硬件防火墙如何配置

一般来说，硬件防火墙的例行检查主要针对以下内容：

1.硬件防火墙的配置文件

不管你在安装硬件防火墙的时候考虑得有多么的全面和严密，一旦硬件防火墙投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。作为网络安全管理人员，最好能够编写一套修改防火墙配置和规则的安全策略，并严格实施。所涉及的硬件防火墙配置，最好能详细到类似哪些流量被允许，哪些服务要用到代理这样的细节。

在安全策略中，要写明修改硬件防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化，并能尽量避免因修改配置所造成的错误和安全漏洞。

2.硬件防火墙的磁盘使用情况

如果在硬件防火墙上保留日志记录，那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录，那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下，磁盘占用量的异常增长很可能表明日志清除过程存在问题，这种情况相对来说还好处理一些。在不保留日志的情况下，如果磁盘占用量异常增长，则说明硬件防火墙有可能是被人安装了Rootkit工具，已经被人攻破。

因此，网络安全管理人员首先需要了解在正常情况下，防火墙的磁盘占用情况，并以此为依据，设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线，就意味着系统遇到了安全或其他方面的问题，需要进一步的检查。

3.硬件防火墙的CPU负载

和磁盘使用情况类似，CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员，必须了解硬件防火墙系统CPU负载的正常值是多少，过低的负载值不一定表示一切正常，但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。

4.硬件防火墙系统的精灵程序

每台防火墙在正常运行的情况下，都有一组精灵程序（Daemon），比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行，如果发现某些精灵程序没有运行，则需要进一步检查是什么原因导致这些精灵程序不运行，还有哪些精灵程序还在运行中。

5.系统文件

关键的系统文件的改变不外乎三种情况：管理人员有目的、有计划地进行的修改，比如计划中的系统升级所造成的修改；管理人员偶尔对系统文件进行的修改；攻击者对文件的修改。

经常性地检查系统文件，并查对系统文件修改记录，可及时发现防火墙所遭到的攻击。此外，还应该强调一下，最好在硬件防火墙配置策略的修改中，包含对系统文件修改的记录。

6.异常日志

硬件防火墙日志记录了所有允许或拒绝的通信的信息，是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大，所以，检查异常日志通常应该是一个自动进行的过程。当然，什么样的事件是异常事件，得由管理员来确定，只有管理员定义了异常事件并进行记录，硬件防火墙才会保留相应的日志备查。

上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患，但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要，管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否，甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击，以考核硬件防火墙的能力。

1. 首先，确定网络设备的位置，确定网络设备的位置，并确定网络流量的流向。

2. 设置防火墙的规则，根据网络流量的流向，对网络流量进行筛选，只允许符合安全策略的流量通过。

3. 启用双向防火墙，双向防火墙能够拦截未经授权的进出网络流量，防止攻击者从外部攻击网络内部设备。

4. 启用端口过滤，可以拦截特定端口的网络流量，防止攻击者通过某些端口攻击网络。

5. 启用访问控制，可以按照指定的安全策略，限制网络中的用户访问网络资源。

6. 启用日志记录，可以记录网络中的流量，方便检查网络的安全状况。

lan口和wan口的配置

路由器的一排网线接口,分为 lan 和 wan .但不是谁生来就是lan口 或者 wan口 .

也没有谁规定就一个wan口 就只有一个.

网口就是网口, 决定它是 lan口 还是 wan口 ,是由我们自己决定的 .　

用这次 openwrt x86的使用, 来讲述一下 lan 和 wan 是如何配置的, 怎么才可以上网, 而防火墙又是什么 .

图1. x86路由器及接线图

这是 x86 的路由器.在刷好 openwrt 的固件后,一开始只有一个口有驱动, 接上网线灯会亮的那个口,就是此刻可以工作的lan口, 把网线的另一端连接电脑, 并且把电脑的IP设为 跟路由器同一网段的ip地址 -->192.168.1.x, 才能进入路由器管理界面 .

图2. openwrt 管理首页

在设置好密码后,就可以用 ssh 进入openwrt *** 作系统, 用以查看配置项 .

配置项:/etc/config/network

在刚刷好固件后, 这台路由器还不能上网, 需要给路由器配置对应的wan 口.

这里就要提一下上网的原理了 .

任何东西都要有回路才能成为一个循环 .电池有正负极,电有零线火线,都需要回路 电流才能流动. 网线也是一样 .

无论是谁进,谁出, 发生数据交换, 总是需要 lan 和 wan 两条线.

你可以是 一个 wan作为统一出口,然后搭配很多个lan作为入口.

你也可以 lan1-wan1 作为网络1,lan2-wan2 作为网络2...等等. 这其实就是归类的意思 .

因为物理网口有5个,你可以按自己的需求进行分配 .

在了解了上面的原理后,开始配置网络接口.

进 网络 -->接口 ,见图3 .

　

图3. 网络接口

从图上可以看到, 我定义了一个wan口, 和 一个 把剩下口都桥接在一起的lan口 .

下面看看lan口怎么配置.

点击 修改. 见图4 .

图4 .lan口修改配置图 .

可以看到,上面一排有 基本设置 高级设置 物理设置 防火墙设置

先看基本设置 要填的参数有 协议 ip地址 等.

作为路由器的lan口,实际上就是你的网关地址,这个地址是固定的,是你访问路由器的地址,也就是平常使用的192.168.1.1,所以协议设置成 静态ip .

再看 物理设置. 见图5.

图5.网口的物理设置

这里就是我们要配置的物理网口 .可以看到我有6个 物理网口. 现在 我将 我的eth0 绑定到 lan 下, 同一个类别下的网口 都能享有 这个类别的配置. 比如6个口均是绑定到lan 下,那么lan的配置 对6个网库均起作用.

在实现了物理口的绑定后,还要设置防火墙. 防火墙其实就是一张黑白名单和上网的权限控制. 它可以规定 谁能上网, 谁不能上网 .

防火墙 见图6.

图6 防火墙配置

防火墙的lan wan规则系统默认已经给了,所以新创建的 lan 还是 wan口 ,只要分配到对应的规则下就可以了 .

以上就是默认lan 口的配置,接下来我们配置wan口.

1.新建接口

2.配置协议

3.绑定物理网口

4.防火墙设置

1.新建接口和配置协议

图7 .在接口中点击 添加新接口 .

图8 .新接口的配置

wan口协议选择 DHCP, 这样就能动态分配到上上级路由过来的ip地址 .然后选择一个需要的物理网口, 点击提交 .

3.绑定物理网口:

图9 .绑定物理网口

这一步在上一步已经做了

4. 防火墙设置

防火墙 这里是一套规则, 你也可以自己创建一套规则 .

做完这个,把网线 接在你配置的网口里面 就能上网了.

图10. 指定防火墙

第二部分: 桥接 .bridge

下面讲怎么配置lan口 和什么是桥接.

在宿舍里,为什么 每个人的电脑网线一插在路由器里就能上网呢? 因为 那是把 剩下的空闲的网口,都桥接在一个lan口下了 .

但是,我这里要先讲一下,怎么再配置一个lan口 和桥接 有什么区别.

分配到lan口的规则上去.

现在,这个 lan1 口就能上网了.回路是和lan共用一个 wan口 .当然你可以自己创建一个wan1 组成一个新的网络lan1-wan1.

但是呢,现在这个样子,它其实是开辟了一个新的网段 .比较复杂,所以下面讲什么是桥接 .

因为不想再创建 lan1, lan2什么的.我只想其它的网口互通就好了,这里就是桥接, 把所有的 网口 都绑定到lan口上去. 所以,我先把lan1 给删了.

然后把你勾上桥接选项,把你想连在一起的口都桥接起来

这样,就不用配置什么 .2 .3网段了,就是 .1网段.现在,你插在那个lan口 都能上网了. 约定俗成 ,我们把第一个口配成 wan口 后面的口配成 lan 口.

---