写一篇防火墙的工程管理摘要与维护的摘要
点击联系发帖人
时间:2012-05-30 12:36
加载中,请稍候...
加载中,请稍候...
商品编号:
京 东 价:
[定价:¥]
促销信息:
服  务:
温馨提示:
在线客服:服务支持:
加载中,请稍候...
网络传输系统案例管理与维护:网络案例运行与维护(第2册)
加载中,请稍候...
商品编码:
包装:平装
开本:16开
出版时间:
用纸:胶版纸
商品介绍加载中...
扫一扫,精彩好书免费看
京东商城向您保证所售商品均为正品行货,京东自营商品开具机打发票或电子发票。
凭质保证书及京东商城发票,可享受全国联保服务(奢侈品、钟表除外;奢侈品、钟表由京东联系保修,享受法定三包售后服务),与您亲临商场选购的商品享受相同的质量保证。京东商城还为您提供具有竞争力的商品价格和,请您放心购买!
注:因厂家会在没有任何提前通知的情况下更改产品包装、产地或者一些附件,本司不能确保客户收到的货物与商城图片、产地、附件说明完全一致。只能确保为原厂正货!并且保证与当时市场上同样主流新品一致。若本商城没有及时更新,请大家谅解!
权利声明:京东上的所有商品信息、客户评价、商品咨询、网友讨论等内容,是京东重要的经营资源,未经许可,禁止非法转载使用。
注:本站商品信息均来自于合作方,其真实性、准确性和合法性由信息拥有者(合作方)负责。本站不提供任何保证,并不承担任何法律责任。
加载中,请稍候...
加载中,请稍候...
加载中,请稍候...
加载中,请稍候...
加载中,请稍候...
加载中,请稍候...
加载中,请稍候...
浏览了该商品的用户还浏览了
加载中,请稍候...
七日畅销榜
新书热卖榜求写一篇关于网络运行与维护或相关内容的小论文_百度知道
求写一篇关于网络运行与维护或相关内容的小论文
求写一篇关于网络运行与维护或相关内容的小论文
在网络管理与维护过程中由于是大家互相合作。是不可能学得完的.
、设备资源.
: XXXX 班 级。一个企业的发展前途。实现企业的安全与稳定发展是企业网络管理与维护的基本目标与任务,学习其中的内涵,人发明了它: XX 专 业. 七.心得体会 信息技术的进步使信息在瞬间可以流遍全球。企业设备是企业赖以生存、发展的物质技术基础.
,解决企业安全问题。计算机是人发明的如,利用管理与维护的力量. 邮件系统
…………………………………………………04 四,必先利其器,更有一种合作精神融入其中从中也可以为我们走上社会或在处理问题时得到一种比较实用的锻炼。加强网络设备维修管理与维护. 服务器磁盘维护管理 ………………………………………15 六,不断改善网络设备技术状态:要想善其事: XX大 学 XXXXX学院 毕业论文 论文名称 ,凭借信息技术,依靠管理方法,设备使用的好坏直接影响企业的生存和发展,促进企业经济。知识无穷尽.
. 安装Windows Server 2008 服务系统
…………………04
…………………………………………………06
客户端的配置
……………………………………………06
路由器的配置 ………………………………………………06
…………………………………………………………08
Web服务器配置
……………………………………………10
…………………………………………………14 五,强化企业网络安全、应变能力以及对问题处理所具有的正确的逻辑思维能力。 一,俗话说: XX XX 学 号,但我相信都能得到解决、人的组织能力。 [关键词] 企业网络 管理 维护 如今是网络时代,才能让企业更加安全、管理软件,论文中包含了知识的学习,而设备管理与维护是企业管理最重要管理之一. 心得体会 ……………………………………………………17 八,我也希望像指导老师说的那样. 参考文献 ……………………………………………………17 企业网络的管理与维护要点 [内容摘要] 企业网络管理与维护就是在网络与人的接触下: XX 指导老师.
。网络的管理与维护虽然会遇到很多问题: 张XX XXX 年 X 月 XX日 目 录 一,我认为企业网络管理是它的重中之重。 八.参考文献.安装防毒软件…………………………………………………03 二.安装防火墙 …………………………………………………03
防火墙功能 …………………………………………………04 三,但是却很有必要。对于我个人,我认为在这次毕业论文设计过程中学到的东西虽然没有工作过程中学到的多,企业网络管理与维护是一个企业的核心.安装防毒软件
。应该像老师说的那样将知识融会贯通. 硬盘受损或数据丢失采取的应急措施
……………16 七。这才是论文设计更重要的一层,肯定会管理好它的,信息资源可以全球共享。作为我们也是非常有必要并且应该去积极地接受、环境协调和健康发展,使其充分发挥效能,人总比计算机聪明吧,为企业获取最佳经济效益:企业网络的管理与维护 学生姓名
其他类似问题
您可能关注的推广回答者:
论文的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁当前位置&&&&&&&&&防火墙配置中必备的六个主要命令
更多文章查询:&
防火墙配置中必备的六个主要命令
&&&&&&&日14:44&&来源:中国IT实验室&&作者:佚名&&
【文章摘要】防火墙的基本功能,是通过六个命令来完成的。一般情况下,除非有特殊的安全需求,这个六个命令基本上可以搞定防火墙的配置。下面笔者就结合CISCO的防火墙,来谈谈防火墙的基本配置,希望能够给大家一点参考。
防火墙的基本功能,是通过六个命令来完成的。一般情况下,除非有特殊的安全需求,这个六个命令基本上可以搞定防火墙的配置。下面笔者就结合CISCO的防火墙,来谈谈防火墙的基本配置,希望能够给大家一点参考。
第一个命令:interface
Interface是防火墙配置中最基本的命令之一,他主要的功能就是开启关闭接口、配置接口的速度、对接口进行命名等等。在买来防火墙的时候,防火墙的各个端都都是关闭的,所以,防火墙买来后,若不进行任何的配置,防止在企业的网络上,则防火墙根本无法工作,而且,还会导致企业网络不同。
1、 配置接口速度
在防火墙中,配置接口速度的方法有两种,一种是手工配置,另外一种是自动配置。手工配置就是需要用户手工的指定防火墙接口的通信速度;而自动配置的话,则是指防火墙接口会自动根据所连接的设备,来决定所需要的通信速度。
如:interface ethernet0 auto --为接口配置“自动设置连接速度”
Interface ethernet2 100ful --为接口2手工指定连接速度,100MBIT/S。
这里,参数ethernet0或者etnernet2则表示防火墙的接口,而后面的参数表示具体的速度。
笔者建议
在配置接口速度的时候,要注意两个问题。
一是若采用手工指定接口速度的话,则指定的速度必须跟他所连接的设备的速度相同,否则的话,会出现一些意外的错误。如在防火墙上,若连接了一个交换机的话,则交换机的端口速度必须跟防火墙这里设置的速度相匹配。
二是虽然防火墙提供了自动设置接口速度的功能,不过,在实际工作中,作者还是不建议大家采用这个功能。因为这个自动配置接口速度,会影响防火墙的性能。而且,其有时候也会判断失误,给网络造成通信故障。所以,在一般情况下,无论是笔者,还是思科的官方资料,都建议大家采用手工配置接口速度。
2、 关闭与开启接口
防火墙上有多个接口,为了安全起见,打开的接口不用的话,则需要及时的进行关闭。一般可用shutdown命令来关闭防火墙的接口。但是这里跟思科的IOS软件有一个不同,就是如果要打开这个接口的话,则不用采用no shutdown命令。在防火墙的配置命令中,没有这一条。而应该采用不带参数的shutdown命令,来把一个接口设置为管理模式。
笔者建议
在防火墙配置的时候,不要把所有的接口都打开,需要用到几个接口,就打开几个接口。若把所有的接口都打开的话,会影响防火墙的运行效率,而且,对企业网络的安全也会有影响。或者说,他会降低防火墙对于企业网络的控制强度。
第二个命令:nameif
一般防火墙出厂的时候,思科也会为防火墙配置名字,如ethernet0等等,也就是说,防火墙的物理位置跟接口的名字是相同的。但是,很明显,这对于我们的管理是不利的,我们不能够从名字直观的看到,这个接口到底是用来做什么的,是连接企业的内部网络接口,还是连接企业的外部网络接口。所以,网络管理员,希望能够重命令这个接口的名字,利用比较直观的名字来描述接口的用途,如利用outside命令来表示这个接口是用来连接外部网络;而利用inside命令来描述这个接口是用来连接内部网络。同时,在给端口进行命名的时候,还可以指定这个接口的安全等级。
Nameif命令基本格式如下
Nameif hardware-id if-name security-level
其中,hardware-id表示防火墙上接口的具体位置,如ethernet0或者ethernet1等等。这些是思科防火墙在出厂的时候就已经设置好的,不能够进行更改。若在没有对接口进行重新命名的时候,我们只能够通过这个接口位置名称,来配置对应的接口参数。
而if-name 则是我们为这个接口指定的具体名字。一般来说,这个名字希望能够反映出这个接口的用途,就好象给这个接口取绰号一样,要能够反映能出这个接口的实际用途。另外,这个命名的话,我们网络管理员也必须遵守一定的规则。如这个名字中间不能用空格,不同用数字或者其他特殊字符(这不利于后续的操作),在长度上也不能够超过48个字符。
security-level表示这个接口的安全等级。一般情况下,可以把企业内部接口的安全等级可以设置的高一点,而企业外部接口的安全等级则可以设置的低一点。如此的话,根据防火墙的访问规则,安全级别高的接口可以防卫安全级别低的接口。也就是说,不需要经过特殊的设置,企业内部网络就可以访问企业外部网络。而如果外部网络访问内部网络,由于是安全级别低的接口访问安全级别高的接口,则必须要要进行一些特殊的设置,如需要访问控制列表的支持,等等。
笔者建议
在给接口配置安全等级的时候,一般不需要设置很复杂的安全等级。在安全要求一般的企业,只需要把接口的安全登记分为两级(一般只用两个接口,一个连接外部网络,一个连接内部网络),如此的话,防火墙的安全级别管理,会方便许多。
另外,就是企业内部网络的安全级别要高于外部网络的安全级别。因为从企业安全方面考虑,我们的基本原则是内部网络访问外部网络可以放开,而外部网络访问内部网络的话,就要有所限制,则主要是出于限制病毒、木马等给企业网络所造成的危害的目的。不过,若企业内部对外部访问也有限制的话,如不允许访问FTP服务器,等等,则可以借助访问控制列表或者其他技术手段来实现。
在对接口进行命名的时候,要能够反映这个接口的用途,否则的话,对其进行命名也就没有什么意思了。一般的话,如可以利用inside或者outside来表示连接内网与外网的接口。如此的话在,网络管理员在一看到这个接口名字,就知道这个接口的用途。这几可以提高我们防火墙维护的效率。对于我们按照这个名字来对接口进行配置的时候,就比较容易实现,而不需要再去想我需要配置的接口名字是什么。若我们真的忘记了接口名字的话,则可以利用show nameif命令来检验接口名字的配置。
第三个命令:IP address
在防火墙管理中,要为每个启用的防火墙接口配置IP地址。一般来说,防火墙的IP地址支持两种取得方式,一是通过自动获得,如可以通过企业内网的DHCP服务器取得IP地址;二是用户通过手工指定IP地址。
这个命令的具体格式为
Ip adress if-name IP [NETMASK]
若我们用上面的IF-NAME命令,给防火墙的接口配置好别名之后,则在后续的其他命令中,如这个配置IP地址的命令,则就不需要采用接口的位置名,而直接可以利用这个别名为具体的接口设置相关的参数。
若我们通过手工指定IP地址的时候,需要注意几个问题。一是若企业中还有DHCP服务器的话,则要注意这个网络地址冲突的问题。这个防火墙上的接口IP地址,在企业的整个网络中,也必须保持唯一,否则的话,就会造成IP地址冲突的错误。所以,若企业中还有DHCP服务器的话,则在DHCP服务器配置的时候,需要注意,这个防火墙接口所用的IP地址不应该在DHCP服务器的自动分配IP的地址池中,否则的话,很容易造成IP地址的冲突。
另外,在给他手工配置IP地址的时候,为了管理上的方便,最好能够指定连续的IP地址。也就是说,防火墙各个接口的IP地址为连续的。笔者在企业的IP地址规划中,特意为防火墙的接口预留了4个IP地址。即使,现在没有使用到这个接口,为了避免以后用到时,IP地址不连续,所以,在整个网络的IP地址规划中,还是为其预留了足够多的IP地址。
这里的网络掩码不是必须的。若网络管理员在配置防火墙的时候,没有配置这个网络掩码的话,则防火墙会自动根据企业内部网络的结构,则防火墙会自动给其设置一个网络掩码。所以,在一般的情况下,这个网络掩码可以不用设置,免得填写错误的话,还造成不必要的损失。
笔者建议
若是采用DHCP方式取得接口的IP地址的,则在DHCP服务器配置的时候,最好能够给防火墙的各个接口配置连续的IP地址。如此的话,可以方便我们对防火墙的接口进行管理。若企业的网络规模比较大,安全级别比较高的话,则一般建议不要采用DHCP的方式,而需要给防火墙的各个接口手工指定IP地址。
责任编辑:杜铮
&关于&防火墙 端口&相关报道
&硅谷动力最新热点
loading...
频道热文排行
经典软件下载
往期精彩文章
网站合作、内容监督、商务咨询、投诉建议:010-
Copyright © 2000--
硅谷动力公司版权所有 京ICP证000088号扫扫二维码,随身浏览文档
手机或平板扫扫即可继续访问
网络管理与维护第七章
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由:
将文档分享至:
分享完整地址
文档地址:
粘贴到BBS或博客
flash地址:
支持嵌入FLASH地址的网站使用
html代码:
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布,请您等待!
3秒自动关闭窗口当前位置&&&&&&&&&防火墙路由器两种设备的七大不同
更多文章查询:&
防火墙路由器两种设备的七大不同
&&&&&&&日08:14&&来源:&&
【文章摘要】可能很多人对路由器防火墙还不是很了解,下面我们主要讲解了路由器防火墙之间的综合比较。防火墙已经成为企业网络建设中的一个关键组成部分。
可能很多人对路由器防火墙还不是很了解,下面我们主要讲解了路由器防火墙之间的综合比较。防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对防火墙与业界应用最多、最具代表性的路由器防火墙在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。 1、两种设备产生的根源不同 路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。 2、根本目的不同 路由器的根本目的是:保持网络和数据的“通”。防火墙根本的的目的是:保证任何非允许的数据包“不通”。 3、核心技术的不同 Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。一个最为简单的应用:企业内网的一台主机,通过路由器防火墙对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-〉内 只允许client访问 server的tcp 1455端口,其他拒绝。针对现在的配置,存在的安全脆弱性如下:存在上述隐患的原因是,路由器防火墙不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。 虽然,路由器的“Lock-and-Key”功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。 4、安全策略制定的复杂程度不同 路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。 5、对性能的影响不同 路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器防火墙的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。 防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。 6、审计功能的强弱差异巨大 路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。 7、防范攻击的能力不同 对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器防火墙不具有这样的高级安全功能。可以得出: 具有防火墙特性的路由器成本 > 防火墙 + 路由器 具有防火墙特性的路由器功能 < 防火墙 + 路由器 具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器 综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器防火墙将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
责任编辑:杨山山
&关于&路由器 防火墙&相关报道
&硅谷动力最新热点
loading...
频道热文排行
经典软件下载
往期精彩文章
网站合作、内容监督、商务咨询、投诉建议:010-
Copyright © 2000--
硅谷动力公司版权所有 京ICP证000088号}
加载中,请稍候...
商品编号:
京 东 价:
[定价:¥]
促销信息:
服  务:
温馨提示:
在线客服:服务支持:
加载中,请稍候...
网络传输系统案例管理与维护:网络案例运行与维护(第2册)
加载中,请稍候...
商品编码:
包装:平装
开本:16开
出版时间:
用纸:胶版纸
商品介绍加载中...
扫一扫,精彩好书免费看
京东商城向您保证所售商品均为正品行货,京东自营商品开具机打发票或电子发票。
凭质保证书及京东商城发票,可享受全国联保服务(奢侈品、钟表除外;奢侈品、钟表由京东联系保修,享受法定三包售后服务),与您亲临商场选购的商品享受相同的质量保证。京东商城还为您提供具有竞争力的商品价格和,请您放心购买!
注:因厂家会在没有任何提前通知的情况下更改产品包装、产地或者一些附件,本司不能确保客户收到的货物与商城图片、产地、附件说明完全一致。只能确保为原厂正货!并且保证与当时市场上同样主流新品一致。若本商城没有及时更新,请大家谅解!
权利声明:京东上的所有商品信息、客户评价、商品咨询、网友讨论等内容,是京东重要的经营资源,未经许可,禁止非法转载使用。
注:本站商品信息均来自于合作方,其真实性、准确性和合法性由信息拥有者(合作方)负责。本站不提供任何保证,并不承担任何法律责任。
加载中,请稍候...
加载中,请稍候...
加载中,请稍候...
加载中,请稍候...
加载中,请稍候...
加载中,请稍候...
加载中,请稍候...
浏览了该商品的用户还浏览了
加载中,请稍候...
七日畅销榜
新书热卖榜求写一篇关于网络运行与维护或相关内容的小论文_百度知道
求写一篇关于网络运行与维护或相关内容的小论文
求写一篇关于网络运行与维护或相关内容的小论文
在网络管理与维护过程中由于是大家互相合作。是不可能学得完的.
、设备资源.
: XXXX 班 级。一个企业的发展前途。实现企业的安全与稳定发展是企业网络管理与维护的基本目标与任务,学习其中的内涵,人发明了它: XX 专 业. 七.心得体会 信息技术的进步使信息在瞬间可以流遍全球。企业设备是企业赖以生存、发展的物质技术基础.
,解决企业安全问题。计算机是人发明的如,利用管理与维护的力量. 邮件系统
…………………………………………………04 四,必先利其器,更有一种合作精神融入其中从中也可以为我们走上社会或在处理问题时得到一种比较实用的锻炼。加强网络设备维修管理与维护. 服务器磁盘维护管理 ………………………………………15 六,不断改善网络设备技术状态:要想善其事: XX大 学 XXXXX学院 毕业论文 论文名称 ,凭借信息技术,依靠管理方法,设备使用的好坏直接影响企业的生存和发展,促进企业经济。知识无穷尽.
. 安装Windows Server 2008 服务系统
…………………04
…………………………………………………06
客户端的配置
……………………………………………06
路由器的配置 ………………………………………………06
…………………………………………………………08
Web服务器配置
……………………………………………10
…………………………………………………14 五,强化企业网络安全、应变能力以及对问题处理所具有的正确的逻辑思维能力。 一,俗话说: XX XX 学 号,但我相信都能得到解决、人的组织能力。 [关键词] 企业网络 管理 维护 如今是网络时代,才能让企业更加安全、管理软件,论文中包含了知识的学习,而设备管理与维护是企业管理最重要管理之一. 心得体会 ……………………………………………………17 八,我也希望像指导老师说的那样. 参考文献 ……………………………………………………17 企业网络的管理与维护要点 [内容摘要] 企业网络管理与维护就是在网络与人的接触下: XX 指导老师.
。网络的管理与维护虽然会遇到很多问题: 张XX XXX 年 X 月 XX日 目 录 一,我认为企业网络管理是它的重中之重。 八.参考文献.安装防毒软件…………………………………………………03 二.安装防火墙 …………………………………………………03
防火墙功能 …………………………………………………04 三,但是却很有必要。对于我个人,我认为在这次毕业论文设计过程中学到的东西虽然没有工作过程中学到的多,企业网络管理与维护是一个企业的核心.安装防毒软件
。应该像老师说的那样将知识融会贯通. 硬盘受损或数据丢失采取的应急措施
……………16 七。这才是论文设计更重要的一层,肯定会管理好它的,信息资源可以全球共享。作为我们也是非常有必要并且应该去积极地接受、环境协调和健康发展,使其充分发挥效能,人总比计算机聪明吧,为企业获取最佳经济效益:企业网络的管理与维护 学生姓名
其他类似问题
您可能关注的推广回答者:
论文的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁当前位置&&&&&&&&&防火墙配置中必备的六个主要命令
更多文章查询:&
防火墙配置中必备的六个主要命令
&&&&&&&日14:44&&来源:中国IT实验室&&作者:佚名&&
【文章摘要】防火墙的基本功能,是通过六个命令来完成的。一般情况下,除非有特殊的安全需求,这个六个命令基本上可以搞定防火墙的配置。下面笔者就结合CISCO的防火墙,来谈谈防火墙的基本配置,希望能够给大家一点参考。
防火墙的基本功能,是通过六个命令来完成的。一般情况下,除非有特殊的安全需求,这个六个命令基本上可以搞定防火墙的配置。下面笔者就结合CISCO的防火墙,来谈谈防火墙的基本配置,希望能够给大家一点参考。
第一个命令:interface
Interface是防火墙配置中最基本的命令之一,他主要的功能就是开启关闭接口、配置接口的速度、对接口进行命名等等。在买来防火墙的时候,防火墙的各个端都都是关闭的,所以,防火墙买来后,若不进行任何的配置,防止在企业的网络上,则防火墙根本无法工作,而且,还会导致企业网络不同。
1、 配置接口速度
在防火墙中,配置接口速度的方法有两种,一种是手工配置,另外一种是自动配置。手工配置就是需要用户手工的指定防火墙接口的通信速度;而自动配置的话,则是指防火墙接口会自动根据所连接的设备,来决定所需要的通信速度。
如:interface ethernet0 auto --为接口配置“自动设置连接速度”
Interface ethernet2 100ful --为接口2手工指定连接速度,100MBIT/S。
这里,参数ethernet0或者etnernet2则表示防火墙的接口,而后面的参数表示具体的速度。
笔者建议
在配置接口速度的时候,要注意两个问题。
一是若采用手工指定接口速度的话,则指定的速度必须跟他所连接的设备的速度相同,否则的话,会出现一些意外的错误。如在防火墙上,若连接了一个交换机的话,则交换机的端口速度必须跟防火墙这里设置的速度相匹配。
二是虽然防火墙提供了自动设置接口速度的功能,不过,在实际工作中,作者还是不建议大家采用这个功能。因为这个自动配置接口速度,会影响防火墙的性能。而且,其有时候也会判断失误,给网络造成通信故障。所以,在一般情况下,无论是笔者,还是思科的官方资料,都建议大家采用手工配置接口速度。
2、 关闭与开启接口
防火墙上有多个接口,为了安全起见,打开的接口不用的话,则需要及时的进行关闭。一般可用shutdown命令来关闭防火墙的接口。但是这里跟思科的IOS软件有一个不同,就是如果要打开这个接口的话,则不用采用no shutdown命令。在防火墙的配置命令中,没有这一条。而应该采用不带参数的shutdown命令,来把一个接口设置为管理模式。
笔者建议
在防火墙配置的时候,不要把所有的接口都打开,需要用到几个接口,就打开几个接口。若把所有的接口都打开的话,会影响防火墙的运行效率,而且,对企业网络的安全也会有影响。或者说,他会降低防火墙对于企业网络的控制强度。
第二个命令:nameif
一般防火墙出厂的时候,思科也会为防火墙配置名字,如ethernet0等等,也就是说,防火墙的物理位置跟接口的名字是相同的。但是,很明显,这对于我们的管理是不利的,我们不能够从名字直观的看到,这个接口到底是用来做什么的,是连接企业的内部网络接口,还是连接企业的外部网络接口。所以,网络管理员,希望能够重命令这个接口的名字,利用比较直观的名字来描述接口的用途,如利用outside命令来表示这个接口是用来连接外部网络;而利用inside命令来描述这个接口是用来连接内部网络。同时,在给端口进行命名的时候,还可以指定这个接口的安全等级。
Nameif命令基本格式如下
Nameif hardware-id if-name security-level
其中,hardware-id表示防火墙上接口的具体位置,如ethernet0或者ethernet1等等。这些是思科防火墙在出厂的时候就已经设置好的,不能够进行更改。若在没有对接口进行重新命名的时候,我们只能够通过这个接口位置名称,来配置对应的接口参数。
而if-name 则是我们为这个接口指定的具体名字。一般来说,这个名字希望能够反映出这个接口的用途,就好象给这个接口取绰号一样,要能够反映能出这个接口的实际用途。另外,这个命名的话,我们网络管理员也必须遵守一定的规则。如这个名字中间不能用空格,不同用数字或者其他特殊字符(这不利于后续的操作),在长度上也不能够超过48个字符。
security-level表示这个接口的安全等级。一般情况下,可以把企业内部接口的安全等级可以设置的高一点,而企业外部接口的安全等级则可以设置的低一点。如此的话,根据防火墙的访问规则,安全级别高的接口可以防卫安全级别低的接口。也就是说,不需要经过特殊的设置,企业内部网络就可以访问企业外部网络。而如果外部网络访问内部网络,由于是安全级别低的接口访问安全级别高的接口,则必须要要进行一些特殊的设置,如需要访问控制列表的支持,等等。
笔者建议
在给接口配置安全等级的时候,一般不需要设置很复杂的安全等级。在安全要求一般的企业,只需要把接口的安全登记分为两级(一般只用两个接口,一个连接外部网络,一个连接内部网络),如此的话,防火墙的安全级别管理,会方便许多。
另外,就是企业内部网络的安全级别要高于外部网络的安全级别。因为从企业安全方面考虑,我们的基本原则是内部网络访问外部网络可以放开,而外部网络访问内部网络的话,就要有所限制,则主要是出于限制病毒、木马等给企业网络所造成的危害的目的。不过,若企业内部对外部访问也有限制的话,如不允许访问FTP服务器,等等,则可以借助访问控制列表或者其他技术手段来实现。
在对接口进行命名的时候,要能够反映这个接口的用途,否则的话,对其进行命名也就没有什么意思了。一般的话,如可以利用inside或者outside来表示连接内网与外网的接口。如此的话在,网络管理员在一看到这个接口名字,就知道这个接口的用途。这几可以提高我们防火墙维护的效率。对于我们按照这个名字来对接口进行配置的时候,就比较容易实现,而不需要再去想我需要配置的接口名字是什么。若我们真的忘记了接口名字的话,则可以利用show nameif命令来检验接口名字的配置。
第三个命令:IP address
在防火墙管理中,要为每个启用的防火墙接口配置IP地址。一般来说,防火墙的IP地址支持两种取得方式,一是通过自动获得,如可以通过企业内网的DHCP服务器取得IP地址;二是用户通过手工指定IP地址。
这个命令的具体格式为
Ip adress if-name IP [NETMASK]
若我们用上面的IF-NAME命令,给防火墙的接口配置好别名之后,则在后续的其他命令中,如这个配置IP地址的命令,则就不需要采用接口的位置名,而直接可以利用这个别名为具体的接口设置相关的参数。
若我们通过手工指定IP地址的时候,需要注意几个问题。一是若企业中还有DHCP服务器的话,则要注意这个网络地址冲突的问题。这个防火墙上的接口IP地址,在企业的整个网络中,也必须保持唯一,否则的话,就会造成IP地址冲突的错误。所以,若企业中还有DHCP服务器的话,则在DHCP服务器配置的时候,需要注意,这个防火墙接口所用的IP地址不应该在DHCP服务器的自动分配IP的地址池中,否则的话,很容易造成IP地址的冲突。
另外,在给他手工配置IP地址的时候,为了管理上的方便,最好能够指定连续的IP地址。也就是说,防火墙各个接口的IP地址为连续的。笔者在企业的IP地址规划中,特意为防火墙的接口预留了4个IP地址。即使,现在没有使用到这个接口,为了避免以后用到时,IP地址不连续,所以,在整个网络的IP地址规划中,还是为其预留了足够多的IP地址。
这里的网络掩码不是必须的。若网络管理员在配置防火墙的时候,没有配置这个网络掩码的话,则防火墙会自动根据企业内部网络的结构,则防火墙会自动给其设置一个网络掩码。所以,在一般的情况下,这个网络掩码可以不用设置,免得填写错误的话,还造成不必要的损失。
笔者建议
若是采用DHCP方式取得接口的IP地址的,则在DHCP服务器配置的时候,最好能够给防火墙的各个接口配置连续的IP地址。如此的话,可以方便我们对防火墙的接口进行管理。若企业的网络规模比较大,安全级别比较高的话,则一般建议不要采用DHCP的方式,而需要给防火墙的各个接口手工指定IP地址。
责任编辑:杜铮
&关于&防火墙 端口&相关报道
&硅谷动力最新热点
loading...
频道热文排行
经典软件下载
往期精彩文章
网站合作、内容监督、商务咨询、投诉建议:010-
Copyright © 2000--
硅谷动力公司版权所有 京ICP证000088号扫扫二维码,随身浏览文档
手机或平板扫扫即可继续访问
网络管理与维护第七章
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由:
将文档分享至:
分享完整地址
文档地址:
粘贴到BBS或博客
flash地址:
支持嵌入FLASH地址的网站使用
html代码:
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布,请您等待!
3秒自动关闭窗口当前位置&&&&&&&&&防火墙路由器两种设备的七大不同
更多文章查询:&
防火墙路由器两种设备的七大不同
&&&&&&&日08:14&&来源:&&
【文章摘要】可能很多人对路由器防火墙还不是很了解,下面我们主要讲解了路由器防火墙之间的综合比较。防火墙已经成为企业网络建设中的一个关键组成部分。
可能很多人对路由器防火墙还不是很了解,下面我们主要讲解了路由器防火墙之间的综合比较。防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对防火墙与业界应用最多、最具代表性的路由器防火墙在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。 1、两种设备产生的根源不同 路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。 2、根本目的不同 路由器的根本目的是:保持网络和数据的“通”。防火墙根本的的目的是:保证任何非允许的数据包“不通”。 3、核心技术的不同 Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。一个最为简单的应用:企业内网的一台主机,通过路由器防火墙对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-〉内 只允许client访问 server的tcp 1455端口,其他拒绝。针对现在的配置,存在的安全脆弱性如下:存在上述隐患的原因是,路由器防火墙不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。 虽然,路由器的“Lock-and-Key”功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。 4、安全策略制定的复杂程度不同 路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。 5、对性能的影响不同 路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器防火墙的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。 防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。 6、审计功能的强弱差异巨大 路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。 7、防范攻击的能力不同 对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器防火墙不具有这样的高级安全功能。可以得出: 具有防火墙特性的路由器成本 > 防火墙 + 路由器 具有防火墙特性的路由器功能 < 防火墙 + 路由器 具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器 综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器防火墙将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
责任编辑:杨山山
&关于&路由器 防火墙&相关报道
&硅谷动力最新热点
loading...
频道热文排行
经典软件下载
往期精彩文章
网站合作、内容监督、商务咨询、投诉建议:010-
Copyright © 2000--
硅谷动力公司版权所有 京ICP证000088号}
我要回帖
更多关于 工程管理摘要 的文章
更多推荐
- ·邹城顾姓起源和来历是不是顾时后人?
- ·国家民委关于推进武陵山片区创建全国民族团结示范市内容进步示范区的实施意见组织实施
- ·北京东直门中医院李忠学人物简介
- ·正品lv女包价格一览包应该在哪里购买?
- ·kdj指标怎么设置比较精准失灵了怎么办?
- ·endnote x5 注册码序列号
- ·急急急!!!! 历下区新农村合作医疗建设的发展及前景 社会调查报告范文
- ·求歌舞青春31-3的下载地址,不要合并的,要分开的。
- ·《世界贸易组织土木工程概论论文》最后的考试论文应该选怎样的课题。。。
- ·求shoushou门的兽兽视频下载
- ·探究论文 初中生历史论文与父母有多远
- ·深圳红树林林的发展现状和具体措施?
- ·gps2012凯立德激活码算号器春季版地图激活码 谢谢为我解答的那个好人,多谢!!!
- ·哪里有阿力魔熊胆克痘露的烦恼PPT免费下载的啊
- ·求如何写好一篇论文关于太阳能的论文。。。高分奖励!!!!发到我的邮箱
- ·rtawe are ready伴奏 to go 伴奏下载
- ·脸上红血丝怎么治疗治疗
- ·全站仪在地籍测量实习建议中的应用的论文谁有,借我瞅瞅。邮箱
- ·谁有真实故事(那夜,他将妹妹背着洋娃娃视频推入狼窝)的视频
- ·写一篇防火墙的工程管理摘要与维护的摘要
- ·天正cad2007天正建筑谁有? 发个吧~~ 有的请发到:
- ·斗破苍穹ol激活码
- ·调查网络浏览器问卷调查报告怎么写分析怎么写
- ·产品: autocad 2011下载 序列号: 356-72378422 产品密钥: 001C1 申请号: 3LHV G0XN 5WR0 EL6Y AUXH CR8G XR3A T
- ·如何查中国知网论文收录论文的下载量
- ·求app求一个美国app id账号!!!
- ·日本东丽净水器比诺原装行货SW802J-CH台上式净水器 家用直饮净水机 新品 打算送朋友...
- ·eshuji ashuij eshuik 问道文曲星答题的星星超市里的东西下不下来
- ·三星安卓机~wifi速度慢~据说和基带跟wifi有关系吗有关~~是不是这样的
- ·高仿手表N96程序有问题;,怎么办?
- ·我是一个17岁的女生,我可不可以别欺负我有性欲
- ·DEC中恒G7PRO/G7-pro豪华版gps导航仪辐射强行车记录仪一体机 免费升级 在哪里能买...
- ·philips 飞利浦w6266可以刷系统吗?
- ·HTC G12 htc手机sn码查询是SN SH14BTJ04038
