在实际设置时我们必须将端口划分到某区域后才能对其进行各个访问操作,否则默认将阻止对该接口的任何数据通讯。
除此之外防火墙的其他相关配置与路由交换设备差不多,无外乎通过超级终端下的命令行参数进行配置或者通过WEB管理界面配置。
三,软件的配置与实施:
下面笔者介绍中小企业网络结构下如何配置防火墙,笔者以H3C的F100防火墙为例进行介绍,其他厂商的防火墙在配置上与之类似,各位读者举一反三即可。我们介绍的是当企业外网IP地址固定并通过光纤连接的具体配置。
首先我们来看看当企业外网出口指定IP时如何配置防火墙参数。我们选择接口四连接外网,接口一连接内网。这里假设电信提供给我们的外网IP地址为202.10.1.194255.255.255.0。
第一步:通过CONSOLE接口以及本机的超级终端连接F100防火墙,执行system命令进入配置模式。
第二步:通过firewallpacketdefaultpermit设置默认的防火墙策略为“容许通过”。
第三步:进入接口四设置其IP地址为202.10.1.194,命令为
inte0/4
ipadd202.10.1.194255.255.255.0
第四步:进入接口一设置其IP地址为内网地址,例如192.168.1.1255.255.255.0,命令为
inte0/1
ipadd192.168.1.1255.255.255.0
第五步:将两个接口加入到不同的区域,外网接口配置到非信任区untrust,内网接口加入到信任区trust——
firezoneuntrust
addinte0/4
firezonetrust
addinte0/1
第六步:由于防火墙运行基本是通过NAT来实现,各个保护工作也是基于此功能实现的,所以我们还需要针对防火墙的NAT信息进行设置,首先添加一个访问控制列表——
aclnum2000
rulepersource192.168.0.00.0.255.255
ruledeny