如何配置硬件防火墙

‘壹’ 硬件防火墙怎么升级的

按照如下步骤把老硬件的防火墙配置文件手工转换到新防火墙上：
1. 登陆到老防火墙 系统管理 -> 维护 -> 备份与恢复 备份一个最新的防火墙配置到本地主机；
2. 登陆到新防火墙上用同样的步骤也备份一个防火墙配置到本地主机，注意：不要把上一个配置覆盖了. 只保留配置文件头中的配置版本及防火墙版本等信息，把剩下的其他所有配置全部删除；
3. 编辑老防火墙配置把除配置文件头中的配置版本及防火墙版本等信息全部拷贝粘贴至新防火墙配置文件里面；
4. 根据具体情况编辑防火墙接口名称到新设备实际名称. 如, 如果你升级FortiGate-300到FortiGate-400, 那么你需要修改所有的“internal”接口名称到“port1”, 修改所有的“external”接口名称到“port2”, …….
5. 登陆到新防火墙系统里面 系统管理 -> 维护 -> 备份与恢复 恢复刚编辑完的防火墙配置到系统，之后防火墙会自动重启；
6. 尽量验证所有的防火墙配置是否仍然存在及功能有效。

‘贰’ 防火墙如何设置

防火墙有软件的也有硬件的，当然了，其实硬件仍然是按照软件的逻辑进行工作的，所以也并非所有的硬防就一定比软防好，防火墙的作用是用来检查网络或Internet的交互信息，并根据一定的规则设置阻止或许可这些信息包通过，从而实现保护计算机的目的，

Windows 7防火墙的常规设置方法还算比较简单，依次打开“计算机”——“控制面板”——“Windows防火墙”，

上图中，启用的是工作网络，家庭网络和工作网络同属于私有网络，或者叫专用网络，图下面还有个公用网络，实际上Windows 7已经支持对不同网络类型进行独立配置，而不会互相影响，这是windows 7的一个改进点。图2中除了右侧是两个帮助连接，全部设置都在左侧，如果需要设置网络连接，可以点击左侧下面的网络和共享中心，另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。

下面来看一下Windows 7防火墙的几个常规设置方法：

一、打开和关闭Windows防火墙

点击图2左侧的打开和关闭Windows防火墙（另外点击更改通知设置也会到这个界面），

可以看出，私有网络和公用网络的配置是完全分开的，在启用Windows防火墙里还有两个选项：

1、“阻止所有传入连接，包括位于允许程序列表中的程序”，这个默认即可，否则可能会影响允许程序列表里的一些程序使用。

2、“Windows防火墙阻止新程序时通知我”这一项对于个人日常使用肯定需要选中的，方便自己随时作出判断响应。

如果需要关闭，只需要选择对应网络类型里的“关闭Windows防火墙（不推荐）”这一项，然后点击确定即可。

二、还原默认设置

如果自己的防火墙配置的有点混乱，可以使用图2左侧的“还原默认设置”一项，还原时，Windows 7会删除所有的网络防火墙配置项目，恢复到初始状态，比如，如果关闭了防火墙则会自动开启，如果设置了允许程序列表，则会全部删除掉添加的规则。

三、允许程序规则配置

点击图2中上侧的“允许程序或功能通过Windows防火墙”，

大家看到这个配置图会很熟悉，就是设置允许程序列表或基本服务，跟早期的Windows XP很类似，不过还是有些功能变化：

1、常规配置没有端口配置，所以也不再需要手动指定端口TCP、UDP协议了，因为对于很多用户根本不知道这两个东西是什么，这些配置都已转到高级配置里，对于普通用户一般只是用到增加应用程序许可规则。

2、应用程序的许可规则可以区分网络类型，并支持独立配置，互不影响，这对于双网卡的用户就很有作用。

不过，我们在第一次设置时可能需要点一下右侧的更改设置按钮后才可操作（要管理员权限）。比如，上文选择了，允许文件和打印机共享，并且只对家庭或工作网络有效（见图右侧）。如果需要了解某个功能的具体内容，可以在点选该项之后，点击下面的详细信息即可查看。

如果是添加自己的应用程序许可规则，可以通过下面的“允许允许另一程序”按钮进行添加，方法跟早期防火墙设置类似，

选择将要添加的程序名称（如果列表里没有就点击“浏览”按钮找到该应用程序，再点击”打开“），下面的网络位置类型还是私有网络和公用网络两个选项，不用管，我们可以回到上一界面再设置修改，添加后

添加后如果需要删除（比如原程序已经卸载了等），则只需要在上图中点选对应的程序项，再点击下面的“删除”按钮即可，当然系统的服务项目是无法删除的，只能禁用。

‘叁’ 硬件防火墙设置：需要简单实用

硬件防火墙一般有两种方式进行管理：一是通过com口终端管理；二是通过以太网口连接登录web管理页面。
主要设置包括模式配置、路由配置、规则设置、DMZ设置，还有一些常规设置。
有些防火墙里还有入侵检测功能、VPN功能，甚至防病毒功能。
其实不同品牌差别比较大。请参考http://wenku..com/view/e72a6746b307e87101f6960a.html

‘肆’ 如何设置硬件防火墙

看说明书，一般来说WEB方式管理说明书中都会写明管理地址的，但有些硬件防火墙会指定端口和访问IP，你用来登陆的电脑不是其指定的IP并且没有连接在指定的端口上的话，也是打不开管理界面的。

‘伍’ 电脑硬件防火墙如何设置

而且你Firewall内外接口的IP都不一样，在没有路由的情况下，你如何互访。其次，为什么你的路邮器下面除了Firewall以外，还有其它电脑。难道这些电脑是为了让外部网络可能访问（比较一些Web服务器），如果真是这样，你为什么不把这些服务器接在Firewall的DMZ接口上(DMZ--停火区：是一个公布信息的区域，外部Internet以及内部Intranet可以自由的访问该区。)当然，你是什么品牌/型号防火墙有重要，如果是Cisco PIX系统的话，我认为你可以修改一下你们的网络拓朴。专线--->Cisco PIX防火墙的WAN接口，PIX Lan接你的路邮器--->交换机，连接你们的内网用户；PIX的DMZ接口再接一台交换机，连所有对外公开的服务器。回答问题二：防火墙下的用户最多只能占用5M带宽，如果是Cisco PIX系列，你可能在你的Lan设置端口速率。pixfirewall# conf ter--进行特权模式interface ethernet1 5 full--强制设置以LAN太接口1为100Mbit/s全双工通信。

‘陆’ 配置硬件防火墙

在我们的电脑中有这么一种硬件叫做防火墙，它是一款具有防毒以及多种功能的软件，主要是作为系统的窗口。可以说它是一个 门 卫或是一扇门，所有的东西想要进入我们的电脑，都必须通过它的审核才能进入。windows系统版本的不同决定了防火墙的配置方法的不同，接下来来为大家讲一下具体的配置方法吧。

防火墙的基本配置原则：

默认情况下，所有的防火墙都是按以下两种情况配置的：拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：

(1). 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。

(2). 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。

防火墙的具体设置步骤如下：

1. 将防火墙的Console端口用一条防火墙自带的串行 电缆 连接到 笔记本电脑 的一个空余串口上。

2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。

3. 运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。对超级终端的配置与 交换机 或路由器的配置一样。

‘柒’ 防火墙硬件怎么配置

应该叫硬件防火墙

‘捌’ 什么是硬件防火墙怎么配置

硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。

一般来说，硬件防火墙的例行检查主要针对以下内容：

1.硬件防火墙的配置文件

不管你在安装硬件防火墙的时候考虑得有多么的全面和严密，一旦硬件防火墙投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。作为网络安全管理人员，最好能够编写一套修改防火墙配置和规则的安全策略，并严格实施。所涉及的硬件防火墙配置，最好能详细到类似哪些流量被允许，哪些服务要用到代理这样的细节。

在安全策略中，要写明修改硬件防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化，并能尽量避免因修改配置所造成的错误和安全漏洞。

2.硬件防火墙的磁盘使用情况

如果在硬件防火墙上保留日志记录，那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录，那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下，磁盘占用量的异常增长很可能表明日志清除过程存在问题，这种情况相对来说还好处理一些。在不保留日志的情况下，如果磁盘占用量异常增长，则说明硬件防火墙有可能是被人安装了Rootkit工具，已经被人攻破。

因此，网络安全管理人员首先需要了解在正常情况下，防火墙的磁盘占用情况，并以此为依据，设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线，就意味着系统遇到了安全或其他方面的问题，需要进一步的检查。

3.硬件防火墙的CPU负载

和磁盘使用情况类似，CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员，必须了解硬件防火墙系统CPU负载的正常值是多少，过低的负载值不一定表示一切正常，但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。

4.硬件防火墙系统的精灵程序

每台防火墙在正常运行的情况下，都有一组精灵程序（Daemon），比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行，如果发现某些精灵程序没有运行，则需要进一步检查是什么原因导致这些精灵程序不运行，还有哪些精灵程序还在运行中。

5.系统文件

关键的系统文件的改变不外乎三种情况：管理人员有目的、有计划地进行的修改，比如计划中的系统升级所造成的修改；管理人员偶尔对系统文件进行的修改；攻击者对文件的修改。

经常性地检查系统文件，并查对系统文件修改记录，可及时发现防火墙所遭到的攻击。此外，还应该强调一下，最好在硬件防火墙配置策略的修改中，包含对系统文件修改的记录。

6.异常日志

硬件防火墙日志记录了所有允许或拒绝的通信的信息，是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大，所以，检查异常日志通常应该是一个自动进行的过程。当然，什么样的事件是异常事件，得由管理员来确定，只有管理员定义了异常事件并进行记录，硬件防火墙才会保留相应的日志备查。

上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患，但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要，管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否，甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击，以考核硬件防火墙的能力。

‘玖’ 怎么安装硬件防火墙

1、防火墙实现了你的安全政策。防火墙加强了一些安全策略。如果你没有在放置防火墙之前制定安全策略的话，那么现在就是制定的时候了。它可以不被写成书面形式，但是同样可以作为安全策略。如果你还没有明确关于安全策略应当做什么的话，安装防火墙就是你能做的最好的保护你的站点的事情，并且要随时维护它也是很不容易的事情。要想有一个好的防火墙，你需要好的安全策略---写成书面的并且被大家所接受。
2、一个防火墙在许多时候并不是一个单一的设备。
除非在特别简单的案例中，防火墙很少是单一的设备，而是一组设备。就算你购买的是一个商用的"all-in-one"防火墙应用程序，你同样得配置其他机器（例如你的网络服务器）来与之一同运行。这些其他的机器被认为是防火墙的一部分，这包含了对这些机器的配置和管理方式，他们所信任的是什么，什么又将他们作为可信的等等。你不能简单的选择一个叫做“防火墙”的设备却期望其担负所有安全责任。
防火墙并不是现成的随时获得的产品。
选择防火墙更像买房子而不是选择去哪里度假。防火墙和房子很相似，你必须每天和它待在一起，你使用它的期限也不止一两个星期那么多。都需要维护否则都会崩溃掉。建设防火墙需要仔细的选择和配置一个解决方案来满足你的需求，然后不断的去维护它。需要做很多的决定，对一个站点是正确的解决方案往往对另外站点来说是错误的。
防火墙并不会解决你所有的问题。
并不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类攻击的威胁，人们尝试从外部直接攻击内部。但是却不能防止从LAN内部的攻击，它甚至不能保护你免首所有那些它能检测到的攻击。
使用默认的策略。
正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现，关闭不安全的服务意味着一场持续的战争。
有条件的妥协，而不是轻易的。
人们都喜欢做不安全的事情。如果你允许所有的请求的话，你的网络就会很不安全。如果你拒绝所有的请求的话，你的网络同样是不安全的，你不会知道不安全的东西隐藏在哪里。那些不能和你一同工作的人将会对你不利。你需要找到满足用户需求的方式，虽然这些方式会带来一定量的风险。
使用分层手段。
并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。
3、只安装你所需要的。
防火墙机器不能像普通计算机那样安装厂商提供的全部软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。
4、使用可以获得的所有资源。
不要建立基于单一来源的信息的防火墙，特别是该资源不是来自厂商。有许多可以利用的资源：例如厂商信息，我们所编写的书，邮件组，和网站。
只相信你能确定的。
不要相信图形界面的手工和对话框或是厂商关于某些东西如何运行的声明，检测来确定应当拒绝的连接都拒绝了。检测来确定应当允许的连接都允许了。
5、不断的重新评价决定。
你五年前买的房子今天可能已经不适合你了。同样的，你一年以前所安装的防火墙对于你现在的情况已经不是最好的解决方案了。对于防火墙你应当经常性的评估你的决定并确认你仍然有合理的解决方案。更改你的防火墙，就像搬新家一样，需要明显的努力和仔细的计划。
6、要对失败有心理准备。
做好最坏的心理准备。机器可能会停止运行，动机良好的用户可能会做错事情，有恶意动机的用户可能做坏的事情并成功的打败你。但是一定要明白当这些事情发生的时候这并不是一个完全的灾难。

‘拾’ 硬件防火墙怎么做

第一步：准备防火墙硬件平台 按照DIY防火墙网站上的要求，我准备了如下硬件： 1、 电脑一台，我选择的是压箱底的原来在淘宝淘到的IBM ThinkCentre S50准系统一台。这是我原来花760元淘到的。准系统自带了一片Intel的千兆网卡，正好用来接外网。 2、 CPU一片，我使用的是用来搭配IBM ThinkCentre S50的P4 2.4G的CPU.400元。 3、 内存一条。我使用的是威刚1G的内存条。 4、 128M DOM电子盘一个。我使用的是PQI的电子盘，没有电子盘使用硬盘也行，容量>128M就可以了。注意：电子盘或硬盘要安装到连接到主板的IDE1的MASTER位置，请参照你使用主板的说明文档。 5、 网卡一片。用来接内网，因S50上已经带了一个千兆网卡用来接外网，因手头上没有更好的网卡，就随便用了一片8139的网卡用来接内网。 6、 刻录光盘一片。用来刻录网站上下载的内核安装文件。 7、 刻录光驱一个。 安装好后的防火墙硬件平台：两个网口分别用来一个接内网（左上那个8139），一个接外网（下面那个S50自带的Intel千兆网卡）。 这样，防火墙硬件平台就完全安搭建好了。 第二步：准备内核安装光盘 防火墙硬件平台准备好后，我们就要着手准备防火墙安装光盘了。到ChinaDDOS网站上（ http://www.chinaddos.com ）下载最新版本的内核镜像文件，刻录成光盘即可。具体步骤如下： 1、 打开ChinaDDOS DIY硬防的内核下载页面： www.chinaddos.com/news/download.html ，下载一个适合的版本，这里我下载的是V3.1BETA01的最新版本。 PS：本人一直比较喜欢最新的东西。 2、 将下载的RAR文件解压缩，得到ISO光盘镜像文件。 3、 将镜像文件刻录至光盘。 第三步：安装防火墙内核 将内核安装光盘准备好后，确认硬盘或电子盘连接到了IDE1的MASTER位置后，在防火墙平台上连接好光驱，接通防火墙平台电源，把上一步准备好的内核安装光盘放入光驱。启动防火墙平台。 1、 屏幕显示如下图，等待内核安装光盘引导一会后（屏幕上快速闪过整屏的英文），将停留在下图的位置： 2、 按回车键继续安装， 屏幕显示如左图，出现三个选择项目： ① 安装防火墙内核， ② 开始一个命令行， ③ 重新启动系统。 3、 这里我们选择1并回车。回车后出现如右图。选择一个内核安装源文件的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc，于是我键入hdc后回车。 4、 屏幕出现绿色done字样，表示安装光盘识别成功。又提示安装的目标驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had，这里如果系统没有自动识别到硬盘或电子盘，请检查电子盘或硬盘是不是正确安装到了IDE1的MASTER位置。我键入had后回车。 5、 键入had后，屏幕提示"正在将防火墙内核从hdc安装到had……"，这里需要等待2分钟左右。安装工作正在进行。 6、 直到屏幕上出现"Install completed！"字样，表示安装已结束。这时按回车键返回。 7、 重新回到选择菜单后，选择3重新启动防火墙平台，记得将光盘从光驱中取出。这样，防火墙的安装就完成了。 第四步：启动并配置防火墙 在防火墙安装完成之后，便可以启动防火墙并进行防火墙配置工作了。仔细阅读了在ChinaDDOS网站中下载的"操作手册"，我按如下步骤进行了防火墙配置： 1、 启动防火墙。ChinaDDOS防火墙是应该是使用更专门改过的Linux系统作为防火墙操作系统的。启动防火墙时需等待一小会，直到听到喇叭发出清脆的音乐，表示防火墙已启动完毕。防火墙启动完毕后，防火墙显示器上显示"OK Ｌｏｇｉｎ"字样，由于网站和手册中均未提供控制台登陆的密码，因此我们只能通过Ｗｅｂ界面对防火墙进行管理了。至此，用于防火墙安装的光驱和显示器不再需要了。 2、 将防火墙连接至网络，在任意一台连通内网的电脑浏览器中输入防火墙的初始ＩＰ和管理端口：http://192.168.1.27：81 ，输入初始用户名admin 和密码123456 即可打开防火墙的管理界面： 3、 启动防火墙内核模块。单击 "安全分析中心"，在出现的菜单中选择"运行信息".出现如图界面： 在界面中点击"启动防火墙模块"，内核模块运行状态将变为"启用"，信息窗口中将出现不断刷新的防火墙内核运行信息。如果点击"启用防火墙模块"，内核模块运行状态一直不变为"启用"，可能是你的内存没有1G导致的，笔者在初次试用时被这个问题困扰了很久。 4、 单击 "网络参数配置"，查看防火墙注册状态。在配置界面的左下角，查看防火墙的注册状态，我现在的注册状态是"未注册用户".未注册用户无法启动防火墙的防御功能。 5、 注册防火墙。将上面的认证字复制下来，打开ChinaDDOS的用户防火墙管理平台： http://www.chinaddos.com/members .没有用户的需要先注册一个用户，这里我就不说明注册步骤了，相信大家都会，只是如果希望防火墙的攻击告警功能起作用，需要填写正确的手机号码。 6、 注册并登陆之后，点击 "注册防火墙管理"，在弹出的防火墙管理界面中添加一个新的防火墙。在如图界面中点击"新增防火墙"。 7、 在"新增防火墙"窗口中，任意取一个名字，IP地址也可以任意填写，但认证字填写第5步中复制下来的认证字，完成后确定即可。注册类型不可更改，保存后便是注册用户了，不知道有什么其他作用没有。 8、 完成后，重启防火墙并加载内核模块，即可看到防火墙的注册类型为"已注册防火墙".不过似乎这个验证只有在公网上才能成功进行，在内网无法验证成功，所以一定要放在网关的前面。 第五步：总结 整个安装过程稍嫌复杂，尤其是内核安装部分的人机界面不友好，容易出错。不动英文的朋友上手可能比较困难。 经过了"繁琐"的安装过程后，这才算真正见到了ChinaDDOS DIY硬防平台的庐山真面目。整体看来，操作界面让人看起来很舒服，完全不是以前看到的网络设备的管理界面的样子，整个管理平台应该是使用Flash制作的，操作起来很流畅。尤其是"安全分析中心"中各种数据表和实时图表，应该是每秒刷新的，而且可以按照需要任意拖动和排列，如图： 整个管理平台分为"网络参数配置"、"安全配置中心"、"安全告警中心"、"安全分析中心"、"系统管理"几个大项，管理功能非常全面。 浏览过所有的管理功能后，感觉没有辜负之前繁琐的安装过程所耗费的精力。 系统配置完成后，就要进行详细的防御功能配置了，ChinaDDOS防火墙提供的防御功能太多，篇幅原因无法向各位一一说明，有兴趣请参考网站上提供的使用说明。附：防火墙内核下载地址： www.chinaddos.com/download 官方介绍： www.chinaddos.com/proct ChinaDDOS防火墙操作手册下载： www.chinaddos.com/download