已知道一些，但是对于性能，却非常广泛，不同品牌、不同型号差别较大，是整个防火墙选购注意事项中的关键所在。本文所要介绍的选购原则主要是从性能角度考虑。1. 产品类型防火墙的产品分类标准较多，本篇主要介绍的是硬件防火墙，而且只考虑传统边界防火墙。在边界防火墙中，如果硬件结构来看的话，基本上有两大类：路由器集成式和硬件独立式防火墙。前者是在边界路由器基础上辅以软件，添加一些包过滤功能，通常称之为包过滤防火墙，

7、如Cisco IOS防火墙等；而独立式硬件防火墙通常是基于应用级网关、自动代理等较先进过滤技术的，各种过滤技术有不同的优点和适用环境，要注意选择。详细防火墙分类，请参照毅面篇介绍。另外防火墙所用的系统也非常关键，它关系到防火墙自身的安全性能。目前包过滤型的路由器防火墙是没有单独的操作系统的，而独立式的硬件防火墙有的采用通用操作系统；而有的则采用专门开发的嵌入式操作系统。相比之下，专门开发的操作系统比较安全，因为它所包括的服务比较小，安全漏洞比较少。2. LAN接口防火墙的接口虽然没有路由器那么复杂，但也因具体的应用环境不同，所用的接口类型也不一样。主要表现在内部网络接口类型上，防火墙的LAN接

8、口类型要符合应用环境的网络连接需求。主要的LAN接口类型有以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等主流网络类型。在企业局域网中，通常只需要能支持以太网、快速以太网，最多还可选择支持千兆以太网的。注意支持接口类型越多，价格越贵，因为在防火墙主板中的电路会越复杂。不要一味贪全。在防火墙LAN接口支持方面，还要考虑其最大的LAN接口数，如果企业只有一个网络需要保护，则呆选择具有1个LAN接口的，而需组建多宿主机模式，则需要选择能提供多个LAN接口的防火墙，以实现保护不同内网的目的。当然接口数越多，价格也越贵。3. 协议支持防火墙要对各种数据包进行过滤，就必须对相应数据包通信方式提供

9、支持，除了广泛受支持的TCP/IP协议外，还有可能需要支持AppleTalk、DECnet、IPX及NETBEUI等协议，当然这要根据具体的应用环境而定。如果防火墙要支持VPN通信，则一定要选择支持VPN隧道协议（PPTP和L2TP），以及IPSec安全协议等。协议的选择与内部网络所用操作系统关系密切。4. 访问控制配置在防火墙中的访问规则表中，不同的防火墙有不同的配置方式。好的防火墙过滤规则应涵盖所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，也应有一个默认处理方法。同时要求过滤规则应易于理解，易于编辑修改，并具备一致性检测机制，防止各条规则间相互冲突，而不起作用。防火墙能否在应

10、用层提供代理支持也是非常重要的，如HTTP、FTP、TELNET、SNMP代理等。在传输层是否可以提供代理支持；是否支持FTP文件类型过滤，允许FTP命令防止某些类型文件通过防火墙；在应用级代理方面，是否具有应用层高级代理功能，如HTTP、POP3 。在安全策略上，防火墙应具有相当的灵活性。首先防火墙的过滤语言应该是灵活的，编程对用户是友好的，还应具备若干可能的过滤属性，如源和目的IP地址、协议类型、源和目的TCP/UDP端口及入出接口等。只有这样用户才能根据实际需求采取灵活的安全策略保护自己企业网络的安全。另外，防火墙除应包含先进的鉴别措施，还应采用尽量多的先进技术，如包过滤技术、加密技术、

11、可信的信息技术等。如身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术，这些都是防火墙安全系统所必需考虑的。在身份认证支持方面，一般情况下防火墙应具有一个以上认证方案，如RADIUS、Kerberos、TACACS/TACACS、 口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。列出防火墙所能支持的认证标准和CA互操作性（厂商可以选择自己的认证方案，但应符合相应的国际标准），以及实现的认证协议是否与其他CA产品兼容互通。5. 自身的可靠性防火墙本身就是一个用于安全防护的设备，当

12、然其自身的安全性也就显得更加重要了。防火墙的安全性能取决于防火墙是否采用了安全的操作系统和是否采用专用的硬件平台。因为现在第二代防火墙产品通常不再依靠用户的操作系统，而是采用自已单独开发的操作系统。应用系统的安全性能是以防火墙自身操作系统的安全性能为基础的，同时，应用系统自身的安全实现也直接影响到整个系统的安全性。在硬件配置方面，提高防火墙的可靠性通常是通过提高防火墙部件的强健性、增大设计阀值和增加冗余部件进行的。6. 防御功能在提供病毒扫描功能的防火墙中，要验证其扫描的文档类型，如是否会对电子邮件附件中的DOC和ZIP文件，FTP中的下载或上载文件内容进行扫描，以发现其中包含的危险信息。验证

13、防火墙是否具有抵御DoS攻击的能力。在网络攻击中，拒绝服务攻击是使用频率最高的手段。拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，应可有效地防止或抵御黑客客的DoS攻击。当然除了防火墙要具备这这能力外，我们还可对网络系统进行完善，更加网络自身的DoS攻击防御能力。拒绝服务攻击可以分为两类 ：一类是由于操作系统或应用软件在设计或编程上存在缺陷而造成的，这种类型只能通过打补丁的办法来解决，如我们常见的各种Windows系统安全补丁。另一类是由于协议本身存在缺陷而造成的，这种类型的攻击虽然较

14、少，但是造成的危害却非常大。对于第一类问题，防火墙显得有些力不从心，因为系统缺陷与病毒感染不同，没有病毒码作为依据，防火墙常常会作出错误的判断。防火墙有能力对付第二类攻击。随着黑客攻击手段的提高，新的入侵的手段也已开始普遍，如基于ActiveX、Java、Cookies、Javascript程序的入侵。防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的CGI、ASP等程序，当发现危险代码时，向服务器报警。7. 连接性能因为防火墙位于网络边界，需对进入网络的所有数据

15、包进行过滤，这就要求防火墙能以最快的速度及时对所有数据包进行检测，否则就可能造成比较的延时，甚至死机。这个指标又称之为吞吐量，非常重要，它体现了防火墙的可用性，也体现了企业用户使用防火墙产品的代价（延时）。如果防火墙对网络造成较大的延时，还会给用户造成较大的损失。这一点我们在使用个人防火墙时可能深有感触，有时我们在打开防火墙时上网速度非常慢，而一旦去掉防火墙速度就上来了，原因就为因为防火墙在过滤数据包时效率不高。就防火墙类型来说，包过滤型速度最快，对原有网络性能影响最小，在防火墙端口带宽足够宽（如现在的千兆防火墙）的情况下，其影响还不足以让人感觉。而先进的动态包过滤、应用级网关、自适应代理防火

16、墙，虽然其包检测机制比包过滤先进，但所需时间要比包过滤多，因而在效率方面就不如包过滤型。当然我们知道，包过滤机制本身就存在许多不安全、不全面的因素，所以这类防火墙对网络的防护能力非常有限，因此在较大型、或者较注重安全的网络中建议不要选择此类防火墙。8. 管理功能在管理方面，主要是出于网络管理员对防火墙的日常管理工作方面便性角度考虑，防火墙要能为管理员提供足够的信息或操作便利。通常网络管理员需对防火墙墙进行如下管理工作：通过防火墙的身份鉴别，编写防火墙的安全规则；配置防火墙的安全参数；查看防火墙的日志，通过日志记录信息修改安全规则、调整网络部署等。在这些日常管理工作中，有的要在本地执行，而有的允

17、许通过远程管理方式进行远程管理。这就要求防火墙支持相应的远程管理方式。在防火墙配置方面，在上一篇我们介绍到它也有几种方式，如本地控制端口连接方式、远程Telnet、FTP，甚至HTTP方式，查看所选防火墙所支持的配置方式是否满足你公司的实际需求。对于大型网络中，如果存在多个防火墙，我们还考虑防火墙是否支持集中管理，通过集成策略集中管理多个防火墙可以大大减轻网络管理负担。另一方面，还要考虑防火墙是否提供基于时间的访问控制；是否支持SNMP监视和配置。在大、中型企业防火墙管理中方面，还需考虑以下几方面的性能：是否支持带宽管理；是否支持负载均衡特性；是否支持失效恢复特性（failover)。支持带宽

18、管理的防火墙能够根据当前的流量动态调整某些客户端占用的带宽；负载均衡特性可以看成动态的端口映射，它将一个外部地址的某一TCP或UDP端口映射到一组内部地址的某一端口，负载均衡主要用于将某项服务（如HTTP）分摊到一组内部服务器上以平衡负载；而失效恢复特性是一种容错技术，如双机热备份、故障恢复，双电源备份等。9. 记录和报表功能这项功能是对采用应用级网关、自适应代理服务器等新技术的防火墙而言的，对于包过滤路由器防火墙是不具备此功能的。在防火墙的日志记录和报表功能上，主要考虑以下几个方面：防火墙处理完整日志的方法：防火墙应该规定对于符合条件的报文进行日志记录，同时还需提供日志信息管理和存储方法。是

19、否提供自动日志扫描：指防火墙是否具有日志的自动分析和扫描功能对于帮助管理员进行有效地管理非常重要，通过防火墙的自动分析和扫描功能，管理员可以获得更详细的统计结果，以便管理员针对性进行相应方面的完善。是否具人警告通知机制：防火墙应提供警告机制，在检测到网络入侵，及设备运转异常情况时，通过警告信息来通知管理员采取必要的措施，警告方式包括Email、状态显示、声音报警、呼叫报警等。是否提供简要报表（按照用户ID或IP 地址）：这是防火墙日志记录的一种输出方式，具有这种功能的防火墙可按管理员要求提供相应的报表，分类打印。这样可灵活满足各种管理需求。是否提供实时统计：这也是防火墙日志记录的一种输出方式，

20、通过实时统计状态显示，管理员可及时地分析当前网络安全状态，及时地发现和解决安全隐患，一般是以图表方式显示的。10灵活的可扩展和可升级性用户的网络不可能永远一成不变，随着业务的发展，公司内部可能组建不同安全级别的子网，这样防火墙不仅要在公司内部网和外部网之间进行过滤，还要在公司内部子网之间进行过滤（现在的分布式防火墙不仅可以做到这一点，而且还可在内部网各用户之间过滤）。目前的防火墙一般标配三个网络接口，分别连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口，因为有些防火墙无法扩展。用户购买或配置防火墙，首先要对自身的安全需求、网络特性和成本预算做出分析，然后对防火墙产品

21、进行评估和审核，选出24家主要品牌产品进行洽谈，最后再确定优选方案。通常小型企业接入互联网的目的一般是为了方便内部用户浏览Web、收发E-mail以及发布主页。这类用户在选购防火墙时，主要要注意考虑保护内部（敏感）数据的安全，特别要注重安全性，对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙，具有http、mail等代理功能即可。而对于有电子商务应用的企业和网站等用户来说，这些企业每天都会有大量的商务信息通过防火墙。如果这些用户需要在外部网络发布Web（将Web服务器置于外部的情况），同时需要保护数据库或应用服务器（置于防火墙内），这就要求所采用的防火墙具有传送

22、SQL数据的功能，而且必须具有较快的传送速度。建议这些用户采用高效的包过滤型防火墙，并将其配置为只允许外部Web服务器和内部传送SQL数据使用。未来的防火墙系统应该是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。11协同工作能力因为防火墙只是一个基础的网络安全设备，它不代表网络安全防护体系的全部，通常它需要与防病毒系统和入侵检测系统等安全产品协同配合，才能从根本上保证整个系统的安全，所以在选购防火墙时就要考虑它是否能够与其他安全产品协同工作。如何检验它是否具有这个能力，通常是看它是否支

23、持OPSEC（开放安全结构）标准，通过这个接口与入侵检测系统协同工作，通过CVP（内容引导协议）与防病毒系统协同工作。12品牌知名度之所以把它放在最后介绍，那是因为它不能说是一项硬件选购指标，只能是一项参考指标。防火墙产品属高科技产品，生产这样的设备不仅需要强大的资金作后盾，而且在技术实力需要有强大的保障。选择了好的品牌在一定程度上也就选择了好的技术和服务，对将来的使用更加有保障。所以在选购防火墙产品时千万别随便贪图一时便宜，选购一些杂牌产品。目前国外在防火墙产品的开发、生产中比较著名的品牌有：3COM、Cisco、Nokia、NetScreen、Check Point等，这些品牌技术实力比较

24、强，而且都能提供高档产品，当然价格也相比下面要介绍的国产品牌要贵许多（通常在15万元以上）甚至贵一倍以上。这些品牌对于大、中型有资金实力的企业来说比较理想，因为购买了这类品牌产品，相对来说在技术方面更有保障，能满足公司各方面的特殊需求，而且可扩展性比较强，适宜公司的发展需要。国内开发、生产防火墙的品牌主要有：联想-Dlink、天网、实达、东软、天融信等。这些品牌相对国外著名品牌来说都处于中、低档次。当然价格要便宜许多（通常在10万元以下），而且还能提供全中文的使用说明书，方便安装、调试和维护。对于中小企业来说国产品牌是理想的选择。以上介绍了在选购防火墙时所要注意的各个方面，事实上很难找到完全符

25、合以上各项要求的防火墙产品。事实上如何评估防火墙是一个十分复杂的问题。一般说来，防火墙的安全和性能（速度等）是最重要的指标，用户接口（管理和配置界面）和审计追踪次之，然后才是功能上的扩展性。用户时常会面对安全和性能之间的矛盾，代理型防火墙通常更具安全性，但是性能要差于包过滤型防火墙。好了，关于防火墙的选购就介绍至此。这样有关防火墙方面的知识就介绍完了，从下篇开始就介绍本教程的最后，也是最重要的一个网络硬件设备-服务器。防火墙的配置在前几篇对防火墙的有关知识和技术作了一个较全面的介绍，本篇要为大家介绍一些实用的知识，那就是如何配置防火中的安全策略。但要注意的是，防火墙的具体配置方法也不是千篇一律

26、的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。一. 防火墙的基本配置原则默认情况下，所有的防火墙都是按以下两种情况配置的：拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收E

27、mail，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了

28、一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。（2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙

29、系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。（3）. 内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%以上的威胁都来自内部，所以我们要树立防内的观念，从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念，最好能部署与上述内部防护手段一起联动的机制。目前来说，要做到这一点比较困难。二、防火墙的初始配置像路由器一样，在使用

30、之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以Cisco PIX防火墙为例进行介绍。防火墙的初始配置也是通过控制端口（Console）与PC机（通常是便于移动的笔记本电脑）的串口连接，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，参见图1所示。图1防火墙除了以上所说的通过控制端口（Console）进行初始配置外，也可以通过telnet和Tffp配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而Tffp方式需要专用的Tffp服务

31、器软件，但配置界面比较友好。防火墙与路由器一样也有四种用户配置模式，即：普通模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样：普通用户模式无需特别命令，启动后即进入；进入特权用户模式的命令为enable；进入配置模式的命令为config terminal；而进入端口模式的命令为interface ethernet（）。不过因为防火墙的端口没有路由器那么复杂，所以通常把端口模式归为配置模式，统称为全局配置模式。防火墙的具体配置步

32、骤如下：1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，参见图1。2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。3. 运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在附件程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。4. 当PIX防火墙进入系统后即显示pixfirewall的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。5. 输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。6.

33、输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。（1）. 首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例）Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡，auto选项为系统自适应网卡类型Interface ethernet1 auto（2）. 配置防火墙内、外部网卡的IP地址IP address inside ip_address netmask # Inside代表内部网卡IP address outside ip_address netmask # outside代表外部网卡（3）

34、. 指定外部网卡的IP地址范围：global 1 ip_address-ip_address（4）. 指定要进行转换的内部地址nat 1 ip_address netmask（5）. 配置某些控制选项：conduit global_ip port-port protocol foreign_ip netmask其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是连接协议，比如：TCP、UDP等；foreign_ip：表示可访问的global_ip外部IP地址；netmask：为可选项，代表要控制的子网掩码。7. 配置保存：wr m

35、em8. 退出当前模式此命令为exit，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到普通模式下的操作步骤。pixfirewall(config)# exitpixfirewall# exitpixfirewall9. 查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。10. 查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。11. 查看静态地址映射:show stati

36、c，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。三、Cisco PIX防火墙的基本配置1. 同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口；2. 开启所连电脑和防火墙的电源，进入Windows系统自带的超级终端，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pix255。3. 输入enable命令，进入Pix 5

37、25特权用户模式,默然密码为空。如果要修改此特权用户模式密码，则可用enable password命令，命令格式为：enable password password encrypted，这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。4、 定义以太端口：先必须用enable命令进入特权用户模式，然后输入configure terminal（可简称为config t）,进入全局配置模式模式。具体配置pix525enablePassword:pix525#config tpix525 (config)#interface ethernet0 autopix525 (con

38、fig)#interface ethernet1 auto在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。5. clock配置时钟，这也非常重要，这主要是为防火墙的日志记录而资金积累的，如果日志记录时间和日期都不准确，也就无法正确分析记录中的信息。这须在全局配置模式下进行。时钟设置命令格式有两种，主要是日期格式不同，分别为：clock set hh:mm:ss month day month year和clock set hh:mm:ss day

39、month year前一种格式为：小时：分钟：秒 月 日 年；而后一种格式为：小时：分钟：秒 日 月 年，主要在日、月份的前后顺序不同。在时间上如果为0，可以为一位，如：21:0:0。6. 指定接口的安全级别指定接口安全级别的命令为nameif，分别为内、外部网络接口指定一个适当的安全级别。在此要注意，防火墙是用来保护内部网络的，外部网络是通过外部接口对内部网络构成威胁的，所以要从根本上保障内部网络的安全，需要对外部网络接口指定较高的安全级别，而内部网络接口的安全级别稍低，这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系列防火墙中，安全级别的定义是由security（）这个参数决

40、定的，数字越小安全级别越高，所以security0是最高的，随后通常是以10的倍数递增，安全级别也相应降低。如下例：pix525(config)#nameif ethernet0 outside security0 # outside是指外部接口pix525(config)#nameif ethernet1 inside security100 # inside是指内部接口7. 配置以太网接口IP地址所用命令为：ip address，如要配置防火墙上的内部网接口IP地址为： ；外部网接口IP地址为： 255.255.255

41、.0。 配置方法如下：pix525(config)#ip address inside pix525(config)#ip address outside 8. access-group这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为：access-group acl_ID in interface interface_name，其中的acl_ID是指访问控制列表名称，interface_name为网络接口名称。如：access-group acl_out in

42、interface outside，在外部网络接口上绑定名称为acl_out的访问控制列表。clear access-group：清除所有绑定的访问控制绑定设置。no access-group acl_ID in interface interface_name：清除指定的访问控制绑定设置。show access-group acl_ID in interface interface_name：显示指定的访问控制绑定设置。9配置访问列表所用配置命令为：access-list，合格格式比较复杂，如下：标准规则的创建命令：access-list normal | special listnumbe

43、r1 permit | deny source-addr source-mask 扩展规则的创建命令：access-list normal | special listnumber2 permit | deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 | icmp-type icmp-code log 它是防火墙的主要配置部分，上述格式中带部分是可选项，listnumber参数是规则号，标准规则号（listnumber1）是199之间的整数，而扩

44、展规则号（listnumber2）是100199之间的整数。它主要是通过访问权限permit和deny来指定的，网络协议一般有IP|TCP|UDP|ICMP等等。如只允许访问通过防火墙对主机:54进行www访问，则可按以下配置：pix525(config)#access-list 100 permit 54 eq www其中的100表示访问规则号，根据当前已配置的规则条数来确定，不能与原来规则的重复，也必须是正整数。关于这个命令还将在下面的高级配置命令中详细介绍。10. 地址转换（NAT）防火墙的NAT配置与路由器的NAT配置基本一样，首先也必须

45、定义供NAT转换的内部IP地址组，接着定义内部网段。定义供NAT转换的内部地址组的命令是nat，它的格式为：nat (if_name) nat_id local_ip netmask max_conns em_limit，其中if_name为接口名；nat_id参数代表内部地址组号；而local_ip为本地网络地址；netmask为子网掩码；max_conns为此接口上所允许的最大TCP连接数，默认为0，表示不限制连接；em_limit为允许从此端口发出的连接数，默认也为0，即不限制。如：nat (inside) 1 表示把所有网络地址为10.1.6

46、.0，子网掩码为的主机地址定义为1号NAT地址组。随后再定义内部地址转换后可用的外部地址池，它所用的命令为global,基本命令格式为：global (if_name) nat_id global_ip netmask max_conns em_limit ，各参数解释同上。如：global (outside) 1 -4 netmask 将上述nat命令所定的内部IP地址组转换成4的外部地址池中的外部IP地址，其子网掩耳盗铃码为。11. Port

47、 Redirection with Statics这是静态端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口（PAT），或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器，这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。命令格式有两种，分别适用于TCP/UDP通信和非TCP/UDP通信：(1). static(internal_if_name, external_

48、if_name)global_ip|interfacelocal_ipnetmask mask max_conns emb_limitnorandomseq（2）. static (internal_if_name, external_if_name) tcp|udpglobal_ip|interface global_port local_ip local_port netmask mask max_conns emb_limit norandomseq此命令中的以上各参数解释如下：internal_if_name：内部接口名称；external_if_name：外部接口名称；tcp|udp

49、：选择通信协议类型；global_ip|interface：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；netmask mask：本地子网掩码；max_conns：允许的最大TCP连接数，默认为0，即不限制；emb_limit：允许从此端口发起的连接数，默认也为0，即不限制；norandomseq：不对数据包排序，此参数通常不用选。现在我们举一个实例，实例要求如下外部用户向9的主机发出Telnet请求时，重定向到。外部用户向9的主机发出FTP请求时，重定向到。外部用户向

50、08的端口发出Telnet请求时，重定向到。外部用户向防火墙的外部地址16发出Telnet请求时，重定向到。外部用户向防火墙的外部地址16发出HTTP请求时，重定向到。外部用户向防火墙的外部地址08的8080端口发出HTTP请求时，重定向到的80号端口。以上重写向过程要求如图2所示，防火墙的内部端口IP地址为，外部端口地址为16。图2以上各项重定向要求对应的配置语句如下：static (inside,outside) t

51、cp 9 telnet telnet netmask 55 0 0static (inside,outside) tcp 9 ftp ftp netmask 55 0 0static (inside,outside) tcp 08 telnet telnet netmask 55 0 0static (inside,outside) tcp interface telnet

52、telnet netmask 55 0 0static (inside,outside) tcp interface www www netmask 55 0 0static (inside,outside) tcp 08 8080 www netmask 55 0 012. 显示与保存结果显示结果所用命令为：show config；保存结果所用命令为：write memory。四、包过滤型防火墙的访问控制表（ACL）配置除了以上介绍的基本配置外，在防火墙的

53、安全策略中最重要还是对访问控制列表（ACL）进行配有关置。下面介绍一些用于此方面配置的基本命令。1. access-list：用于创建访问规则这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。（1）创建标准访问列表命令格式：access-list normal | special listnumber1 permit | deny source-addr source-mask （2）创建扩展访问

54、列表命令格式：access-list normal | special listnumber2 permit | deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 | icmp-type icmp-code log （3）删除访问列表命令格式：no access-list normal | special all | listnumber subitem 上述命令参数说明如下：normal：指定规则加入普通时间段。special：指定规则加入特殊

55、时间段。listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。listnumber2：是100到199之间的一个数值，表示规则是扩展访问列表规则。permit：表明允许满足条件的报文通过。deny：表明禁止满足条件的报文通过。protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。source-addr：为源IP地址。source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为。dest-addr：为目的IP地址。dest-mask：为

56、目的地址的子网掩码。operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或065535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或065535之间的一个数值。icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0255之间的一个数值。icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是0255之间的一个数值。log：表示如果报文符合条件，需要做日志。listnumber：为删除的规则序号，是1199之间的一个数值。subitem：指定删除序号为listnumber的访问列表中规则的序号。例如，现要在华为的一款防火墙上配置一个允许源地址为10.20.10.