硬件防火墙怎么配置
⑴ 硬件防火墙如何配置
一般来说,硬件防火墙的例行检查主要针对以下内容:
1.硬件防火墙的配置文件
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。
2.硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
3.硬件防火墙的CPU负载
和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。
4.硬件防火墙系统的精灵程序
每台防火墙在正常运行的情况下,都有一组精灵程序(Daemon),比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行,如果发现某些精灵程序没有运行,则需要进一步检查是什么原因导致这些精灵程序不运行,还有哪些精灵程序还在运行中。
5.系统文件
关键的系统文件的改变不外乎三种情况:管理人员有目的、有计划地进行的修改,比如计划中的系统升级所造成的修改;管理人员偶尔对系统文件进行的修改;攻击者对文件的修改。
经常性地检查系统文件,并查对系统文件修改记录,可及时发现防火墙所遭到的攻击。此外,还应该强调一下,最好在硬件防火墙配置策略的修改中,包含对系统文件修改的记录。
6.异常日志
硬件防火墙日志记录了所有允许或拒绝的通信的信息,是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大,所以,检查异常日志通常应该是一个自动进行的过程。当然,什么样的事件是异常事件,得由管理员来确定,只有管理员定义了异常事件并进行记录,硬件防火墙才会保留相应的日志备查。
上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患,但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要,管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否,甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击,以考核硬件防火墙的能力。
⑵ 请问硬件防火墙如果设置透明模式,wan口和lan口应该怎么设置
lan口和wan口的配置
路由器的一排网线接口,分为 lan 和 wan .但不是谁生来就是lan口 或者 wan口 .
也没有谁规定就一个wan口 就只有一个.
网口就是网口, 决定它是 lan口 还是 wan口 ,是由我们自己决定的 .
用这次 openwrt x86的使用, 来讲述一下 lan 和 wan 是如何配置的, 怎么才可以上网, 而防火墙又是什么 .
图1. x86路由器及接线图
这是 x86 的路由器.在刷好 openwrt 的固件后,一开始只有一个口有驱动, 接上网线灯会亮的那个口,就是此刻可以工作的lan口, 把网线的另一端连接电脑, 并且把电脑的IP设为 跟路由器同一网段的ip地址 -->192.168.1.x, 才能进入路由器管理界面 .
图2. openwrt 管理首页
在设置好密码后,就可以用 ssh 进入openwrt操作系统, 用以查看配置项 .
配置项:/etc/config/network
在刚刷好固件后, 这台路由器还不能上网, 需要给路由器配置对应的wan 口.
这里就要提一下上网的原理了 .
任何东西都要有回路才能成为一个循环 .电池有正负极,电有零线火线,都需要回路 电流才能流动. 网线也是一样 .
无论是谁进,谁出, 发生数据交换, 总是需要 lan 和 wan 两条线.
你可以是 一个 wan作为统一出口,然后搭配很多个lan作为入口.
你也可以 lan1-wan1 作为网络1,lan2-wan2 作为网络2...等等. 这其实就是归类的意思 .
因为物理网口有5个,你可以按自己的需求进行分配 .在了解了上面的原理后,开始配置网络接口.
进 网络 --> 接口 ,见图3 . 图3. 网络接口
从图上可以看到, 我定义了一个wan口, 和 一个 把剩下口都桥接在一起的lan口 .
下面看看lan口怎么配置.
点击 修改. 见图4 .
图4 .lan口修改配置图 .
可以看到,上面一排有 基本设置 高级设置 物理设置 防火墙设置
先看基本设置 要填的参数有 协议 ip地址 等.
作为路由器的lan口,实际上就是你的网关地址,这个地址是固定的,是你访问路由器的地址,也就是平常使用的192.168.1.1,所以协议设置成 静态ip .
再看 物理设置. 见图5.
图5.网口的物理设置
这里就是我们要配置的物理网口 .可以看到我有6个 物理网口. 现在 我将 我的eth0 绑定到 lan 下, 同一个类别下的网口 都能享有 这个类别的配置. 比如6个口均是绑定到lan 下,那么lan的配置 对6个网库均起作用.
在实现了物理口的绑定后,还要设置防火墙. 防火墙其实就是一张黑白名单和上网的权限控制. 它可以规定 谁能上网, 谁不能上网 .
防火墙 见图6.
图6 防火墙配置
防火墙的lan wan规则系统默认已经给了,所以新创建的 lan 还是 wan口 ,只要分配到对应的规则下就可以了 .
以上就是默认lan 口的配置,接下来我们配置wan口.
1.新建接口
2.配置协议
3.绑定物理网口
4.防火墙设置
1.新建接口和配置协议
图7 .在接口中点击 添加新接口 .
图8 .新接口的配置
wan口协议选择 DHCP, 这样就能动态分配到上上级路由过来的ip地址 .然后选择一个需要的物理网口, 点击提交 .
3.绑定物理网口:
图9 .绑定物理网口
这一步在上一步已经做了
4. 防火墙设置
防火墙 这里是一套规则, 你也可以自己创建一套规则 .
做完这个,把网线 接在你配置的网口里面 就能上网了.
图10. 指定防火墙
第二部分: 桥接 .bridge
下面讲怎么配置lan口 和什么是桥接.
在宿舍里,为什么 每个人的电脑网线一插在路由器里就能上网呢? 因为 那是把 剩下的空闲的网口,都桥接在一个lan口下了 .
但是,我这里要先讲一下,怎么再配置一个lan口 和桥接 有什么区别.
分配到lan口的规则上去.
现在,这个 lan1 口就能上网了.回路是和lan共用一个 wan口 .当然你可以自己创建一个wan1 组成一个新的网络lan1-wan1.
但是呢,现在这个样子,它其实是开辟了一个新的网段 .比较复杂,所以下面讲什么是桥接 .
因为不想再创建 lan1, lan2什么的.我只想其它的网口互通就好了,这里就是桥接, 把所有的 网口 都绑定到lan口上去. 所以,我先把lan1 给删了.
然后把你勾上桥接选项,把你想连在一起的口都桥接起来
这样,就不用配置什么 .2 .3网段了,就是 .1网段.现在,你插在那个lan口 都能上网了. 约定俗成 ,我们把第一个口配成 wan口 后面的口配成 lan 口.
⑶ 防火墙如何设置
防火墙有软件的也有硬件的,当然了,其实硬件仍然是按照软件的逻辑进行工作的,所以也并非所有的硬防就一定比软防好,防火墙的作用是用来检查网络或Internet的交互信息,并根据一定的规则设置阻止或许可这些信息包通过,从而实现保护计算机的目的,
Windows 7防火墙的常规设置方法还算比较简单,依次打开“计算机”——“控制面板”——“Windows防火墙”,
上图中,启用的是工作网络,家庭网络和工作网络同属于私有网络,或者叫专用网络,图下面还有个公用网络,实际上Windows 7已经支持对不同网络类型进行独立配置,而不会互相影响,这是windows 7的一个改进点。图2中除了右侧是两个帮助连接,全部设置都在左侧,如果需要设置网络连接,可以点击左侧下面的网络和共享中心,另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。
下面来看一下Windows 7防火墙的几个常规设置方法:
一、打开和关闭Windows防火墙
点击图2左侧的打开和关闭Windows防火墙(另外点击更改通知设置也会到这个界面),
可以看出,私有网络和公用网络的配置是完全分开的,在启用Windows防火墙里还有两个选项:
1、“阻止所有传入连接,包括位于允许程序列表中的程序”,这个默认即可,否则可能会影响允许程序列表里的一些程序使用。
2、“Windows防火墙阻止新程序时通知我”这一项对于个人日常使用肯定需要选中的,方便自己随时作出判断响应。
如果需要关闭,只需要选择对应网络类型里的“关闭Windows防火墙(不推荐)”这一项,然后点击确定即可。
二、还原默认设置
如果自己的防火墙配置的有点混乱,可以使用图2左侧的“还原默认设置”一项,还原时,Windows 7会删除所有的网络防火墙配置项目,恢复到初始状态,比如,如果关闭了防火墙则会自动开启,如果设置了允许程序列表,则会全部删除掉添加的规则。
三、允许程序规则配置
点击图2中上侧的“允许程序或功能通过Windows防火墙”,
大家看到这个配置图会很熟悉,就是设置允许程序列表或基本服务,跟早期的Windows XP很类似,不过还是有些功能变化:
1、常规配置没有端口配置,所以也不再需要手动指定端口TCP、UDP协议了,因为对于很多用户根本不知道这两个东西是什么,这些配置都已转到高级配置里,对于普通用户一般只是用到增加应用程序许可规则。
2、应用程序的许可规则可以区分网络类型,并支持独立配置,互不影响,这对于双网卡的用户就很有作用。
不过,我们在第一次设置时可能需要点一下右侧的更改设置按钮后才可操作(要管理员权限)。比如,上文选择了,允许文件和打印机共享,并且只对家庭或工作网络有效(见图右侧)。如果需要了解某个功能的具体内容,可以在点选该项之后,点击下面的详细信息即可查看。
如果是添加自己的应用程序许可规则,可以通过下面的“允许允许另一程序”按钮进行添加,方法跟早期防火墙设置类似,
选择将要添加的程序名称(如果列表里没有就点击“浏览”按钮找到该应用程序,再点击”打开“),下面的网络位置类型还是私有网络和公用网络两个选项,不用管,我们可以回到上一界面再设置修改,添加后
添加后如果需要删除(比如原程序已经卸载了等),则只需要在上图中点选对应的程序项,再点击下面的“删除”按钮即可,当然系统的服务项目是无法删除的,只能禁用。
⑷ 硬件防火墙怎么升级的
按照如下步骤把老硬件的防火墙配置文件手工转换到新防火墙上:
1. 登陆到老防火墙 系统管理 -> 维护 -> 备份与恢复 备份一个最新的防火墙配置到本地主机;
2. 登陆到新防火墙上用同样的步骤也备份一个防火墙配置到本地主机,注意:不要把上一个配置覆盖了. 只保留配置文件头中的配置版本及防火墙版本等信息,把剩下的其他所有配置全部删除;
3. 编辑老防火墙配置把除配置文件头中的配置版本及防火墙版本等信息全部拷贝粘贴至新防火墙配置文件里面;
4. 根据具体情况编辑防火墙接口名称到新设备实际名称. 如, 如果你升级FortiGate-300到FortiGate-400, 那么你需要修改所有的“internal”接口名称到“port1”, 修改所有的“external”接口名称到“port2”, …….
5. 登陆到新防火墙系统里面 系统管理 -> 维护 -> 备份与恢复 恢复刚编辑完的防火墙配置到系统,之后防火墙会自动重启;
6. 尽量验证所有的防火墙配置是否仍然存在及功能有效。
⑸ 硬件防火墙设置:需要简单实用
硬件防火墙一般有两种方式进行管理:一是通过com口终端管理;二是通过以太网口连接登录web管理页面。
主要设置包括模式配置、路由配置、规则设置、DMZ设置,还有一些常规设置。
有些防火墙里还有入侵检测功能、VPN功能,甚至防病毒功能。
其实不同品牌差别比较大。请参考http://wenku..com/view/e72a6746b307e87101f6960a.html
⑹ 配置硬件防火墙
在我们的电脑中有这么一种硬件叫做防火墙,它是一款具有防毒以及多种功能的软件,主要是作为系统的窗口。可以说它是一个 门 卫或是一扇门,所有的东西想要进入我们的电脑,都必须通过它的审核才能进入。windows系统版本的不同决定了防火墙的配置方法的不同,接下来来为大家讲一下具体的配置方法吧。
防火墙的基本配置原则:
默认情况下,所有的防火墙都是按以下两种情况配置的:拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:
(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
(2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
防火墙的具体设置步骤如下:
1. 将防火墙的Console端口用一条防火墙自带的串行 电缆 连接到 笔记本电脑 的一个空余串口上。
2. 打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
3. 运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。对超级终端的配置与 交换机 或路由器的配置一样。
⑺ 防火墙硬件怎么配置
应该叫硬件防火墙
⑻ 什么是硬件防火墙怎么配置
硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
一般来说,硬件防火墙的例行检查主要针对以下内容:
1.硬件防火墙的配置文件
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。
2.硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
3.硬件防火墙的CPU负载
和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。
4.硬件防火墙系统的精灵程序
每台防火墙在正常运行的情况下,都有一组精灵程序(Daemon),比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行,如果发现某些精灵程序没有运行,则需要进一步检查是什么原因导致这些精灵程序不运行,还有哪些精灵程序还在运行中。
5.系统文件
关键的系统文件的改变不外乎三种情况:管理人员有目的、有计划地进行的修改,比如计划中的系统升级所造成的修改;管理人员偶尔对系统文件进行的修改;攻击者对文件的修改。
经常性地检查系统文件,并查对系统文件修改记录,可及时发现防火墙所遭到的攻击。此外,还应该强调一下,最好在硬件防火墙配置策略的修改中,包含对系统文件修改的记录。
6.异常日志
硬件防火墙日志记录了所有允许或拒绝的通信的信息,是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大,所以,检查异常日志通常应该是一个自动进行的过程。当然,什么样的事件是异常事件,得由管理员来确定,只有管理员定义了异常事件并进行记录,硬件防火墙才会保留相应的日志备查。
上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患,但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要,管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否,甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击,以考核硬件防火墙的能力。