三,软件的配置与实施:
下面笔者介绍中小企业网络结构下如何配置防火墙,笔者以H3C的F100防火墙为例进行介绍,其他厂商的防火墙在配置上与之类似,各位读者举一反三即可。我们介绍的是当企业外网IP地址固定并通过光纤连接的具体配置。
首先我们来看看当企业外网出口指定IP时如何配置防火墙参数。我们选择接口四连接外网,接口一连接内网。这里假设电信提供给我们的外网IP地址为202.10.1.194 255.255.255.0。
第一步:通过CONSOLE接口以及本机的超级终端连接F100防火墙,执行system命令进入配置模式。
第二步:通过firewall packet default permit设置默认的防火墙策略为“容许通过”。
第三步:进入接口四设置其IP地址为202.10.1.194,命令为
int e0/4
ip add 202.10.1.194 255.255.255.0
第四步:进入接口一设置其IP地址为内网地址,例如192.168.1.1 255.255.255.0,命令为
int e0/1
ip add 192.168.1.1 255.255.255.0
第五步:将两个接口加入到不同的区域,外网接口配置到非信任区untrust,内网接口加入到信任区trust——
fire zone untrust
add int e0/4
fire zone trust
add int e0/1
第六步:由于防火墙运行基本是通过NAT来实现,各个保护工作也是基于此功能实现的,所以我们还需要针对防火墙的NAT信息进行设置,首先添加一个访问控制列表——
acl num 2000
rule per source 192.168.0.0 0.0.255.255
rule deny
第七步:接下来将这个访问控制列表应用到外网接口通过启用NAT——
int e0/4
nat outbound 2000
第八步:最后添加路由信息,设置缺省路由或者静态路由指向外网接口或外网电信下一跳地址——
ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 (如图2)
四,总结:
执行save命令保存退出后我们就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了,当然防火墙的安全级别与访问控制列表以及安全区域的细化分不开的,所以在日后维护过程中我们还需要添加各式各样的ACL来管理数据转发规则,将黑客与病毒阻挡在企业外网大门之外。