内部有台web服务器， 选择防火墙的时候？ 该怎么选择

web服务器要发布出去，基本的防火墙都有这个功能，做个映射就行了。不过最好选择web应用防火墙，因为你内网部署web，被攻击了很危险，直接被人渗透进内网了。推荐铱迅web应用防护系统。

在众多的企业级主流防火墙中，cisco pix防火墙是所有同类产品性能最好的一种。cisco pix系列防火墙目前有5种型号pix506，515，520，525，535。其中pix535是pix 500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的isp等服务提供商。但是pix特有的os *** 作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过web管理界面来进行网络管理，这样会给初学者带来不便。本文将通过实例介绍如何配置cisco pix防火墙。
在配置pix防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：
�0�3 内部区域（内网）。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。
�0�3 外部区域（外网）。 外部区域通常指internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。
�0�3 停火区（dmz）。 停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置web服务器，mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。
由于pix535在企业级别不具有普遍性，因此下面主要说明pix525在企业网络中的应用。
pix防火墙提供4种管理访问模式：
非特权模式。 pix防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>
特权模式。 输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#
配置模式。 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 pix防火墙在开机或重启过程中，按住escape键或发送一个“break”字符，进入监视模式。这里可以更新 *** 作系统映象和口令恢复。显示为monitor>
配置pix防火墙有6个基本命令：nameif，interface，ip address，nat，global，route
这些命令在配置pix是必须的。以下是配置的基本步骤：
1 配置防火墙接口的名字，并指定安全级别（nameif）。
pix525(config)#nameif ethernet0 outside security0
pix525(config)#nameif ethernet1 inside security100
pix525(config)#nameif dmz security50
提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：
pix525(config)#nameif pix/intf3 security40 （安全级别任取）
2 配置以太口参数（interface）
pix525(config)#interface ethernet0 auto（auto选项表明系统自适应网卡类型 ）
pix525(config)#interface ethernet1 100full（100full选项表示100mbit/s以太网全双工通信 ）
pix525(config)#interface ethernet1 100full shutdown （shutdown选项表示关闭这个接口，若启用接口去掉shutdown ）
3 配置内外网卡的ip地址（ip address）
pix525(config)#ip address outside 611445142 255255255248
pix525(config)#ip address inside 19216801 2552552550
很明显，pix525防火墙在外网的ip地址是611445142，内网ip地址是19216801
4 指定要进行转换的内部地址（nat）
网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ipnat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat (if_name) nat_id local_ip [netmark]
其中（if_name）表示内网接口名字，例如inside nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0000表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例1．pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网，用0可以代表0000
例2．pix525(config)#nat (inside) 1 1721650 25525500
表示只有1721650这个网段内的主机可以访问外网。
5 指定外部地址范围（global）
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中（if_name）表示外网接口名字，例如outside。nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
例1． pix525(config)#global (outside) 1 611445142-611445148
表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用611445142-611445148这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2． pix525(config)#global (outside) 1 611445142
表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用611445142这个单一ip地址。
例3 pix525(config)#no global (outside) 1 611445142
表示删除这个全局表项。
6 设置指向内网和外网的静态路由（route）
定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip [metric]
其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。
例1． pix525(config)#route outside 0 0 6114451168 1
表示一条指向边界路由器（ip地址6114451168）的缺省路由。
例2． pix525(config)#route inside 10110 2552552550 1721601 1
pix525(config)#route inside 10200 25525500 1721601 1
如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10110的静态路由，静态路由的下一条路由器ip地址是1721601
这6个基本命令若理解了，就可以进入到pix防火墙的一些高级配置了。
a 配置静态ip地址翻译（static）
如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static命令配置语法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口，安全级别较高。如inside external_if_name为外部网络接口，安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。
例1． pix525(config)#static (inside, outside) 611445162 19216808
表示ip地址为19216808的主机，对于通过pix防火墙建立的每个会话，都被翻译成611445162这个全局地址，也可以理解成static命令创建了内部ip地址19216808和外部ip地址611445162之间的静态映射。
例2． pix525(config)#static (inside, outside) 19216802 10013
例3． pix525(config)#static (dmz, outside) 21148162 17216108
注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。
b 管道命令（conduit）
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到dmz或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。
conduit命令配置语法：
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问
global_ip 指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。
port 指的是服务所作用的端口，例如的这台主机进行>如果159226是一个公网IP，那本来就能访问外部了。
如果你说的是对端服务器上的防火墙设置，把下面内容写入一个文本，再用sh调用就可了
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 22,389 -m state --state NEW -j ACCEPT

从防火墙产品和技术发展来看，分为三种类型：基于路由器的包过滤防火墙、基于通用 *** 作系统的防火墙、基于专用安全 *** 作系统的防火墙。
LAN接口
列出支持的 LAN接口类型：防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。
支持的最大 LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。
服务器平台：防火墙所运行的 *** 作系统平台（如 Linux、UNIX、Win NT、专用安全 *** 作系统等）。
协议支持
支持的非 IP协议：除支持IP协议之外，又支持AppleTalk、DECnet、IPX及NETBEUI等协议。
建立 通道的协议： 构建通道所使用的协议，如密钥分配等，主要分为IPSec，PPTP、专用协议等。
可以在 中使用的协议：在中使用的协议，一般是指TCP/IP协议。
加密支持
支持的 加密标准：中支持的加密算法, 例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。
除了 之外，加密的其他用途： 加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。
提供基于硬件的加密： 是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密强度。
认证支持
支持的认证类型： 是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如 RADIUS、Kerberos、TACACS/TACACS＋、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。
列出支持的认证标准和 CA互 *** 作性：厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他CA产品兼容互通。
支持数字证书：是否支持数字证书。
访问控制
通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。 IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据 ICMP头信息（类型和代码值）、TCP头信息（源端口和目的端口）或UDP头信息（源端口和目的端口）执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。
在应用层提供代理支持：指防火墙是否支持应用层代理，如 >硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。
一般来说，硬件防火墙的例行检查主要针对以下内容：
1硬件防火墙的配置文件
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密，一旦硬件防火墙投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。作为网络安全管理人员，最好能够编写一套修改防火墙配置和规则的安全策略，并严格实施。所涉及的硬件防火墙配置，最好能详细到类似哪些流量被允许，哪些服务要用到代理这样的细节。
在安全策略中，要写明修改硬件防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化，并能尽量避免因修改配置所造成的错误和安全漏洞。
2硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录，那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录，那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下，磁盘占用量的异常增长很可能表明日志清除过程存在问题，这种情况相对来说还好处理一些。在不保留日志的情况下，如果磁盘占用量异常增长，则说明硬件防火墙有可能是被人安装了Rootkit工具，已经被人攻破。
因此，网络安全管理人员首先需要了解在正常情况下，防火墙的磁盘占用情况，并以此为依据，设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线，就意味着系统遇到了安全或其他方面的问题，需要进一步的检查。
3硬件防火墙的CPU负载
和磁盘使用情况类似，CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员，必须了解硬件防火墙系统CPU负载的正常值是多少，过低的负载值不一定表示一切正常，但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。
4硬件防火墙系统的精灵程序
每台防火墙在正常运行的情况下，都有一组精灵程序（Daemon），比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行，如果发现某些精灵程序没有运行，则需要进一步检查是什么原因导致这些精灵程序不运行，还有哪些精灵程序还在运行中。
5系统文件
关键的系统文件的改变不外乎三种情况：管理人员有目的、有计划地进行的修改，比如计划中的系统升级所造成的修改；管理人员偶尔对系统文件进行的修改；攻击者对文件的修改。
经常性地检查系统文件，并查对系统文件修改记录，可及时发现防火墙所遭到的攻击。此外，还应该强调一下，最好在硬件防火墙配置策略的修改中，包含对系统文件修改的记录。
6异常日志
硬件防火墙日志记录了所有允许或拒绝的通信的信息，是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大，所以，检查异常日志通常应该是一个自动进行的过程。当然，什么样的事件是异常事件，得由管理员来确定，只有管理员定义了异常事件并进行记录，硬件防火墙才会保留相应的日志备查。
上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患，但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要，管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否，甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击，以考核硬件防火墙的能力。

---