硬體防火牆怎麼配置
⑴ 硬體防火牆如何配置
一般來說,硬體防火牆的例行檢查主要針對以下內容:
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密,一旦硬體防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網路安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬體防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬體防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化,並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下,磁碟佔用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁碟佔用量異常增長,則說明硬體防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網路安全管理人員首先需要了解在正常情況下,防火牆的磁碟佔用情況,並以此為依據,設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似,CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須了解硬體防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導致這些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,並查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬體防火牆配置策略的修改中,包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊,以考核硬體防火牆的能力。
⑵ 請問硬體防火牆如果設置透明模式,wan口和lan口應該怎麼設置
lan口和wan口的配置
路由器的一排網線介面,分為 lan 和 wan .但不是誰生來就是lan口 或者 wan口 .
也沒有誰規定就一個wan口 就只有一個.
網口就是網口, 決定它是 lan口 還是 wan口 ,是由我們自己決定的 .
用這次 openwrt x86的使用, 來講述一下 lan 和 wan 是如何配置的, 怎麼才可以上網, 而防火牆又是什麼 .
圖1. x86路由器及接線圖
這是 x86 的路由器.在刷好 openwrt 的固件後,一開始只有一個口有驅動, 接上網線燈會亮的那個口,就是此刻可以工作的lan口, 把網線的另一端連接電腦, 並且把電腦的IP設為 跟路由器同一網段的ip地址 -->192.168.1.x, 才能進入路由器管理界面 .
圖2. openwrt 管理首頁
在設置好密碼後,就可以用 ssh 進入openwrt操作系統, 用以查看配置項 .
配置項:/etc/config/network
在剛刷好固件後, 這台路由器還不能上網, 需要給路由器配置對應的wan 口.
這里就要提一下上網的原理了 .
任何東西都要有迴路才能成為一個循環 .電池有正負極,電有零線火線,都需要迴路 電流才能流動. 網線也是一樣 .
無論是誰進,誰出, 發生數據交換, 總是需要 lan 和 wan 兩條線.
你可以是 一個 wan作為統一出口,然後搭配很多個lan作為入口.
你也可以 lan1-wan1 作為網路1,lan2-wan2 作為網路2...等等. 這其實就是歸類的意思 .
因為物理網口有5個,你可以按自己的需求進行分配 .在了解了上面的原理後,開始配置網路介面.
進 網路 --> 介面 ,見圖3 . 圖3. 網路介面
從圖上可以看到, 我定義了一個wan口, 和 一個 把剩下口都橋接在一起的lan口 .
下面看看lan口怎麼配置.
點擊 修改. 見圖4 .
圖4 .lan口修改配置圖 .
可以看到,上面一排有 基本設置 高級設置 物理設置 防火牆設置
先看基本設置 要填的參數有 協議 ip地址 等.
作為路由器的lan口,實際上就是你的網關地址,這個地址是固定的,是你訪問路由器的地址,也就是平常使用的192.168.1.1,所以協議設置成 靜態ip .
再看 物理設置. 見圖5.
圖5.網口的物理設置
這里就是我們要配置的物理網口 .可以看到我有6個 物理網口. 現在 我將 我的eth0 綁定到 lan 下, 同一個類別下的網口 都能享有 這個類別的配置. 比如6個口均是綁定到lan 下,那麼lan的配置 對6個網庫均起作用.
在實現了物理口的綁定後,還要設置防火牆. 防火牆其實就是一張黑白名單和上網的許可權控制. 它可以規定 誰能上網, 誰不能上網 .
防火牆 見圖6.
圖6 防火牆配置
防火牆的lan wan規則系統默認已經給了,所以新創建的 lan 還是 wan口 ,只要分配到對應的規則下就可以了 .
以上就是默認lan 口的配置,接下來我們配置wan口.
1.新建介面
2.配置協議
3.綁定物理網口
4.防火牆設置
1.新建介面和配置協議
圖7 .在介面中點擊 添加新介面 .
圖8 .新介面的配置
wan口協議選擇 DHCP, 這樣就能動態分配到上上級路由過來的ip地址 .然後選擇一個需要的物理網口, 點擊提交 .
3.綁定物理網口:
圖9 .綁定物理網口
這一步在上一步已經做了
4. 防火牆設置
防火牆 這里是一套規則, 你也可以自己創建一套規則 .
做完這個,把網線 接在你配置的網口裡面 就能上網了.
圖10. 指定防火牆
第二部分: 橋接 .bridge
下面講怎麼配置lan口 和什麼是橋接.
在宿舍里,為什麼 每個人的電腦網線一插在路由器里就能上網呢? 因為 那是把 剩下的空閑的網口,都橋接在一個lan口下了 .
但是,我這里要先講一下,怎麼再配置一個lan口 和橋接 有什麼區別.
分配到lan口的規則上去.
現在,這個 lan1 口就能上網了.迴路是和lan共用一個 wan口 .當然你可以自己創建一個wan1 組成一個新的網路lan1-wan1.
但是呢,現在這個樣子,它其實是開辟了一個新的網段 .比較復雜,所以下面講什麼是橋接 .
因為不想再創建 lan1, lan2什麼的.我只想其它的網口互通就好了,這里就是橋接, 把所有的 網口 都綁定到lan口上去. 所以,我先把lan1 給刪了.
然後把你勾上橋接選項,把你想連在一起的口都橋接起來
這樣,就不用配置什麼 .2 .3網段了,就是 .1網段.現在,你插在那個lan口 都能上網了. 約定俗成 ,我們把第一個口配成 wan口 後面的口配成 lan 口.
⑶ 防火牆如何設置
防火牆有軟體的也有硬體的,當然了,其實硬體仍然是按照軟體的邏輯進行工作的,所以也並非所有的硬防就一定比軟防好,防火牆的作用是用來檢查網路或Internet的交互信息,並根據一定的規則設置阻止或許可這些信息包通過,從而實現保護計算機的目的,
Windows 7防火牆的常規設置方法還算比較簡單,依次打開「計算機」——「控制面板」——「Windows防火牆」,
上圖中,啟用的是工作網路,家庭網路和工作網路同屬於私有網路,或者叫專用網路,圖下面還有個公用網路,實際上Windows 7已經支持對不同網路類型進行獨立配置,而不會互相影響,這是windows 7的一個改進點。圖2中除了右側是兩個幫助連接,全部設置都在左側,如果需要設置網路連接,可以點擊左側下面的網路和共享中心,另外如果對家庭網路、工作網路和公用網路有疑問也可參考一下。
下面來看一下Windows 7防火牆的幾個常規設置方法:
一、打開和關閉Windows防火牆
點擊圖2左側的打開和關閉Windows防火牆(另外點擊更改通知設置也會到這個界面),
可以看出,私有網路和公用網路的配置是完全分開的,在啟用Windows防火牆里還有兩個選項:
1、「阻止所有傳入連接,包括位於允許程序列表中的程序」,這個默認即可,否則可能會影響允許程序列表裡的一些程序使用。
2、「Windows防火牆阻止新程序時通知我」這一項對於個人日常使用肯定需要選中的,方便自己隨時作出判斷響應。
如果需要關閉,只需要選擇對應網路類型里的「關閉Windows防火牆(不推薦)」這一項,然後點擊確定即可。
二、還原默認設置
如果自己的防火牆配置的有點混亂,可以使用圖2左側的「還原默認設置」一項,還原時,Windows 7會刪除所有的網路防火牆配置項目,恢復到初始狀態,比如,如果關閉了防火牆則會自動開啟,如果設置了允許程序列表,則會全部刪除掉添加的規則。
三、允許程序規則配置
點擊圖2中上側的「允許程序或功能通過Windows防火牆」,
大家看到這個配置圖會很熟悉,就是設置允許程序列表或基本服務,跟早期的Windows XP很類似,不過還是有些功能變化:
1、常規配置沒有埠配置,所以也不再需要手動指定埠TCP、UDP協議了,因為對於很多用戶根本不知道這兩個東西是什麼,這些配置都已轉到高級配置里,對於普通用戶一般只是用到增加應用程序許可規則。
2、應用程序的許可規則可以區分網路類型,並支持獨立配置,互不影響,這對於雙網卡的用戶就很有作用。
不過,我們在第一次設置時可能需要點一下右側的更改設置按鈕後才可操作(要管理員許可權)。比如,上文選擇了,允許文件和列印機共享,並且只對家庭或工作網路有效(見圖右側)。如果需要了解某個功能的具體內容,可以在點選該項之後,點擊下面的詳細信息即可查看。
如果是添加自己的應用程序許可規則,可以通過下面的「允許允許另一程序」按鈕進行添加,方法跟早期防火牆設置類似,
選擇將要添加的程序名稱(如果列表裡沒有就點擊「瀏覽」按鈕找到該應用程序,再點擊」打開「),下面的網路位置類型還是私有網路和公用網路兩個選項,不用管,我們可以回到上一界面再設置修改,添加後
添加後如果需要刪除(比如原程序已經卸載了等),則只需要在上圖中點選對應的程序項,再點擊下面的「刪除」按鈕即可,當然系統的服務項目是無法刪除的,只能禁用。
⑷ 硬體防火牆怎麼升級的
按照如下步驟把老硬體的防火牆配置文件手工轉換到新防火牆上:
1. 登陸到老防火牆 系統管理 -> 維護 -> 備份與恢復 備份一個最新的防火牆配置到本地主機;
2. 登陸到新防火牆上用同樣的步驟也備份一個防火牆配置到本地主機,注意:不要把上一個配置覆蓋了. 只保留配置文件頭中的配置版本及防火牆版本等信息,把剩下的其他所有配置全部刪除;
3. 編輯老防火牆配置把除配置文件頭中的配置版本及防火牆版本等信息全部拷貝粘貼至新防火牆配置文件裡面;
4. 根據具體情況編輯防火牆介面名稱到新設備實際名稱. 如, 如果你升級FortiGate-300到FortiGate-400, 那麼你需要修改所有的「internal」介面名稱到「port1」, 修改所有的「external」介面名稱到「port2」, …….
5. 登陸到新防火牆系統裡面 系統管理 -> 維護 -> 備份與恢復 恢復剛編輯完的防火牆配置到系統,之後防火牆會自動重啟;
6. 盡量驗證所有的防火牆配置是否仍然存在及功能有效。
⑸ 硬體防火牆設置:需要簡單實用
硬體防火牆一般有兩種方式進行管理:一是通過com口終端管理;二是通過乙太網口連接登錄web管理頁面。
主要設置包括模式配置、路由配置、規則設置、DMZ設置,還有一些常規設置。
有些防火牆里還有入侵檢測功能、VPN功能,甚至防病毒功能。
其實不同品牌差別比較大。請參考http://wenku..com/view/e72a6746b307e87101f6960a.html
⑹ 配置硬體防火牆
在我們的電腦中有這么一種硬體叫做防火牆,它是一款具有防毒以及多種功能的軟體,主要是作為系統的窗口。可以說它是一個 門 衛或是一扇門,所有的東西想要進入我們的電腦,都必須通過它的審核才能進入。windows系統版本的不同決定了防火牆的配置方法的不同,接下來來為大家講一下具體的配置方法吧。
防火牆的基本配置原則:
默認情況下,所有的防火牆都是按以下兩種情況配置的:拒絕所有的流量,這需要在你的網路中特殊指定能夠進入和出去的流量的一些類型。允許所有的流量,這種情況需要你特殊指定要拒絕的流量的類型。可論證地,大多數防火牆默認都是拒絕所有的流量作為安全選項。一旦你安裝防火牆後,你需要打開一些必要的埠來使防火牆內的用戶在通過驗證之後可以訪問系統。換句話說,如果你想讓你的員工們能夠發送和接收Email,你必須在防火牆上設置相應的規則或開啟允許POP3和SMTP的進程。
在防火牆的配置中,我們首先要遵循的原則就是安全實用,從這個角度考慮,在防火牆的配置過程中需堅持以下三個基本原則:
(1). 簡單實用:對防火牆環境設計來講,首要的就是越簡單越好。其實這也是任何事物的基本原則。越簡單的實現方式,越容易理解和使用。而且是設計越簡單,越不容易出錯,防火牆的安全功能越容易得到保證,管理也越可靠和簡便。
(2). 全面深入:單一的防禦措施是難以保障系統的安全的,只有採用全面的、多層次的深層防禦戰略體系才能實現系統的真正安全。在防火牆配置中,我們不要停留在幾個表面的防火牆語句上,而應系統地看等整個網路的安全防護體系,盡量使各方面的配置相互加強,從深層次上防護整個系統。這方面可以體現在兩個方面:一方面體現在防火牆系統的部署上,多層次的防火牆部署體系,即採用集互聯網邊界防火牆、部門邊界防火牆和主機防火牆於一體的層次防禦;另一方面將入侵檢測、網路加密、病毒查殺等多種安全措施結合在一起的多層安全體系。
防火牆的具體設置步驟如下:
1. 將防火牆的Console埠用一條防火牆自帶的串列 電纜 連接到 筆記本電腦 的一個空餘串口上。
2. 打開PIX防火電源,讓系統加電初始化,然後開啟與防火牆連接的主機。
3. 運行筆記本電腦Windows系統中的超級終端(HyperTerminal)程序(通常在"附件"程序組中)。對超級終端的配置與 交換機 或路由器的配置一樣。
⑺ 防火牆硬體怎麼配置
應該叫硬體防火牆
⑻ 什麼是硬體防火牆怎麼配置
硬體防火牆是指把防火牆程序做到晶元裡面,由硬體執行這些功能,能減少CPU的負擔,使路由更穩定。
硬體防火牆是保障內部網路安全的一道重要屏障。它的安全和穩定,直接關繫到整個內部網路的安全。因此,日常例行的檢查對於保證硬體防火牆的安全是非常重要的。
系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,並盡可能將問題定位,方便問題的解決。
一般來說,硬體防火牆的例行檢查主要針對以下內容:
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密,一旦硬體防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網路安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬體防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬體防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化,並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下,磁碟佔用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁碟佔用量異常增長,則說明硬體防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網路安全管理人員首先需要了解在正常情況下,防火牆的磁碟佔用情況,並以此為依據,設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似,CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須了解硬體防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導致這些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,並查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬體防火牆配置策略的修改中,包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊,以考核硬體防火牆的能力。