一、防火墙的基本配置

下面我以国内防火墙天融信NGFW 4000为例给各位讲解一下在一个典型的网络环境中应该如何来配置防火墙。 NGFW4000有3个标准端口，其中一个接外网（Internet网），一个接内网，一个接DMZ区，在DMZ区中有网络服务器。安装防火墙所要达到的效果是：内网区的电脑可以任意访问外网，可以访问DMZ中指定的网络服务器，Internet网和DMZ的电脑不能访问内网；Internet网可以访问DMZ中的服务器。

1、配置管理端口

天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的，管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下，3个口都不是管理端口，所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来，给防火墙指定一个管理端口，以后对防火墙的设置就可以通过远程来实现了。 使用一条串口线把电脑的串口（COM1）与NGFW4000防火墙的console口连接起来，启动电脑的"超级终端"，端口选择COM1，通信参数设置为每秒位数9600，数据位8，奇偶校验无，停止位1，数据流控制无。进入超级终端的界面，输入防火墙的密码进入命令行格式。

定义管理口：if eth1 XXX.XXX.XXX.XXX 255.255.255.0

修改管理口的GUI登录权限： fire client add topsec -t gui -a 外网 -i 0.0.0.0-255.255.255.255

2、使用GUI管理软件配置防火墙 ：安装天融信防火墙GUI管理软件"TOPSEC集中管理器"，并建立NGFW4000管理项目，输入防火墙管理端口的IP地址与说明。然后登录进入管理界面。

（1）定义网络区域

Internet（外网）：接在eth0上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping、GUI、telnet。

Intranet（内网）：接在eth1上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，允许ping、GUI、telnet。

DMZ区：接在eth2上， 缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，禁止ping、GUI、telnet。

（2）定义网络对象

一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的，也可以作为通信策略中的源和目的。网络节点同时可以作为地址映射的地址池使用，表示地址映射的实际机器，详细描述见通信策略。 子网表示一段连续的IP地址。可以作为策略的源或目的，还可以作为NAT的地址池使用。如果子网段中有已经被其他部门使用的IP，为了避免使用三个子网来描述技术部使用的IP地址，可以将这两个被其他部门占用的地址在例外地址中说明。 为了配置访问策略，先定义特殊的节点与子网：

FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

V_SERVER：代表外网访问的虚拟服务器，区域=Internet，IP=防火墙IP地址。

inside：表示内网上的所有机器，区域=Intranet，起始地址=0.0.0.0，结束地址=255.255.255.255。

outside：表示外网上的所有机器，区域=Internet，起始地址=0.0.0.0，结束地址=255.255.255.255。

（3）配置访问策略

在DMZ区域中增加三条访问策略：

A、访问目的=FTP_SERVER，目的端口=TCP 21。源=inside，访问权限=读、写。源=outside，访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。

B、访问目的=HTTP_SERVER，目的端口=TCP 80。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。

C、访问目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。

（4）通信策略

由于内网的机器没有合法的IP地址，它们访问外网需要进行地址转换。当内部机器访问外部机器时，可以将其地址转换为防火墙的地址，也可以转换成某个地址池中的地址。增加一条通信策略，目的=outside，源=inside，方式=NAT，目的端口=所有端口。如果需要转换成某个地址池中的地址，则必须先在Internet中定义一个子网，地址范围就是地址池的范围，然后在通信策略中选择NAT方式，在地址池类型中选择刚才定义的地址池。 服务器也没有合法的IP地址，必须依靠防火墙做地址映射来提供对外服务。增加通信策略。

A、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射21->21，目标机器=FTP_SERVER。

B、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射80->80，目标机器=HTTP_SERVER。

C、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射25->25，目标机器=MAIL_SERVER。

D、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射110->110，目标机器=MAIL_SERVER。

（5）特殊端口

在防火墙默认的端口定义中没有我们所要用到的特殊端口，就需要我们手工的添加这些特殊端口了。在防火墙集中管理器中选择"高级管理">"特殊对象">"特殊端口"，将弹出特殊端口的定义界面，点"定义新对象"，输入特殊端口号与定义区域即可。

（6）其他配置

最后进入"工具"选项，定义防火墙的管理员、权限以及与IDS的联动等。防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样，都是监测并过滤所有通向外部网和从外部网传来的信息，防火墙保护着内部敏感的数据不被偷窃和破坏，并记下来通讯发生的时间和操作等等，新一代的防火墙甚至可以阻止内部人员故意将敏感数据传输到外界。当用户将单位内部的局部网连入互联网时，大家肯定不愿意让全世界的人随意翻阅你单位内部人员的工资单、各种文件资料或者是数据库，但即使在单位内部也存在数据攻击的可能性。

对于高可靠性环境，Nokia的IP集群技术可以将多个设备集群在一起，作为单个虚拟网关运行，实现动态的负载均衡。同一集群的所有成员共享安全状态信息，一旦出现故障，可以自动转化到冗余设备上。同时，为了优化性能，集群会不断地对负载进行重新平衡。这样，用户的网络就不会因为防火墙故障造成经济损失。Nokia硬件冗余包括支持热交换接口卡、冗余电源系统、电扇系统和镜像热交换硬盘系统等。从适合中小型企业或大型企业分支机构的IP40安全访问解决方案，到适合大中型企业全面安全访问的IP350/380解决方案，晓通网络都会根据用户的不同要求，为用户量身定制网络安全解决方案，这些按照不同需求制定的安全解决方案将为用户提供具备高度可靠性、便于管理并且能够不断根据需求进行升级的全面安全保障。