① 硬體防火牆如何配置
一般來說,硬體防火牆的例行檢查主要針對以下內容:
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密,一旦硬體防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網路安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬體防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬體防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化,並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下,磁碟佔用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁碟佔用量異常增長,則說明硬體防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網路安全管理人員首先需要了解在正常情況下,防火牆的磁碟佔用情況,並以此為依據,設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似,CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須了解硬體防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導致這些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,並查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬體防火牆配置策略的修改中,包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊,以考核硬體防火牆的能力。
② 防火牆要怎麼設置
目前已經發布的windows xp service pack 2(sp2)包括了windows防火牆,即以前所稱的internet連接防火牆(icf)。windows防火牆是一個基於主機的狀態防火牆,它丟棄所有未請求的傳入流量,即那些既沒有對應於為響應計算機的某個請求而發送的流量(請求的流量),也沒有對應於已指定為允許的未請求的流量(異常流量)。windows防火牆提供某種程度的保護,避免那些依賴未請求的傳入流量來攻擊網路上的計算機的惡意用戶和程序。
在windows xp sp2中,windows防火牆有了許多新增特性,其中包括:
默認對計算機的所有連接啟用、應用於所有連接的全新的全局配置選項、用於全局配置的新增對話框集、全新的操作模式、啟動安全性、本地網路限制、異常流量可以通過應用程序文件名指定對internet協議第6版(ipv6)的內建支持
採用netsh和組策略的新增配置選項
本文將詳細描述用於手動配置全新的windows防火牆的對話框集。與windows xp(sp2之前的版本)中的icf不同,這些配置對話框可同時配置ipv4和ipv6流量。
windows xp(sp2之前的版本)中的icf設置包含單個復選框(在連接屬性的「高級」選項卡上「通過限制或阻止來自internet對此計算機的訪問來保護我的計算機和網路」復選框)和一個「設置」按鈕,您可以使用該按鈕來配置流量、日誌設置和允許的icmp流量。
在windows xp sp2中,連接屬性的「高級」選項卡上的復選框被替換成了一個「設置」按鈕,您可以使用該按鈕來配置常規設置、程序和服務的許可權、指定於連接的設置、日誌設置和允許的icmp流量。
「設置」按鈕將運行全新的windows防火牆控制面板程序(可在「網路和internet連接與安全中心」類別中找到)。
新的windows防火牆對話框包含以下選項卡:
「常規」 「異常」 「高級」 「常規」選項卡
在「常規」選項卡上,您可以選擇以下選項:
「啟用(推薦)」
選擇這個選項來對「高級」選項卡上選擇的所有網路連接啟用windows防火牆。
windows防火牆啟用後將僅允許請求的和異常的傳入流量。異常流量可在「異常」選項卡上進行配置。
「不允許異常流量」
單擊這個選項來僅允許請求的傳入流量。這樣將不允許異常的傳入流量。「異常」選項卡上的設置將被忽略,所有的連接都將受到保護,而不管「高級」選項卡上的設置如何。
「禁用」
選擇這個選項來禁用windows防火牆。不推薦這樣做,特別是對於可通過internet直接訪問的網路連接。
注意對於運行windows xp sp2的計算機的所有連接和新創建的連接,windows防火牆的默認設置是「啟用(推薦)」。這可能會影響那些依賴未請求的傳入流量的程序或服務的通信。在這樣的情況下,您必須識別出那些已不再運作的程序,將它們或它們的流量添加為異常流量。許多程序,比如internet瀏覽器和電子郵件客戶端(如:outlook express),不依賴未請求的傳入流量,因而能夠在啟用windows防火牆的情況下正確地運作。
如果您在使用組策略配置運行windows xp sp2的計算機的windows防火牆,您所配置的組策略設置可能不允許進行本地配置。在這樣的情況下,「常規」選項卡和其他選項卡上的選項可能是灰色的,而無法選擇,甚至本地管理員也無法進行選擇。
基於組策略的windows防火牆設置允許您配置一個域配置文件(一組將在您連接到一個包含域控制器的網路時所應用的windows防火牆設置)和標准配置文件(一組將在您連接到像internet這樣沒有包含域控制器的網路時所應用的windows防火牆設置)。這些配置對話框僅顯示當前所應用的配置文件的windows防火牆設置。要查看當前未應用的配置文件的設置,可使用netsh firewall show命令。要更改當前沒有被應用的配置文件的設置,可使用netsh firewall set命令。
「異常」選項卡
在「異常」選項卡上,您可以啟用或禁用某個現有的程序或服務,或者維護用於定義異常流量的程序或服務的列表。當選中「常規」選項卡上的「不允許異常流量」選項時,異常流量將被拒絕。
對於windows xp(sp2之前的版本),您只能根據傳輸控制協議(tcp)或用戶數據報協議(udp)埠來定義異常流量。對於windows xp sp2,您可以根據tcp和udp埠或者程序或服務的文件名來定義異常流量。在程序或服務的tcp或udp埠未知或需要在程序或服務啟動時動態確定的情況下,這種配置靈活性使得配置異常流量更加容易。
已有一組預先配置的程序和服務,其中包括:
文件和列印共享、遠程助手(默認啟用)、遠程桌面、upnp框架,這些預定義的程序和服務不可刪除。
如果組策略允許,您還可以通過單擊「添加程序」,創建基於指定的程序名稱的附加異常流量,以及通過單擊「添加埠」,創建基於指定的tcp或udp埠的異常流量。
當您單擊「添加程序」時,將彈出「添加程序」對話框,您可以在其上選擇一個程序或瀏覽某個程序的文件名。
當您單擊「添加埠」時,將彈出「添加埠」對話框,您可以在其中配置一個tcp或udp埠。
全新的windows防火牆的特性之一就是能夠定義傳入流量的范圍。范圍定義了允許發起異常流量的網段。在定義程序或埠的范圍時,您有兩種選擇:
「任何計算機」
允許異常流量來自任何ip地址。
「僅只是我的網路(子網)」
僅允許異常流量來自如下ip地址,即它與接收該流量的網路連接所連接到的本地網段(子網)相匹配。例如,如果該網路連接的ip地址被配置為 192.168.0.99,子網掩碼為255.255.0.0,那麼異常流量僅允許來自192.168.0.1到192.168.255.254范圍內的 ip地址。
當您希望允許本地家庭網路上全都連接到相同子網上的計算機以訪問某個程序或服務,但是又不希望允許潛在的惡意internet用戶進行訪問,那麼「僅只是我的網路(子網)」設定的地址范圍很有用。
一旦添加了某個程序或埠,它在「程序和服務」列表中就被默認禁用。
在「異常」選項卡上啟用的所有程序或服務對「高級」選項卡上選擇的所有連接都處於啟用狀態。
「高級」選項卡
「高級」選項卡包含以下選項:
網路連接設置、安全日誌、icmp、默認設置
「網路連接設置」
在「網路連接設置」中,您可以:
1、指定要在其上啟用windows防火牆的介面集。要啟用windows防火牆,請選中網路連接名稱後面的復選框。要禁用windows防火牆,則清除該復選框。默認情況下,所有網路連接都啟用了windows防火牆。如果某個網路連接沒有出現在這個列表中,那麼它就不是一個標準的網路連接。這樣的例子包括internet服務提供商(isp)提供的自定義撥號程序。
2、通過單擊網路連接名稱,然後單擊「設置」,配置單獨的網路連接的高級配置。
如果清除「網路連接設置」中的所有復選框,那麼windows防火牆就不會保護您的計算機,而不管您是否在「常規」選項卡上選中了「啟用(推薦)」。如果您在「常規」選項卡上選中了「不允許異常流量」,那麼「網路連接設置」中的設置將被忽略,這種情況下所有介面都將受到保護。
當您單擊「設置」時,將彈出「高級設置」對話框。
在「高級設置」對話框上,您可以在「服務」選項卡中配置特定的服務(僅根據tcp或udp埠來配置),或者在「icmp」選項卡中啟用特定類型的icmp流量。
這兩個選項卡等價於windows xp(sp2之前的版本)中的icf配置的設置選項卡。
「安全日誌」
在「安全日誌」中,請單擊「設置」,以便在「日誌設置」對話框中指定windows防火牆日誌的配置,
在「日誌設置」對話框中,您可以配置是否要記錄丟棄的數據包或成功的連接,以及指定日誌文件的名稱和位置(默認設置為systemrootpfirewall.log)及其最大容量。
「icmp」
在「icmp」中,請單擊「設置」以便在「icmp」對話框中指定允許的icmp流量類型,
在「icmp」對話框中,您可以啟用和禁用windows防火牆允許在「高級」選項卡上選擇的所有連接傳入的icmp消息的類型。icmp消息用於診斷、報告錯誤情況和配置。默認情況下,該列表中不允許任何icmp消息。
診斷連接問題的一個常用步驟是使用ping工具檢驗您嘗試連接到的計算機地址。在檢驗時,您可以發送一條icmp echo消息,然後獲得一條icmp echo reply消息作為響應。默認情況下,windows防火牆不允許傳入icmp echo消息,因此該計算機無法發回一條icmp echo reply消息作為響應。為了配置windows防火牆允許傳入的icmp echo消息,您必須啟用「允許傳入的echo請求」設置。
「默認設置」
單擊「還原默認設置」,將windows防火牆重設回它的初始安裝狀態。
當您單擊「還原默認設置」時,系統會在windows防火牆設置改變之前提示您核實自己的決定。 bbbbb
③ 配置硬體防火牆
在我們的電腦中有這么一種硬體叫做防火牆,它是一款具有防毒以及多種功能的軟體,主要是作為系統的窗口。可以說它是一個 門 衛或是一扇門,所有的東西想要進入我們的電腦,都必須通過它的審核才能進入。windows系統版本的不同決定了防火牆的配置方法的不同,接下來來為大家講一下具體的配置方法吧。
防火牆的基本配置原則:
默認情況下,所有的防火牆都是按以下兩種情況配置的:拒絕所有的流量,這需要在你的網路中特殊指定能夠進入和出去的流量的一些類型。允許所有的流量,這種情況需要你特殊指定要拒絕的流量的類型。可論證地,大多數防火牆默認都是拒絕所有的流量作為安全選項。一旦你安裝防火牆後,你需要打開一些必要的埠來使防火牆內的用戶在通過驗證之後可以訪問系統。換句話說,如果你想讓你的員工們能夠發送和接收Email,你必須在防火牆上設置相應的規則或開啟允許POP3和SMTP的進程。
在防火牆的配置中,我們首先要遵循的原則就是安全實用,從這個角度考慮,在防火牆的配置過程中需堅持以下三個基本原則:
(1). 簡單實用:對防火牆環境設計來講,首要的就是越簡單越好。其實這也是任何事物的基本原則。越簡單的實現方式,越容易理解和使用。而且是設計越簡單,越不容易出錯,防火牆的安全功能越容易得到保證,管理也越可靠和簡便。
(2). 全面深入:單一的防禦措施是難以保障系統的安全的,只有採用全面的、多層次的深層防禦戰略體系才能實現系統的真正安全。在防火牆配置中,我們不要停留在幾個表面的防火牆語句上,而應系統地看等整個網路的安全防護體系,盡量使各方面的配置相互加強,從深層次上防護整個系統。這方面可以體現在兩個方面:一方面體現在防火牆系統的部署上,多層次的防火牆部署體系,即採用集互聯網邊界防火牆、部門邊界防火牆和主機防火牆於一體的層次防禦;另一方面將入侵檢測、網路加密、病毒查殺等多種安全措施結合在一起的多層安全體系。
防火牆的具體設置步驟如下:
1. 將防火牆的Console埠用一條防火牆自帶的串列 電纜 連接到 筆記本電腦 的一個空餘串口上。
2. 打開PIX防火電源,讓系統加電初始化,然後開啟與防火牆連接的主機。
3. 運行筆記本電腦Windows系統中的超級終端(HyperTerminal)程序(通常在"附件"程序組中)。對超級終端的配置與 交換機 或路由器的配置一樣。
④ 如何配置linux下的防火牆
一、Linux下開啟/關閉防火牆命令
1、永久性生效,重啟後不會復原。
開啟:
chkconfig
iptables
on
關閉:
chkconfig
iptables
off
2、
即時生效,重啟後復原
開啟:
service
iptables
start
關閉:
service
iptables
stop
需要說明的是對於Linux下的其它服務都可以用以上命令執行開啟和關閉操作。
在當開啟了防火牆時,做如下設置,開啟相關埠,
修改/etc/sysconfig/iptables
文件,添加以下內容:
-A
RH-Firewall-1-INPUT
-m
state
--state
NEW
-m
tcp
-p
tcp
--dport
80
-j
ACCEPT
-A
RH-Firewall-1-INPUT
-m
state
--state
NEW
-m
tcp
-p
tcp
--dport
22
-j
ACCEPT
二、UBuntu關閉防火牆
iptables
-A
INPUT
-i
!
PPP0
-j
ACCEPT
三、CentOS
Linux
防火牆配置及關閉
執行」setup」命令啟動文字模式配置實用程序,在」選擇一種工具」中選擇」防火牆配置」,然後選擇」運行工具」按鈕,出現防火牆配置界面,將」安全級別」設為」禁用」,然後選擇」確定」即可.
或者用命令:
#/sbin/iptables
-I
INPUT
-p
tcp
–dport
80
-j
ACCEPT
#/sbin/iptables
-I
INPUT
-p
tcp
–dport
22
-j
ACCEPT
#/etc/rc.d/init.d/iptables
save
這樣重啟計算機後,防火牆默認已經開放了80和22埠
這里應該也可以不重啟計算機:
#/etc/init.d/iptables
restart
關閉防火牆服務即可:
查看防火牆信息:
#/etc/init.d/iptables
status
關閉防火牆服務:
#/etc/init.d/iptables
stop
⑤ 防火牆怎麼配置
在使用防火牆之前,需要對防火牆進行一些必要的初始化配置。出廠配置的防火牆需要根據實際使用場景和組網來配置管理IP、登陸方式、用戶名/密碼等。下面以我配置的華為USG防火牆為例,說明一下拿到出廠的防火牆之後應該怎麼配置。
1. 設備配置連接
一般首次登陸,我們使用的是Console口登陸。只需要使用串口網線連接防火牆和PC,使用串口連接工具即可。從串口登陸到防火牆之後,可以配置用戶,密碼,登陸方式等。這些配置在後面有記錄。
直接使用一根網線連接PC和設備的管理口。管理口是在設備面板上一個寫著MGMT的一個網口,一般默認配置了IP,如192.168.0.1/24。我們在對端PC上配置同網段的IP,如192.168.0.10/24,我們就可以通過PC上的telnet客戶端登陸到防火牆設備上。
登陸到設備之後,默認是在防火牆的用戶視圖下。可以使用system-view進入系統視圖,interface GigabitEthernet 0/0/0進入介面視圖,diagnose進入診斷視圖,security-policy進入安全策略視圖,firewall zone trust進入trust安全區域視圖,aaa進入aaa視圖等。
2. Telnet配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服務:
telnet server enable
3. FTP配置
在aaa里配置:
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服務:
ftp server enable
4. SFTP配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服務:
sftp server enable
配置Password認證方式 :
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c:
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3:
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服務:
web-manager enable
配置完Web之後,其他配置就可以登陸到Web頁面進行可視化配置了。
⑥ 防火牆硬體怎麼配置
應該叫硬體防火牆
⑦ 網路防火牆的配置如何
防火牆的一般配置過程:(一) WEB: 登陸後,選擇資源定義,定義地址、服務、用戶、時間、帶寬、需要過濾的URL,網路環境中存在的VLAN ID等資源。(二)選擇網路配置〉〉網路設備〉〉物理設備,修改網口的工作模式和IP 地址等。(三)選擇系統配置〉〉管理配置〉〉管理主機,添加、修改管理主機的IP 地址。(四)(可選)網路配置〉〉網路設備〉〉VLAN 、橋接、別名、冗餘設備、VPN 。(五)選擇策略配置〉〉安全規則,定義相應的包過濾、NAT、埠映射、IP 映射。(六)保存。(七)維護時經常觀察,系統監控〉〉網路設備、資源狀態、日誌等。
⑧ 防火牆怎麼弄
依次單擊開始;控制面板,然後在控制面板經典視圖中雙擊Windows防火牆一項,即可打開Windows防火牆控制台。此外,還可以在SP2新增加的安全中心界面下,點擊Windows防火牆打開防火牆控制台 。
1.常規選項卡
在Windows防火牆控制台常規選項卡中有兩個主選項:啟用(推薦)和關閉(不推薦),一個子選項不允許例外。如果選擇了不允許例 外,Windows防火牆將攔截所有的連接用戶計算機的網路請求,包括在例外選項卡列表中的應用程序和系統服務。另外,防火牆也將攔截文件和列印機共享, 還有網路設備的偵測。使用不允許例外選項的Windows防火牆簡直就完全閉關了,比較適用於高危環境,如餐館、賓館和機場等場所連接到公共網路 上的個人計算機。
2.例外選項卡
某些程序需要對外通訊,就可以把它們添加到例外選項卡中,這里的程序將被特許可以提供連接服務,即可以監聽和接受來自網路上的連接。
在例外選項卡界面下方有兩個添加按鈕,分別是:添加程序和添加埠,可以根據具體的情況手工添加例外項。如果不清楚某個應用程序是 通過哪個埠與外界通信,或者不知道它是基於UDP還是TCP的,可以通過添加程序來添加例外項。例如要允許Windows Messenger通信,則點擊添加程序按鈕,選擇應用程序C:Program Files MessengerMessengermsmsgs.exe,然後點擊確定把它加入列表。
如果對埠號以及TCP/UDP比較熟悉,則可以採用後一種方式,即指定埠號的添加方式。對於每一個例外項,可以通過更改范圍指定其作用 域。對於家用和小型辦公室應用網路,推薦設置作用域為可能的本地網路。當然,也可以自定義作用域中的IP范圍,這樣只有來自特定的IP地址范圍的網路請求 才能被接受。
3.高級選項卡
在高級選項卡中包含了網路連接設置、安全記錄、ICMP設置和還原默認設置四組選項,可以根據實際情況進行配置。
◆網路連接設置
這里可以選擇Windows防火牆應用到哪些連接上,當然也可以對某個連接進行單獨的配置,這樣可以使防火牆應用更靈活。
◆安全記錄
新版Windows防火牆的日誌記錄與ICF大同小異,日誌選項裡面的設置可以記錄防火牆的跟蹤記錄,包括丟棄和成功的所有事項。在日誌文件選 項里,可以更改記錄文件存放的位置,還可以手工指定日誌文件的大小。系統默認的選項是不記錄任何攔截或成功的事項,而記錄文件的大小默認為4MB。
◆ICMP設置
Internet控制消息協議(ICMP)允許網路上的計算機共享錯誤和狀態信息。在ICMP設置對話框中選定某一項時,界面下方會顯示出相應的描述信息,可以根據需要進行配置。在預設狀態下,所有的ICMP都沒有打開。
◆默認設置
如果要將所有Windows防火牆設置恢復為默認狀態,可以單擊右側的還原為默認值按鈕。
⑨ 誰知道防火牆怎麼配置怎麼用怎麼老是接受、拒絕、阻止等
1開始---設置---控制板面---安全中心---防火牆---啟用
2控制面板/安全中心/Windows防火牆/點選「啟用」按確定就可以了,不用特殊設置,就是默認設置,如果設置不對容易出現錯誤,這樣你可以按「高級」,按下面的還原默認設置按確定即可。
⑩ 防火牆如何正確設置
1、打開控制面板,點擊「系統和安全」。