为您找到与高级安全windows防火墙配置命令是什么相关的共200个结果:
在今天的文章中我们将使用一种完全不同的方式,来实现对新的Windows Server 2008高级防火墙的类似配置,就是使用netsh这个工具以Windows命令行界面(CLI)的方式对防火墙进行配置。选择这种配置方式的理由有很多,让我们一起寻找答案吧。
了解Netsh advfirewall工具
在新的Windows 2008 Server中,你会看到一个更加高级的基于主机的防火墙。在上篇文章中我们已经提到它的一些新功能:
·新的图形化界面—现在通过一个管理控制台单元来配置这个高级防火墙。
·双向保护—对出站、入站通信进行过滤。
·与IPSEC更好的配合—现在防火墙规则和IPSec加密配置被集成到一个界面中。
·高级规则配置—你可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
Netsh是可以用于配置网络组件设置的命令行工具。具有高级安全性的Windows防火墙提供netsh advfirewall工具,可以使用它配置具有高级安全性的Windows防火墙设置。使用netsh advfirewall可以创建脚本,以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows 防火墙设置。还可以使用netsh advfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。
为什么要使用命令行界面来配置一个Windows防火墙?
俗话说,萝卜青菜各有所爱。有的人喜欢使用图形化的管理单元来配置这个新的防火墙,有的人则更愿意通过命令行方式来完成他们的配置工作,理由如下:
·配置更快速—一旦你熟练掌握了如何使用netsh advfirewall命令,在配置防火墙的时候要比使用图形化界面速度快的多。
·可以编写脚本—使用这个工具你可以对一些常用的功能编写脚本。
·在图形化界面不可用时依然可以配置防火墙—和其他命令行工具一样,当图形化界面不可用的时候,例如在Windows Server 2008 Core模式下,你依然能够使用netsh advfirewall工具来对防火墙进行配置。
有哪些命令可用?
Netsh advfirewall的命令非常多,今天我们选择你必须掌握的几个最常见的命令介绍给大家。
1、help命令(或“?”)
虽然简单,但这却可能是最有用的命令。任何时候当你键入“?”命令的时候,你会看到和上下文相关的所有选项,如图1。
图1、netsh advfirewall的和help选项
2、consec(连接安全规则)命令
这个连接规则可以让你创建两个系统之间的IPSEC 。换句话说,consec规则能够让你加强通过防火墙的通信的安全性,而不仅仅是限制或过滤它。
这个命令会将你带入到连接安全配置模式,如下所示:
Netsh advfirewall>consec
Netsh advfirewall consec>
现在如果你键入“?”命令的话,你将会在netsh advfirewall consec中看到六个不同的命令(见图2)。
从这儿你可以看到你可以通过以下命令来修改安全规则:
此上下文中的命令:
·add命令可以让你添加新连接安全规则;
·delete命令让你删除所有匹配的连接安全规则;
·dump命令显示一个配置脚本;
·help可以显示命令列表。
·set命令让你为现有规则的属性设置新值。
图2、netsh advfirewall consec命令选项
show命令
要想查看防火墙现在的状况,你将必须使用这个show命令,再其下提供三个不同的命令可用。
·Show alias为你列出所有定义的别名;
·show helper列出所有顶层帮助者;
·Show mode命令可以钢珠你显示防火墙是在线还是离线。
3、Export命令
这个命令可以让你导出防火墙当前的所有配置到一个文件中。这个命令非常有用,因为你可以备份所有的配置到文件中,如果你对已经作出的配置不满意的话,可以随时使用这个文件来恢复到修改前的状态。
以下是一个应用示例:
netsh advfirewall export “c:advfirewall.wfw”
4、Firewall命令
使用这个命令你可以增加新的入站和出站规则到你的防火墙中。它还可以让你修改防火墙中的规则。
图3、netsh advfirewall firewall
在firewall上下文命令中,你会看到四个重要的命令,分别是:
·Add命令让你增加入站和出站规则;
·Delete命令让你删除一条规则;
·Set命令为现有规则的属性设置新值;
·Show命令将显示一个指定的防火墙规则。
以下是增加和删除一个防火墙规则的示例:
增加一个针对messenger.exe的入站规则
netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:programfilesmessengermsmsgs.exe” action=allow
删除针对本地21端口的所有入站规则:
netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21
5、Import命令
Import命令让你可以从一个文件中导入防火墙的配置。这个命令可以让你把之前你使用export命令导出的防火墙配置再恢复回去。示例如下:
Netsh advfirewall import “c:advfirewall.wfw”
6、Reset
这个命令让你重新设置防火墙策略到默认策略状态。使用这个命令的时候务必谨慎,因为一旦你键入这个命令并按下回车后,它将不再让你确认是否真要重设,直接恢复防火墙的策略。
示例命令如下:
Netsh advfirewall reset
7、Set命令
set命令将允许你修改防火墙的不同设置状态。相关的上下文命令有六个。
图4、netsh advfirewall set
·set allprofiles让你修改所有配置文件中的属性。
·set currentprofile 让你只修改活动配置文件中的属性。
·set domainprofile让你修改域配置文件中的属性。
·set global让你修改防火墙的全局属性。
·set privateprofile让你修改专用配置文件中的属性。
·set publicprofile让你修改公用配置文件中的属性。
·set store让你为当前交互式会话设置策略存储。
以下是使用set命令的一些例子:
·让防火墙关闭所有配置文件:
netsh advfirewall set allprofiles state off
·在所有配置文件中设置默认阻挡入站并允许出站通信:
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
·在所有配置文件中打开远程管理:
netsh advfirewall set allprofiles settings remotemanagement enable
·在所有配置文件中记录被断开的连接:
netsh advfirewall set allprofiles logging droppedconnections enable
8、Show命令
这个show命令将让你可以查看所有不同的配置文件中的设置和全局属性。
总结
在这篇文章中,我们了解了如何使用netsh advfirewall命令配置Windows 2008防火墙的一些基本命令。你可以自己来选择是使用图形界面还是使用命令行方式来配置你的防火墙。如果你掌握了命令行方式下的这些命令,命令行界面是一种快速的配置Windows 2008防火墙的方式
浏览量:2
下载量:0
时间:
防火墙有助于提高计算机的安全性。Windows 防火墙能够限制从其他计算机发送到用户计算机上的信息,这使得用户可以更好地控制其计算机上的数据,并针对那些未经邀请而尝试连接到其计算机的用户或程序(包括病毒和蠕虫)提供了一条防御阵线。
如果您苦于在由于启用防火而增强的安全性与维持系统的效率之间谋求一个平衡点,那么笔者推荐您读一下大师Michael Howard先生的一篇文章来了解一些具体细节信息。Michael向我们展示了您的本地配置和设置的任何组策略是如何影响防火墙,“netsh”命令是怎样用于精确揭示防火墙的内部机理。
Netsh 是一个命令行脚本实用程序,可让用户从本地或远程显示或修改当前运行的计算机的网络配置。Netsh 还提供了允许用户使用批处理模式对指定的计算机运行一组命令的脚本功能。Netsh 实用程序也可以将配置脚本以文本文件保存,以便存档或帮助配置其他服务器。
Netsh实用程序在Windows XP Service Pack 2中得到了极大的增强,包含了新选项的所有运行方式。通过在笔者计算机上的命令运行结果可以看出,Netsh命令相当友好。
如何启动这个命令就不用说了吧。
C:> netsh firewall show?
下面的命令您是可以用于查看防火墙的的配置情况:
show allowedprogram –显示被允许的程序配置
show config - 显示防火墙的配置
show currentprofile -显示 Windows 防火墙的当前配置文件.
show icmpsetting -显示 Windows 防火墙中的 ICMP 配置
show logging -显示 Windows 防火墙中的日志记录配置
show multicastbroadcastresponse –显示防火墙的组播/广播响应配置
show notifications -显示 Windows 防火墙中的通知配置
show opmode -显示 Windows 防火墙中的操作配置
show portopening -显示 Windows 防火墙中的端口配置
show service -显示 Windows 防火墙中的服务配置
show state -显示 Windows 防火墙的当前状态
当然,如果想精确配置防火墙,请使用如下的命令:
netsh firewall set allowedprogram 编辑 Windows 防火墙中的允许程序配置
netsh firewall set icmpsettings 编辑 Windows 防火墙中的 ICMP 配置
netsh firewall set logging 编辑 Windows 防火墙中的日志记录配置
netsh firewall set notifications 编辑 Windows 防火墙中的通知配置
netsh firewall set opmode 编辑 Windows 防火墙中的操作配置
netsh firewall set portopening 编辑 Windows 防火墙中的端口配置
netsh firewall set service 编辑 Windows 防火墙中的服务配置
掌握了这些强大的工具,我们再配置起防火墙来就轻松多了
浏览量:2
下载量:0
时间:
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。
一、 两种设备产生和存在的背景不同
1.两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2.根本目的不同
路由器的根本目的是:保持网络和数据的"通"。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
下图是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测 TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口
浏览量:2
下载量:0
时间:
微软的Windows Server 2003中防火墙的功能如此之简陋,让很多系统管理员将其视为鸡肋,它一直是一个简单的、仅支持入站防护、基于主机的状态防火墙.而随着Windows Server 2008的日渐向我们走近,其内置的防火墙功能得到了巨大的改进.下面让我们一起来看一下这个新的高级防火墙将如何帮助我们防护系统,以及如何使用管理控制台单元来配置它.
为什么你应该使用这个Windows的基于主机的防火墙?
今天许多公司正在使用外置安全硬件的方式来加固它们的网络。 这意味着,它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁,保护它们自然免受互联网上恶意攻击者的入侵。但是,如果一个攻击者能够攻 破外围的防线,从而获得对内部网络的访问,将只有Windows认证安全来阻止他们来访问公司最有价值的资产-它们的数据。
这是因为大多数IT人士没有使用基于主机的防火墙来加固他们的服务器的安全。为什么会出现这样的情况呢?因为多数IT人士认为,部署基于主机的防火墙所带来的麻烦要大于它们带来的价值。
我希望在您读完这篇文章后,能够花一点时间来考虑Windows这个基于主机的防火墙。在Windows Server 2008中,这个基于主机的防火墙被内置在Windows中,已经被预先安装,与前面版本相比具有更多功能,而且更容易配置。它是加固一个关键的基础服务器的 最好方法之一。具有高级安全性的 Windows 防火墙结合了主机防火墙和IPSec。与边界防火墙不同,具有高级安全性的 Windows 防火墙在每台运行此版本 Windows 的计算机上运行,并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。它还提供计算机到计算机的连接安全,使您可以对通信要求身份验证和数据保护。
这个Windows Server 2008中的内置防火墙现在“高级”了。这不仅仅是我说它高级,微软现在已经将其称为高级安全Windows防火墙(简称WFAS)。
以下是可以证明它这个新名字的新功能:
1、新的图形化界面。
现在通过一个管理控制台单元来配置这个高级防火墙。
2、双向保护。
对出站、入站通信进行过滤。
3、与IPSEC更好的配合。
具有高级安全性的Windows防火墙将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。
4、高级规则配置。
你可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
传入数据包到达计算机时,具有高级安全性的Windows防火墙检查该数据包,并确定它是否符合防火墙规则中指 定的标准。如果数据包与规则中的标准匹配,则具有高级安全性的Windows防火墙执行规则中指定的操作,即阻止连接或允许连接。如果数据包与规则中的标 准不匹配,则具有高级安全性的Windows防火墙丢弃该数据包,并在防火墙日志文件中创建条目(如果启用了日志记录)。
对规则进行配置时,可以从各种标准中进行选择:例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多,具有高级安全性的Windows防火墙匹配传入流量就越精细。
通过增加双向防护功能、一个更好的图形界面和高级的规则配置,这个高级安全Windows防火墙正在变得和传统的基于主机的防火墙一样强大,例如ZoneAlarm Pro等。
我知道任何服务器管理员在使用一个基于主机的防火墙时首先想到的是:它是否会影响这个关键服务器基 础应用的正常工作?然而对于任何安全措施这都是一个可能存在的问题,Windows 2008高级安全防火墙会自动的为添加到这个服务器的任何新角色自动配置新的规则。但是,如果你在你的服务器上运行一个非微软的应用程序,而且它需要入站 网络连接的话,你将必须根据通信的类型来创建一个新的规则。
在以前Windows Server中,你可以在去配置你的网络适配器或从控制面板中来配置Windows防火墙。这个配置是非常简单的。
对于Windows高级安全防火墙,大多数管理员可以或者从Windows服务器管理器配置它,或者从只有Windows高级安全防火墙MMC管理单元中配置它。以下是两个配置界面的截图:
图1、Windows Server 2008服务器管理器
图2、Windows 2008高级安全防火墙管理控制台
我发现启动这个Windows高级安全防火墙的最简单最快速的方法是,在开始菜单的搜索框中键入‘防火墙’,如下图:
图3、快速启动Windows 2008高级安全防火墙管理控制台的方法
由于使用这个新的防火墙管理控制台你可以配置如此众多的功能,我不可能面面俱道的提到它们。如果你曾经看过Windows 2003内置防火墙的配置图形界面,你会迅速的发现在这个新的Windows高级安全防火墙中躲了如此众多的选项。下面让我选其中一些最常用的功能来介绍给大家。
默认情况下,当你第一次进入Windows高级安全防火墙管理控制台的时候,你将看到Windows高级安全防火墙默认开启,并且阻挡不匹配入站规则的入站连接。此外,这个新的出站防火墙默认被关闭。
你将注意的其他事情是,这个Windows高级安全防火墙还有多个配置文件供用户选择。
图4、在Windows 2008高级安全防火墙中提供的配置文件
在这个Windows高级安全防火墙中有一个域配置文件、专用配置文件和公用配置文件。配置文件是一种分组设置的方法,如防火墙规则和连接安全规则,根据计算机连接的位置将其应用于该计算机。例如根据你的计算机是在企业局域网中还是在本地咖啡店中。
在我看来,在我们讨论过的Windows 2008高级安全防火墙的所有改进中,意义最重大的改进当属更复杂的防火墙规则。看一下在Windows Server 2003防火墙增加一个例外的选项,如下图:
图5、Windows 2003 Server防火墙例外窗口
再来对比一下Windows 2008 Server中的配置窗口。
图6、Windows 2008 Server高级防火墙例外设置窗口
注意协议和端口标签只是这个多标签窗口中的一小部分。你还可以将规则应用到用户及计算机、程序和服务以及IP地址范围。通过这种复杂的防火墙规则配置,微软已经将Windows高级安全防火墙朝着微软的IAS Server发展。
Windows高级安全防火墙所提供的默认规则的数量也是令人吃惊的。在Windows 2003 Server中,只有三个默认的例外规则。而Windows 2008高级安全防火墙提供了大约90个默认入站防火墙规则和至少40个默认外出规则。
图7、Windows 2008 Server高级防火墙默认入站规则
假如说你已经在你的Windows 2008 Server上安装了Windows版的Apache网站服务器。如果你已经使用了Windows内置的IIS网站服务器,这个端口自动会为你打开。但是,由于你现在使用一个来自第三方的网站服务器,而且你打开了入站防火墙,你必须手动的打开这个窗口。
以下是步骤:
·识别你要屏蔽的协议-在我们的例子中,它是TCP/IP(与之对应的则是UDP/IP或ICMP)。
·识别源IP地址、源端口号、目的IP地址和目的端口。我们进行的Web通信是来自于任何IP地址和任何端口号并流向这个服务器80端口的数据通信。(注意,你可以为一个特定的程序创建一条规则,诸如这儿的apache HTTP服务器)。
·打开Windows高级安全防火墙管理控制台。
·增加规则-点击在Windows高级安全防火墙MMC中的新建规则按钮,开始启动新规则的向导。
图8、Windows 2008 Server高级防火墙管理控制台-新建规则按钮
·为一个端口选择你想要创建的规则。
·配置协议及端口号-选择默认的TCP协议,并输入80作为端口,然后点击下一步。
·选择默认的“允许连接”并点击下一步。
·选择默认的应用这条规则到所有配置文件,并点击下一步。
·给这个规则起一个名字,然后点击下一步。
这时候,你将得到如下图的一条规则:
图9、创建规则后的Windows 2008 Server高级防火墙管理控制台
结论:大有改进 值得一试
具有防火墙配置文件、复杂的规则设置和原先30倍数量的默认规则,还有本文中未提到很多高级安全功 能,Windows 2008 Server高级安全防火墙的确名副其实,真正是一个微软所说的高级防火墙。我相信这个内置、免费、高级的基于主机的防火墙将确保Windows Server未来变得更加安全。但是,如果你不使用它,它不会对你有任何帮助。因此我希望你今天就来体验一下这个新的Windows高级防火墙
浏览量:2
下载量:0
时间:
浏览量:2
下载量:0
时间:
导语:以下是读文网OMG小编为大家整理的防火墙的知识,希望你喜欢阅读:
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。
一、 两种设备产生和存在的背景不同
1.两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2.根本目的不同
路由器的根本目的是:保持网络和数据的"通"。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
下面是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用时也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
谢谢观赏
浏览量:2
下载量:0
时间:
这篇Windows 2003安全配置规则是读文网小编特地为大家整理的,希望对大家有所帮助!
一、物理安全
服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。
二、停止Guest帐号
在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。
三、限制用户数量
去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。
很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。
四、多个管理员帐号
管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。
同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。
五、管理员帐号改名
在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。
不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。
六、陷阱帐号
和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
七、更改文件共享的默认权限
将共享文件的权限从“Everyone"更改为"授权用户”,”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。
八、安全密码
安全密码的定义是:安全期内无法解除出来的密码就是安全密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能解除出来(Windows安全策略默认42天更改一次密码,如果设置了的话)。
九、屏幕保护 / 屏幕锁定 密码
防止内部人员破坏服务器的一道屏障。在管理员离开时,自动加载。
十、使用NTFS分区
比起FAT文件系统,NTFS文件系统可以提供权限设置、加密等更多的安全功能。
十一、防病毒软件
Windows操作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !
十二、备份盘的安全
一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘放在安全的地方。不能把备份放置在当前服务器上,那样的话还不如不做备份。(二) Windows Server 2003的安全结构体系Windows Server 2003是目前最为成熟的网络服务器平台,安全性相对于Windows 2000有很大的提高,本节就从Windows 2003的安全结构体系入手,带领大家学习Windows 2003的安全结构特性。
浏览量:2
下载量:0
时间:
这篇Windows XP防火墙怎样配置是读文网小编特地为大家整理的,希望对大家有所帮助!
Windows XP Service Pack 2 (SP2) 包含新的 Windows 防火墙,它取代了 Internet 连接防火墙 (ICF)。Windows 防火墙是一个基于主机的状态防火墙,它会断开非请求的传入通信,这些通信指并非为响应计算机的请求而发送的通信(请求通信)或被指定为可允许的非请求通信(例外通信)。Windows 防火墙针对依靠非请求传入通信攻击网络计算机的恶意用户和程序提供了一定程度的保护。
在 Windows XP SP2 中有许多关于 Windows 防火墙的新功能,其中包括:
默认情况下对计算机的所有连接都启用
应用于所有连接的新全局配置选项
用于本地配置的一组新对话框
新的操作模式
启动安全性
可按范围指定例外通信
可按应用程序文件名指定例外通信
对 Internet 协议版本 6 (IPv6) 通信的内置支持
关于 Netsh 和组策略的新配置选项
有关关于这些更改的更多信息,请参阅 2004 年 1 月 Cable Guy 的文章 New Networking Features in Windows XP Service Pack 2(Windows XP Service Pack 2 中的新的网络功能)。
这篇文章详细说明了用于手动配置新 Windows 防火墙的对话框组。不同于装有 Service Pack 1 (SP1) 和未装 Service Pack 的 Windows XP 中的 ICF,这些配置对话框对 IPv4 和 IPv6 通信都可以进行配置。
在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,ICF 的设置包括一个复选框(连接属性的“高级”选项卡上的“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框)和一个可用于配置例外通信、日志设置和允许的 ICMP 通信的“设置”按钮。
在 Windows XP SP2 中,连接属性的“高级”选项卡上的复选框被一个“设置”按钮所取代,使用该按钮可以配置常规设置、程序和服务的权限、连接专用设置、日志设置和允许的 ICMP 通信。“设置”按钮可启动新的 Windows 防火墙控制面板小程序,您也可以从控制面板的“网络和 Internet 连接”和“安全中心”分类中启用该小程序。
新的“Windows 防火墙”对话框包括下列选项卡:
常规
例外
高级
“常规”选项卡
“常规”选项卡及其默认设置显示在下图中。
在“常规”选项卡中,您可以进行下列选择:
打开(推荐)
选择对“高级”选项卡中选定的所有网络连接启用 Windows 防火墙。启用 Windows 防火墙后将只允许请求的和例外的传入通信。例外通信在“例外”选项卡中进行配置。
不允许例外
点击该选项将只允许请求的传入通信。例外传入通信则不被允许。不管“高级”选项卡中的设置如何,“例外”选项卡中的设置将被忽略,所有的网络连接都将得到保护。
关闭(不推荐)
选择该选项将禁用 Windows 防火墙。不推荐使用此选项,尤其是对于可以直接从 Internet 进行访问的网络连接,除非您已经使用了第三方的主机防火墙产品。
请注意,对于所有运行带有 SP2 的 Windows XP 的计算机连接和新创建的连接,Windows 防火墙的默认设置都是“打开(推荐)”。这会影响那些依赖非请求传入通信的程序或服务的通讯。在这种情况下,您必须识别出哪些程序不再运行,并且将这些程 序或其通信添加为例外通信。许多程序,诸如 Internet 浏览器和电子邮件客户端(如 Outlook Express),并不依赖非请求通信,并且可以在 Windows 防火墙启用时正常运行。
如果您使用组策略来对运行装有 SP2 的 Windows XP 的计算机配置 Windows 防火墙,您配置的组策略设置可能不允许本地配置。在这种情况下,“常规”选项卡和其他选项卡中的选项可能被灰显并不可用,即使您登录时使用的帐户是本地管 理员组的成员(本地管理员)也是如此。http://www.woaidiannao.com
基于组策略的 Windows 防火墙设置允许您配置域配置文件(当您连接到一个包括域控制器的网络时将应用的一组 Windows 防火墙设置)和标准配置文件(当您连接到一个不包括域控制器的网络(如 Internet)时将应用的一组 Windows 防火墙设置)。配置对话框只显示了当前应用的配置文件的 Windows 防火墙设置。要查看当前没有应用的配置文件的设置,请使用netsh firewall show 命令。要更改当前没有应用的配置文件的设置,请使用netsh firewall set 命令。
“例外”选项卡
“例外”选项卡及其默认设置请见下图。
在“例外”选项卡中,您可以启用或禁用一个现有的程序或服务,或者维护用于定义例外通信的程序和服务列表。在“常规”选项卡中选定“不允许例外”选项后,例外通信将不被允许。
使用装有 SP1 和未装 Service Pack 的 Windows XP 时,您只有通过传输控制协议 (TCP) 或用户数据报协议 (UDP) 端口来定义例外通信。使用装有 SP2 的 Windows XP,您可以通过 TCP 和 UDP 端口或者使用某个程序(应用程序或服务)的文件名来定义例外通信。在程序的 TCP 或 UDP 端口未知时或者在程序启动被动态定义时,这种配置灵活性将使得配置例外通信更加容易。
有一组预定义的程序,其中包括:
文件和打印共享
远程协助(默认启用)
远程桌面
UPnP 框架
这些预定义程序和服务是不能被删除的。
如果组策略允许,您可以通过点击“添加程序”来指定一个程序名,从而创建附加例外;也可以通过点击“AddPort”来指定一个 TCP 或 UDP 端口,从而创建例外。
当您点击“添加程序”时,将显示“添加程序”对话框,您可以从中选择一个程序或者浏览查找一个程序文件名。下图显示了一个示例。
当您点击“AddPort”时,将显示“添加端口”对话框,您可以从中配置 TCP 或 UDP 端口。下图显示了一个示例。
新的 Windows 防火墙允许您指定例外通信的范围。这个范围定义了哪一部分的网络连接产生的例外通信是被允许的。要定义一个程序或端口的范围,请点击“更改范围”。下图显示了一个示例。
在定义一个程序或端口的范围时,您有三个选项可以选择:
任意一台计算机(包括 Internet 上的计算机)
从任何 IPv4 地址发出的例外通信都是被允许的。这种设置可能会使您的计算机容易受到 Internet 上的恶意用户或程序的攻击。电脑
仅限我的网络(子网)
只有从符合以下条件的 IPv4 地址发出的例外通信才是被允许的:与接收通信的网络连接所连的本地网络段(子网)相匹配的 IPv4 地址。比如,如果网络连接所配置的 IPv4 地址是 ,并带有子网掩码 .0.0,那么只有从 .0.1 到 .255.254 的 IPv4 地址发出的例外通信才是被允许的。
自定义列表
您可以指定一个或多个用逗号分割的 IPv4 地址或 IPv4 地址范围。IPv4 地址范围通常对应于子网。对 IPv4 地址来说,用点分十进制记法键入 IPv4 地址。对 IPv4 地址范围来说,您可以使用点分十进制子网掩码或前缀长度来指定一个范围。当您使用点分十进制子网掩码时,您可以把范围指定为一个 IPv4 网络 ID(如 .0/.255.0)或者使用一个在范围内的 IPv4 地址(如 .231/.255.0)来指定范围。当您使用网络前缀长度时,您可以将范围指定为一个 IPv4 网络 ID(如 .0/24)或者使用一个在范围内的 IPv4 地址(如 .231/24)来指定范围。下面是自定义列表的一个示例:10.91.12.56,10.7.14.9/.255.0,10.116.45.0 /.255.0,172.16.31.11/24,172.16.111.0/24。
您不能够为 IPv6 通信指定自定义列表。
在您想允许本地网络中的计算机(它们都连接在同一个子网中)访问一个程序或服务,而不允许潜在的恶意 Internet 用户访问时,“仅限我的网络(子网)”范围会很有用。
程序或端口一旦被添加,它就在“程序和服务”列表中被默认禁用。
对于在“高级”选项卡中选定的所有连接,所有在“例外”选项卡中启用的程序和服务都将启用。
“高级”选项卡
下图显示了“高级”选项卡。
“高级”选项卡包括下面几个部分:
网络连接设置
安全日志
ICMP
默认设置
网络连接设置
在“网络连接设置”中,您可以:
指定一组用于启用 Windows 防火墙的接口。如要启用,请选择网络连接名称旁边的复选框。如要禁用,请清除复选框。默认情况下,所有的网络连接都启用了 Windows 防火墙。如果某个网络连接没有出现在此列表中,那么它就不是一个标准网络连接。这方面的例子包括一些 Internet 服务提供商 (ISP) 提供的自定义拨号程序。
点击一个网络连接的名称,然后点击“设置”,即可以配置这个网络连接的高级设置。
如果您清除了“网络连接设置”中的所有复选框,Windows 防火墙将不再保护您的计算机,不管您是否已经在“常规”选项卡中选择了“打开(推荐)”都是如此。如果您在“常规”选项卡中选择了“不允许例外”,“网络 连接设置”中的设置就会被忽略,在这种情况下所有的接口都将被保护。计算机基础知识
当您点击“设置”时,“高级设置”对话框即会显示,如下图所示。
在“高级设置”对话框中,您可以在“服务”选项卡中(仅通过 TCP 或 UDP 端口)配置特定的服务,或者在“ICMP”选项卡中启用特定的 ICMP 通信类型。这两个选项卡等同于在装有 SP1 和未装 Service Pack 的 Windows XP 中用于配置 ICF 的设置选项卡。
安全日志
在“安全日志”中,点击“设置”,在“日志设置”对话框中指定 Windows 防火墙日志的配置,如下图所示。
在“日志设置”对话框中,您可以配置是否记录丢弃的数据包和成功的连接,并且指定日志文件(默认设置为 Systemroot)的名称和位置及其最大的数据量。
ICMP
在“ICMP”中,点击“设置”来指定在“ICMP”对话框中被允许的 ICMP 通信类型,如下图所示。
在“ICMP”对话框中,您可以启用或禁用传入 ICMP 消息的类型,Windows 防火墙允许所有在“高级”选项卡中选定的连接使用这些消息。ICMP 消息被用来进行诊断、报告错误条件和进行配置。默认情况下,列表中的任何 ICMP 消息都不被允许。
解决连接问题的一个常用方法就是使用 Ping 工具来 Ping 您试图连接的计算机的地址。在 Ping 的时候,您发送一个 ICMP Echo 消息并收到一个 ICMP Echo Reply 消息。默认情况下,Windows 防火墙不允许传入 ICMP Echo 消息,因此计算机就不能回送一个 ICMP Echo Reply。要配置 Windows 防火墙以使其允许传入 ICMP Echo 消息,您必须启用“允许传入的回显请求”设置。
默认设置
点击“恢复默认值”来将 Windows 防火墙重置为它的原始安装状态。当您点击“恢复默认值”时,Windows 防火墙在更改设置之前会提示您对操作进行确认。
浏览量:2
下载量:0
时间:
在路由器上配置一个登录帐户
强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号。这样做,意味着你需要用户和口令来获得访问权。
除此之外,为用户名使用一个秘密口令,而不仅有一个常规口令。它用MD5加密方法来加密口令,并且大大提高了安全性。举例如下:
Router(config)# username root secret My$Password
在配置了用户名后,你必须启用使用该用户名的端口。举例如下: Router(config)# line con 0
Router(config-line)# login local
Router(config)# line aux 0
Router(config-line)# login local
Router(config)# line vty 0 4
Router(config-line)# login local
在路由器上设置一个主机名
我猜测路由器上缺省的主机名是router。你可以保留这个缺省值,路由器同样可以正常运行。然而,对路由器重新命名并唯一地标识它才有意 义。举例如下:
Router(config)# hostname Router-Branch-23
除此之外,你可以在路由器上配置一个域名,这样它就知道所处哪个DNS域中。举例如下:
Router-Branch-23(config)# ip domain name TechRepublic.com
为进入特权模式设置口令
当谈到设置进入特权模式的口令时,许多人想到使用enable password命令。然而,代替使用这个命令,我强烈推荐使用enable secret命令。
这个命令用MD5加密方法加密口令,所以提示符不以明文显示。举例如下:
Router(config)# enable secret My$Password
加密路由器口令
Cisco路由器缺省情况下在配置中不加密口令。然而,你可以很容易地改变这一点。举例如下:
Router(config)# service password-encryption
禁用Web服务
Cisco路由器还在缺省情况下启用了Web服务,它是一个安全风险。如果你不打算使用它,最好将它关闭。举例如下:
Router(config)# no ip http server
配置DNS,或禁用DNS查找
让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下,如果在特权模式下误输入了一个命令,路由器认为你试图Telnet到一个远程 主机。然而它对你输入的内容却执行DNS查找。
如果你没有在路由器上配置DNS,命令提示符将挂起直到DNS查找失败。由于这个原因,我建议使用下面两个方法中的一个。
一个选择是禁用DNS。做法是:
Router(config)# no ip domain-lookup
或者,你可以正确地配置DNS指向一台真实的DNS服务器。
Router(config)# ip name-server
配置命令别名
许多网络管理员都知道在路由器上配置命令的缩写(也就是别名)。举例如下:
Router(config)# alias exec s sh run
这就是说你现在可以输入s,而不必输入完整的show running-configuration命令。
设置路由器时钟,或配置NTP服务器
多数Cisco设备没有内部时钟。当它们启动时,它们不知道时间是多少。即使你设置时间,如果你将路由器关闭或重启,它不会保留该信息。
首先设置你的时区和夏令时。例子如下:
Router(config)# clock timezone CST -6
Router(config)# clock summer-time CDT recurring
然后,为了确保路由器的事件消息显示正确的时间,设置路由器的时钟,或者配置一个NTP服务器。设置时钟的例子如下:
Router# clock set 10:54:00 Oct 5 2005
如果你已经在网络中有了一个NTP服务器(或可以访问Internet的路由器),你可以命令路由器将之作为时间源。这是你最好的选择,当路由器启动时,它将通过NTP服务器设置时钟。举例如下:
Router(config)# ntp server 132.163.4.101
不让日志消息打扰你的配置过程
Cisco IOS中另一个我认为的小毛病就是在我配置路由器时,控制台界面就不断弹出日志消息(可能是控制台端口,AUX端口或VTY端口)。要预 防这一点,你可以这样做。
所以在每一条端口线路上,我使用日志同步命令。举例如下:
Router(config)# line con 0
Router(config-line)# logging synchronous
Router(config)# line aux 0
Router(config-line)# logging synchronous
Router(config)# line vty 0 4
Router(config-line)# logging synchronous
除此之外,你可以在端口上修改这些端口的执行超时时间。例如,我们假设你想禁用VTY线路上默认的十分钟超时时间。在线路配置模式下使用 exec-timeout 0 0命令,使路由器永不退出。
在路由器缓冲区或系统日志服务器中记录系统消息
捕获路由器的错误和事件以及监视控制台是解决问题的关键。默认情况下,路由器不会将缓冲的事件记录发送到路由器内存中。
然而,你可以配置路由器将缓冲的事件记录发送到内存。举例如下:
Router(config)# logging buffered 16384
你还可以将路由器事件发送到一个系统日志服务器。由于该服务器处在路由器外部,就有一个附加的优点:即使路由器断电也会保留事件记录 。
浏览量:2
下载量:0
时间:
cisco思科公司是全球领先的网络解决方案供应商,其出产的设备配置起来也跟别的不太一样,下面是Cisco路由器交换机防火墙配置命令详解,希望对你有所帮助。
路由器显示命令
router#show run ;显示配置信息
router#show inte***ce ;显示接口信息
router#show ip route ;显示路由信息
router#show cdp nei ;显示邻居信息
router#reload;重新起动#p#副标题#e#
路由器口令设置
router>enable ;进入特权模式
router#config terminal ;进入全局配置模式
router(config)#hostname ;设置交换机的主机名
router(config)#enable secret xxx ;设置特权加密口令
router(config)#enable password xxb ;设置特权非密口令
router(config)#line console 0 ;进入控制台口
router(config-line)#line vty 0 4 ;进入虚拟终端
router(config-line)#login ;要求口令验证
router(config-line)#password xx ;设置登录口令xx
router(config)#(Ctrl+z) ; 返回特权模式
router#exit ;返回命令
路由器配置
router(config)#int s0/0 ;进入Serail接口
router(config-if)#no shutdown ;激活当前接口
router(config-if)#clock rate 64000 ;设置同步时钟
router(config-if)#ip address ;设置IP地址
router(config-if)#ip address second ;设置第二个IP
router(config-if)#int f0/0.1 ;进入子接口
router(config-subif.1)#ip address ;设置子接口IP
router(config-subif.1)#encapsulation dot1q ;绑定vlan中继协议
router(config)#config-register 0x2142 ;跳过配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引导
路由器文件操作
router#copy running-config startup-config ;保存配置
router#copy running-config tftp ;保存配置到tftp
router#copy startup-config tftp ;开机配置存到tftp
router#copy tftp flash: ;下传文件到flash
router#copy tftp startup-config;下载配置文件
ROM状态
Ctrl+Break ;进入ROM监控状态
rommon>confreg 0x2142 ;跳过配置文件
rommon>confreg 0x2102 ;恢复配置文件
rommon>reset;重新引导
rommon>copy xmodem: flash: ;从console传输文件
rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin ;指定下载的文件
rommon>tftpdnld ;从tftp下载
rommon>dir flash: ;查看闪存内容
rommon>boot ;引导IOS
Cisco路由器交换机防火墙配置命令详解的相关
浏览量:2
下载量:0
时间:
通常系统都有自带防火墙,防火墙的存在让系统的安全有了保障,下面读文网小编要给大家介绍的是如何使用iptables命令为Linux系统配置防火墙,一起来学习下吧。
通过本教程操作,请确认您能使用linux本机。如果您使用的是ssh远程,而又不能直接操作本机,那么建议您慎重,慎重,再慎重!
我们来配置一个filter表的防火墙。
代码如下:
[root@tp ~]# iptables -P INPUT DROP
[root@tp ~]# iptables -P OUTPUT ACCEPT
[root@tp ~]# iptables -P FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃)。应该说这样配置是很安全的。我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过。
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过。
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加。但如果你只想要有限的几个规则是,如只做WEB服务器。还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了。因为你没有设置任何规则。
怎么办,去本机操作呗!
浏览量:2
下载量:0
时间:
思科公司制造的路由器、交换机和其他设备承载了全世界80%的互联网通信,成为了网络应用的成功实践者之一,那么你知道Cisco PIX防火墙及网络安全怎么配置吗?下面是读文网小编整理的一些关于Cisco PIX防火墙及网络安全怎么配置的相关资料,供你参考。
随着国际互连网的发展,一些企业建立了自己的INTRANET,并通过专线与INTERNET连通。为了保证企业内部网的安全,防止非法入侵,需要使用专用的防火墙计算机。路由器防火墙只能作为过滤器,并不能把内部网络结构从入侵者眼前隐藏起来。只要允许外部网络上的计算机直接访问内部网络上的计算机,就存在着攻击者可以损害内部局域网上机器的安全性,并从那里攻击其他计算机的可能性。
大多数提供代理服务的专用防火墙机器是基于UNIX系统的,这些操作系统本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange,私有Internet交换)防火墙,它运行自己定制的操作系统,事实证明,它可以有效地防止非法攻击。PIX防火墙要求有一个路由器连接到外部网络,如附图所示。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部地址,使用他们来与外部网络通信。内部网络则配置有一个适合内部网络号方案的IP地址。PIX的主要工作是在内部计算机需要与外部网络进行通信时,完成内部和外部地址之间的映射。
配置好PIX防火墙后,从外部世界看来,内部计算机好象就是直接连接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主机传送信息包需要用到MAC地址。为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的,PIX运行了代理ARP,代理ARP给外部网络层IP地址指定数据链路MAC地址,这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。大多数情况下,与外部网络的通信是从内部网络中发出的。由于PIX是对信息包进行操作,而不是在应用过程级(代理服务器则采用这种方法),PIX既可以跟踪UDP会话,也可以跟踪TCP连接。当一个计算机希望同外部计算机进行通信时,PIX记录下内部来源地址,然后从外部地址库分配一个地址,并记录下所进行的转换。这就是人们常说的有界NAT(stateful NAT),这样,PIX就能记住它在同谁进行交谈,以及是哪个计算机首先发起的对话。只有已被确认的来自外部网络的信息包才会运行,并进入内部网络。
不过,有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的服务包括电子邮件、WWW服务、以及FTP服务。PIX给一个内部地址硬编码一个外部地址,这个地址是不会过期的。在这种情况下,用到对目标地址和端口号的普通过滤。除非侵入PIX本身,外部用户仍然是无法了解内部网络结构的。在不了解内部网络结构的情况下,恶意用户就无法从内部主机向内部网络实施攻击。
PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP地址电子欺骗的方法早已公布,所以,入侵者已经有可能通过这种方法,控制住一个现成的TCP连接,然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点,入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的,因为每次初始化连接时,大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号,这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。
配置PIX防火墙是一个比较直接的工作,在提供相同级别的安全服务情况下,PIX的配置相比设置代理服务器要简单的多。从理论上讲,所需做的就是指定一个IP地址和一个用来对外部进行访问的地址库,一个针对内部连接的IP地址和网络掩吗、RIP、超时以及其他附属安全信息。下面介绍一个PIX防火墙实际配置案例,供大家参考。因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。
一.PIX 防火墙
ip address outside 131.1.23.2
https://设置PIX防火墙的外部地址
ip address inside 10.10.254.1
https://设置PIX防火墙的内部地址
global 1 131.1.23.10-131.1.23.254
https://设置一个内部计算机与INTERNET
上计算机进行通信时所需的全局地址池
nat 1 10.0.0.0
https://允许网络地址为10.0.0.0
的网段地址被PIX翻译成外部地址
static 131.1.23.11 10.14.8.50
https://网管工作站固定使用的外部地址为131.1.23.11
conduit 131.1.23.11514 udp
131.1.23.1 255.255.255.255
https://允许从RTRA发送到到
网管工作站的系统日志包通过PIX防火墙
mailhost 131.1.23.10 10.10.254.3
https://允许从外部发起的对
邮件服务器的连接(131.1.23.10)
telnet 10.14.8.50
https://允许网络管理员通过
远程登录管理IPX防火墙
syslog facility 20.7
syslog host 10.14.8.50
https://在位于网管工作站上的
日志服务器上记录所有事件日志
二.路由器RTRA
---- RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。
no service tcp small-servers
https://阻止一些对路由器本身的攻击
logging trap debugging
https://强制路由器向系统日志服务器
发送在此路由器发生的每一个事件,
包括被存取列表拒绝的包和路由器配置的改变;
这个动作可以作为对系统管理员的早期预警,
预示有人在试图攻击路由器,或者已经攻入路由器,
正在试图攻击防火墙
logging 131.1.23.11
https://此地址是网管工作站的外部地址,
路由器将记录所有事件到此
主机上enable secret quduwenxxxx
interface Ethernet 0
ip address 131.1.23.1 255.255.255.0
interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in
https://保护PIX防火墙和HTTP/FTP
服务器以及防卫欺骗攻击(见存取列表)
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
https:// 禁止任何显示为来源于路由器RTRA
和PIX防火墙之间的信息包,这可以防止欺骗攻击
access-list 110 deny ip any host 131.1.23.2 log
https://防止对PIX防火墙外部接口的直接
攻击并记录到系统日志服务器任何企图连接
PIX防火墙外部接口的事件r
access-list 110 permit tcp any
131.1.23.0 0.0.0.255 established
https://允许已经建立的TCP会话的信息包通过
access-list 110 permit tcp any host 131.1.23.3 eq ftp
https://允许和FTP/HTTP服务器的FTP连接
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
https://允许和FTP/HTTP服务器的FTP数据连接
access-list 110 permit tcp any host 131.1.23.2 eq www
https://允许和FTP/HTTP服务器的HTTP连接
access-list 110 deny ip any host 131.1.23.2 log
https://禁止和FTP/HTTP服务器的别的连接
并记录到系统日志服务器任何
企图连接FTP/HTTP的事件
access-list 110 permit ip any 131.1.23.0 0.0.0.255
https://允许其他预定在PIX防火墙
和路由器RTRA之间的流量
line vty 0 4
login
password quduwenxxx
access-class 10 in
https://限制可以远程登录到此路由器的IP地址
access-list 10 permit ip 131.1.23.11
https://只允许网管工作站远程登录到此路由器,
当你想从INTERNET管理此路由器时,
应对此存取控制列表进行修改
三. 路由器RTRB
---- RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口.
logging trap debugging
logging 10.14.8.50
https://记录此路由器上的所有活动到
网管工作站上的日志服务器,包括配置的修改
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
https://允许通向网管工作站的系统日志信息
access-list 110 deny ip any host 10.10.254.2 log
https://禁止所有别的从PIX防火墙发来的信息包
access-list permit tcp host 10.10.254.3
10.0.0.0 0.255.255.255 eq smtp
https://允许邮件主机和内部邮件服务器的SMTP邮件连接
access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255
https://禁止别的来源与邮件服务器的流量
access-list deny ip any 10.10.254.0 0.0.0.255
https://防止内部网络的信任地址欺骗
access-list permit ip 10.10.254.0
0.0.0.255 10.0.0.0 0.255.255.255
https://允许所有别的来源于PIX防火墙
和路由器RTRB之间的流量
line vty 0 4
login
password quduwenxxx
access-class 10 in
https://限制可以远程登录到此路由器上的IP地址
access-list 10 permit ip 10.14.8.50
https://只允许网管工作站远程登录到此路由器,
当你想从INTERNET管理此路由器时,
应对此存取控制列表进行修改
---- 按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上。
看过文章“Cisco PIX防火墙及网络安全怎么配置”
浏览量:2
下载量:0
时间:
防火墙也是要配置的,那么防火墙的配置命令是怎么样的呢?下面由读文网小编给你做出详细的防火墙配置命令介绍介绍!希望对你有帮助!
1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上,参见图1。
2.打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
3.运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
4.当PIX防火墙进入系统后即显示"pixfirewall>"的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。
5.输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。
6.输入命令: configure terminal,进入全局配置模式,对系统进行初始化设置。
(1).首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)
Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡,"auto"选项为系统自适应网卡类型
Interface ethernet1 auto
(2).配置防火墙内、外部网卡的IP地址
IP address inside ip_address netmask# Inside代表内部网卡
IP address outside ip_address netmask# outside代表外部网卡
(3).指定外部网卡的IP地址范围:
global 1 ip_address-ip_address
(4).指定要进行转换的内部地址
nat 1 ip_address netmask
(5).配置某些控制选项:
conduit global_ip port[-port] protocol foreign_ip [netmask]
其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TCP、UDP等;foreign_ip:表示可访问的global_ip外部IP地址;netmask:为可选项,代表要控制的子网掩码。
7.配置保存:wr mem
8.退出当前模式
此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。
pixfirewall(config)# exit
pixfirewall# exit
pixfirewall>
9.查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。
10.查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。
11.查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。
三、Cisco PIX防火墙的基本配置
1.同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口;
2.开启所连电脑和防火墙的电源,进入Windows系统自带的"超级终端",通讯参数可按系统默然。进入防火墙初始化配置,在其中主要设置有:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。此时的提示符为:pix255>。
3.输入enable命令,进入Pix 525特权用户模式,默然密码为空。
如果要修改此特权用户模式密码,则可用enable password命令,命令格式为:enable password password [encrypted],这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。
4、 定义以太端口:先必须用enable命令进入特权用户模式,然后输入configure terminal(可简称为config t),进入全局配置模式模式。具体配置
pix525>enable
Password:
pix525#config t
pix525 (config)#interface ethernet0 auto
pix525 (config)#interface ethernet1 auto
在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
5.clock
配置时钟,这也非常重要,这主要是为防火墙的日志记录而资金积累的,如果日志记录时间和日期都不准确,也就无法正确分析记录中的信息。这须在全局配置模式下进行。
时钟设置命令格式有两种,主要是日期格式不同,分别为:
clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year
前一种格式为:小时:分钟:秒 月 日 年;而后一种格式为:小时:分钟:秒 日 月 年,主要在日、月份的前后顺序不同。在时间上如果为0,可以为一位,如:21:0:0。
6.指定接口的安全级别
指定接口安全级别的命令为nameif,分别为内、外部网络接口指定一个适当的安全级别。在此要注意,防火墙是用来保护内部网络的,外部网络是通过外部接口对内部网络构成威胁的,所以要从根本上保障内部网络的安全,需要对外部网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系列防火墙中,安全级别的定义是由security()这个参数决定的,数字越小安全级别越高,所以security0是最高的,随后通常是以10的倍数递增,安全级别也相应降低
7.配置以太网接口IP地址
所用命令为:ip address,如要配置防火墙上的内部网接口IP地址为:192.168.1.0 255.255.255.0;外部网接口IP地址为:220.154.20.0 255.255.255.0。
配置方法如下:
pix525(config)#ip address inside 192.168.1.0 255.255.255.0
pix525(config)#ip address outside 220.154.20.0 255.255.255.0
8.access-group
这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为:access-group acl_ID in interface interface_name,其中的"acl_ID"是指访问控制列表名称,interface_name为网络接口名称。
9.配置访问列表
所用配置命令为:access-list,合格格式比较复杂,如下:
标准规则的创建命令:access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
扩展规则的创建命令:access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
它是防火墙的主要配置部分,上述格式中带"[]"部分是可选项,listnumber参数是规则号,标准规则号(listnumber1)是1~99之间的整数,而扩展规则号(listnumber2)是100~199之间的整数。它主要是通过访问权限"permit"和"deny"来指定的,网络协议一般有IP|TCP|UDP|ICMP等等。如只允许访问通过防火墙对主机:220.154.20.254进行www访问,则可按以下配置:
pix525(config)#access-list 100 permit 220.154.20.254 eq www
其中的100表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。
看了“防火墙配置命令是怎么样的”文章的还看了:
浏览量:2
下载量:0
时间:
cisco防火墙配置命令是有很大作用的,那么会用在哪里呢?下面由读文网小编给你做出详细的cisco防火墙配置命令应用介绍!希望对你有帮助!
硬件产品
以路由器,交换机,IOS软件为主,还有宽带有线产品、板卡和模块、内容网络、网络管理、光纤平台、网络安全产品与设备、网络存储产品、视频系统、IP通信系统、远程会议系统[8] 、无线产品、服务器 等。
1986年3月,思科公司向犹他州州立大学提供了世界上第一台路由产品——AGS(先进网关服务器)。
1994年,思科推出第一种面向客户端/服务器式工作组的智能Cisco Catalyst系列交换机,第一批新产品来自于对Crescendo的收购。
思科Nexus数据中心交换机
Catalyst系列交换机:1200、1600、1700、1900、2000、2100、2800、29xx、3000、35xx、37xx、40xx、45xx、5xxx、6xxx Cisco 2960、2960S、 2960G、 3560、 3560G、 3560E、 3560X、 3750、 3750G、 3750E、 3750X、 4900、 4500 and 6500 Series Cisco switches。
Nexus系列数据中心交换机:Nexus 1000V、Nexus 2000、Nexus 3000、Nexus 4000、Nexus 5000、Nexus 6000、Nexus 7000。
路由器:700、800、100x、1600、1700、1800、2500、2600、2800 、3600、3700 、3800、4500、4700、7000、7200、7500、7600、12000、ASR1000、ASR9000、CRS-1、CRS-3。
Cisco 800, Cisco 1800, Cisco 1900, Cisco 2800, Cisco 2900, Cisco 3800, Cisco 3900, Cisco 7200 and Cisco 7600 Series Cisco routers等等。
思科UCS服务器
DWDM:ONS15系列( 如15454)
接入点:340、350、1100、1200、1300
防火墙:
PIX:PIX-501、PIX-506、PIX-515、PIX-525、PIX-535。
ASA:ASA5505、ASA5510、ASA5512、ASA5520、ASA5540、ASA5550、ASA5580-20、ASA5580-40、ASA5585-X-SSP10、ASA5585-X-SSP20、ASA5585-X-SSP40、ASA5585-X-SSP60。
思科模块和网卡:Cisco AIM Module、 WIC WAN Card、VIC Voice Card、 VWIC Voice Card、 HWIC WAN Card、 ISR G2 SM Module、 NM Network Module,、PVDM Voice Module、4500 Switch Module、 6500 Switch Module、 7200 Router Module、 7600 Router Module。
思科光学模块:Cisco X2 module、XFP module、GBIC module、XENPAK module、SFP GLC Module、OADM EWDM module。
思科腾讯通界面
WAN交换机:IGX 8400系列、PBX8600系列、MGX 8850边缘交换机、MGX 8220边缘线器。
AS5xxx 远程访问服务器(RAS)
AS5xxx 系列VoIP网关
无线IP电话:7920。
IP电话:3951、7905、7906、7911、7940、7941、7942G、7960、7961、7970、7971、7985和9971。
UCS服务器: 思科统一计算系统 (Unified Computing Systems) 包括B系列刀片服务器、C系列机架式服务器以及M系列模块化服务器, UCS阵列互联以及阵列扩展器,服务器适配器(I/O,GPU,存储加速器),UCS Invicta设备以及相应的UCS数据中心管理软件(UCS Manager, UCS Director)等。
软件产品
思科腾讯通:是RTX腾讯通的一个插件。它是思科和腾讯公司共同推出的集成原RTX腾讯通的即时通信界面和思科企业级统一通信服务的解决方案。原有RTX腾讯通用户的使用习惯不变。用户通过思科腾讯通可以了解联系人状态,拨打高清视频和音频电话,召开在线会议或视频会议,使用可视语音邮件等等。
思科IOS(Internetwork Operating System):思科网络操作系统,用于其大多数路由器和交换机产品[12] 。
WebEx:网络会议软件[13] 。
NX-OS (Nexus Operating System):数据中心Nexus系列交换机操作系统。
看了“cisco防火墙配置命令应用在哪”文章的还看了:
浏览量:3
下载量:0
时间:
windows防火墙想要高级设置下!用什么方法好呢?下面由读文网小编给你做出详细的windows防火墙高级设置方法介绍!希望对你有帮助!
要先启用防火墙,才可以设置出站规则。
新安装的win7系统有些是默认关闭的。而且不能通过 " 控制面板 > windows防火墙 > 打开或关闭windows防火墙“这一途径正常开启。打开win7防火墙的一种方法:
1、用win+R打开”运行对话框“,并输入services.msc,然后按下Enter键
2、在新打开的”服务“框里找到Windows Firewall这一行。(此时在它的”启动类型“栏里会显示禁用)
3、将”禁用“更改为”手动“
4、然后可直接点左边的”启动“
5、然后windows防火墙就开启了
看了“ windows防火墙如何高级设置”文章的还看了:
浏览量:8
下载量:0
时间: