防火墙的安装和配置VIP免费

第第88章防火墙安装与配置章防火墙安装与配置《网络设备的安装与管理》本章内容●防火墙安装●防火墙配置●配置CiscoPIX防火墙●恢复PIX的口令●升级PIX版本8.1防火墙安装8.1.1PIX防火墙安装定制在开始考虑安装PIX之前，必须决定哪种PIX模式能够满足你的业务需要。PIX系列产品中有许多相同的特征和功能；每个PIX模式中接口和连接数量是不同的。下面的问题将帮助理解你的网络需求，并把你的注意力集中到防火墙必须包含的服务和性能上。有多少用户（连接）将会通过防火墙？防火墙支持语音和多媒体应用吗？本单位需要多少接口？本单位需要VPN服务吗？若需要，安全级别是什么：56位DES、168位3DES还是两者都要？防火墙需要如VPN加速卡等附件设备吗？本单位希望使用PIX设备管理器吗？本单位需要用容错性吗？回答这些问题不仅能帮助你为单位选择适当的PIX模型，还能帮助你购买正确的许可证。8.1.2安装前部署中的安装前阶段是确定PIX型号、许可证、特性和物理位置的阶段。选择许可证选择PIX型号1.选择许可证无限制（Unrestricted）当防火墙使用无限制（UR）许可证时允许安装和使用最大数量的接口和RAM。无限制许可证支持故障倒换功能。受限（Restricted）当防火墙使用受限制（R）许可证时，其支持的接口数量受到限制，另外，系统中的RAM的可用数量也受到限制。一个使用受限制许可证的防火墙不能通过配置故障倒换功能来实现冗余。故障倒换（Failover）当使用故障倒换（FO）软件许可证的PIX防火墙与使用无限制许可证的PIX防火墙协同工作时，将被置于故障倒换模式。2．选择PIX型号防火墙型号许可证选项受限无限制故障倒换（Failover）加密PIX50110位用户许可证50位用户许可证N/A56位DES和/或168位3DESPIX50656位DES168位3DESN/A56位DES和/或168位3DESPIX515515-R（5000条并发连接和2个接口）与515-R-BUN（10000条并发连接和3个接口）515-UR（10000条并发连接，Failover功能和6个接口）515-Failover束（提供备用Failover防火墙）56位DES和/或168位3DESPIX525525-R（6个接口，多达280，000条并发连接）525-UR（8个接口，Failover支持，多达280，000条并发连接）525-Failover束（提供备用Failover防火墙）56位DES和/或168位3DESPIX535535-R（6个接口，多达500，000条并发连接）535-UR（8个接口，Failover支持，多达500，000条并发连接）535-Failover束（提供备用Failover防火墙）56位DES和/或168位3DES型号选择主要基于两个方面：性能和容错性。性能被分为两类：吞吐量和并发连接。容错性是在PIX515平台中第一次被引入。8.1.3安装1.接口配置2.电缆连接3.初始PIX输入1.接口配置在PIX上对安全策略进行配置的第一步是确定要使用的接口并收集他的基本配置信息。每一个PIX都至少有两个接口：内部接口（较安全）和外部接口（较不安全）。使用表8-2可以帮组你简化配置PIX接口的过程，记录每个接口的基本信息是有用的。防火墙配置外部网内部网接口1接口2接口3接口接口速度IP地址和掩码接口名：HW接口名：SW安全级别MTU大小2.电缆连接在启动PIX之前，把控制端口（Console）电缆连接到PC机（通常是便于移动的笔记本电脑）的COM端口，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，如图8-1所示。3.初始PIX输入当PIX515通电后，会看到前置面板上的3个LED灯，如图8-2所示，分别标有POWER，NETWORK和ACT。当防火墙部件是活动的failover时，ACTLED会亮。如果没有配置Failover，ACTLED将总是亮着。当至少一个接口通过流量时，NETWORKLED会亮。当你第一次启动PIX防火墙的时候，你应该看到如图8-3所示的以下输出：8.2防火墙配置8.2.1防火墙的基本配置原则拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收...