文档介绍:维普资讯
在防火墙上实现
贺春光
河南濮阳中原油田物探研究院濮阳
摘要本文主要介绍了防火墙的基本配置,以及在上实现的一些必须配置。虽然是以
防火墙为依托,但的配置和说明适用于大多数设备,只是命令不尽相同而已。
关键词防火墙
现在技术已经作为一种成熟的技术在世而在实际应用中,通过试验我们使用的
界范围内广泛地应用起来了,越来越多的跨国企业客户端软件代替了的客户端软件。
通过将大客户、合作伙伴、各种办事机构、首先将防火墙通过控制线接到笔记本电脑
分公司、公司出差人员等方便快捷地接人企业内部的口上,加点启动防火墙,开始的启动信息
网,及时地掌握瞬息万变的各种信息。而实警告、设备信息、软件版本都可以正常显示出
际上是通过软件实现的技术,作为载体的硬来,但是到了提示“是否使用互动模式配置防火
件可以有以下几种:一种是路由器,就是通过把墙”,键盘就毫无作用了,键入或都没有显示,
软件加载在路由器上,使它既是一台路由器, 甚至在刚启动时想按或进入模式也
又是一台设备,也就是所谓的安全路由器; 毫无反应。后来发现是控制线有问题,可能是由其
再有就是防火墙,在企业防火墙上实现的功中的一根针断了,使得只能从路由器上接收数
能;最后一种是专用的硬件,在这种设备中, 据,而不能往路由器上发送数据。换了一个控制线
加密也通过硬件实现,可以大大提高安全效率。但后,即可成功启动进入配置模式。然后我们配
是专用的硬件受到外国政府出口限制,而使置了一些防火墙的基本参数,如主机名、密码、接
用路由器实施,既要更新又要升级系统的口地址、内外部路由等,配置命令如下:
内存、等,因此在企业防火墙上实现就///激活端
成了一种折衷方案。口并指定全双工
我们采用的是防火墙,防/
火墙一般都支持,只不过系统自带的是, ...... //
如果用户需要安全性更高的服务,可以另外为外部端口定义地址
购买加密协议。在客户端方面,可以使用......
、自带的“虚拟网连接”, ......... //假设
但是厂家推荐使用其专用的—的外网网关
。.版本可以在其官方网站上下载,但是它......... //内网
只支持, .而不支持所在网段的网关
,更高版本的客户端软件需要另外购买。
拄弘黜绷№。。
维普资讯
“::.\ —
接下来就需要配置相关的参数,如、...
等。配置涉及到启用和是::.\—
同义词,创建策略,和验证我们的配置。,
.//在外部口启用或关闭::.\—
. //命令创建策略::.\—
.宰车宰宰宰宰木木... ,,,,
...//配置预共享密钥::.\—
. //验证的配置,,,,
.一......... ::.\ —
...//配置加密用访问控制列表,。:—
.,/对连接的
用户不经过,这里的对应上面的—::.\—
、
.......//创建::.\—
用户内部地址池
. ::.\—
//对应上面定义的地址池,
配置包括创建加密用访问控制列表,定::.
义变换集,创建加密图条目,并将加密集应用到接:
口上去。::.
.———::.
//配置相关参数\
. —::.\—
//创建动态加密图. :—
.
//配置加密图::.\—
.
//表示将为每个分配地址::.
.//应用
到外部接口上::.
一般情况下到了这一步,基本的配置就
完成了,然后在客户端上安装, ::.\—
并设定与相同的预共享密钥、认证方法、加密
算法、的,同时将的设::.\—
定为的外部接口。接着就可以试图与建立’’
连接,同时打开客户端的,查看而上后提示:
的连接过程,也可以在上启动以便“—:⋯
于问题诊断。例如我们在进行其中一次连接:’
时就实现问题,客户端的上提示:
/
币露曾衡垃.
维普资讯
——.】: 区域的用户访问安全值高的区域的用户,则需要使
...”用和命夸。因为缺省情况下,拒
于是我们根据错提示在的配置上找问绝所有来自外部阐段的访问请求当Ⅳ服务器
题,后来才发现默认采用主机名,作为识别代等设备放在防火墙的内部网段上时,为了使外部网
码,如要为用户没定地址就需要添加一条络上的用户可以访问到,必须使用和
“”命令,这样问题就鼹决了, 命令来进行配置。例如:
外网的客户机就可以通过直接访问.. , .....
...
加一条通往...的路由如果要用户能够...
访问...内所有的主机且不用为每一个主机
添加路由