防火墙设定标准暂行版.docx
- 文档编号:3189832
- 上传时间:2023-05-05
- 格式:DOCX
- 页数:20
- 大小:23.22KB
防火墙设定标准暂行版.docx
《防火墙设定标准暂行版.docx》由会员分享,可在线阅读,更多相关《防火墙设定标准暂行版.docx(20页珍藏版)》请在冰点文库上搜索。
防火墙设定标准暂行版
※※目錄※※
章節
內容
頁次
目錄
1
修訂履歷
2
1
目的
3
2
適用範圍
3
3
參考文件
3
4
職責及權限
3
5
標準說明
3
6
物理安全
3-4
7
基本設定
4-10
8
管理設定
10-13
9
網絡安全管理設定
13-16
10
IPSecVPN設定
16-18
11
相關表單
18
核
定
審
核
制
定
制定日期
2011年3月30日
※※修訂履歷※※
版本
修訂章節
修訂內容
備註
A
初版發行
---以下空格---
1.目的
通過防火墻設定的規範化,達到提升網路安全管理的目標。
2.適用範圍
適用集團園區包括Internet以及產綫、研發、採購、財務等專網防火墻的設定。
3.參考文件
《CISCOASA、PIX、ANDFWSMFIREWALLHANDBOOK》
《IPSECVPN設計》
《網絡安全設計(第二版)》
4.職責及權限
4.1只有授權的網絡工程師有權對防火墻做變更設定;
4.2作業工程師需對用戶的網絡需求做出安全性、可行性審核,經相關主管核准后方可作業;
4.3所有的網絡變更需依照用戶提交的《網絡特殊申請表》作出合理的變更設定;
4.4作業完成后要作業工程師需更新相應的網管資料,同時需指定一位網管授權工程師對變更内容進
行稽核。
5.標準説明
5.1適用配置項目定義﹕
▲hostname(config)#適用於7.0~8.2版本IOS的防火墻設定
△hostname(config)#適用於7.0~8.2版本IOS的防火墻設定
hostname(config)#適用與所有防火墻設定
文中“xxx”代表相應命令中需配置的string
文中“********”代表相應命令中需配置的密碼
登陸後的UserEXEC模式﹕▲hostname>或△hostname>
進入Privilege特權模式﹕▲hostname#或△hostname#
進入全局配置模式﹕▲hostname(config)#或△hostname(config)#
退出各種模式﹕exit
保存配置﹕writememory
5.2本標準的相關設置命令以7.0~8.2版本為主,各種版本命令可能略有出入,請根據版本的實際情況選擇相應的指令。
6.物理安全
6.1防火墻作爲管控公司内部數據進出和控制外部用戶訪問的重要安全設備,應該放在安全有保障的機房,需有監控系統;
6.2應該提供對防火墻的UPS電源支援;
6.3沒有經過授權,確保沒有人可以對防火墻進行物理上的接觸及對console口進行操作;
6.4公司網路與外部的所有通訊必須通過防火墻,沒有數據可以繞過防火墻,防火墻應成爲公司對外
連接的唯一接入設備;
6.5防火墻不可以被旁路;
6.6供外部訪問的服務器,應放於DMZ區域,專網中對外提供服務的服務器,應放置在機房,不得直
接與集團辦公網絡或其他專網網絡連接。
7.基本設定
7.1機器名及域名設定
定義可標識的主機名,InternetFirewall格式:
防火牆型號_園區_ISP名稱_用途
定義可標識的主機名,CampusFirewall格式:
防火牆型號_(園區_)樓棟_機房_用途
▲hostname(config)#hostnameASA5520_LH_CNC_VPN
定義主機域名:
hostname(config)#domain-name
7.2接口設定
7.2.1接口安全等級的定義
依照資源的重要程度,定義接口安全級別;外部接口的安全級別定義為0級;内部接口的安全
級別定義為100級;DMZ介於0~100之間。
例:
隔離Internet與園區網絡的防火墻,應設定Internet接口的安全級別為0,園區網絡的安全級別為100,DMZ的安全級別為50;隔離RD網絡與辦公網的防火墻,應設定RD網絡的安全級別為100,辦公網的安全級別為0。
7.2.2接口的命名
接口可以按照所連接網絡性質來命名或依照接口的安全等級來命名
▲hostname(config)#interfaceGigabitEthernet0/0
▲hostname(config-if)#nameifinterface-name
▲hostname(config-if)#security-level0
▲hostname(config)#interfaceGigabitEthernet0/3
▲hostname(config-if)#nameifinterface-name
▲hostname(config-if)#security-level100
△hostname(config)#nameifethernet0interface-namesecurity0
△hostname(config)#nameifethernet1interface-namesecurity100
△hostname(config)#nameifethernet2interface-namesecurity50
7.2.3接口速度及雙工設定
▲hostname(config)#interfaceEthernet0
▲hostname(config-if)#speed100
▲hostname(config-if)#duplexfull
△hostname(config)#interfaceethernet0100full
△hostname(config)#interfaceethernet1100full
7.3管理口的設定
▲hostname(config)#interfaceManagement0/0
▲hostname(config-if)#management-only
▲hostname(config-if)#ipaddressx.x.x.xy.y.y.y
以上設定僅適用于ASA系列防火墻,PIX系列不支持。
7.4IP設定
▲hostname(config)#interfaceGigabitEthernet0/1
▲hostname(config-if)#ipaddressx.x.x.xy.y.y.y
△hostname(config)#ipaddressinterface-namex.x.x.xy.y.y.y
△hostname(config)#ipaddressinterface-namex.x.x.xy.y.y.y
7.5Failover設定
7.5.1基於LAN的Active/Standbyfailover設定
▲hostname(config)#interfaceEthernet0
▲hostname(config-if)#nameifinterface-name
▲hostname(config-if)#ipaddressx.x.x.xy.y.y.ystandbyz.z.z.z
▲hostname(config-if)#noshutdown
▲hostname(config)#interfaceEthernet1
▲hostname(config-if)#nameifinterface-name
▲hostname(config-if)#ipaddressx.x.x.xy.y.y.ystandbyz.z.z.z
▲hostname(config-if)#noshutdown
▲hostname(config)#interfaceGigabitEthernet0/1
▲hostname(config-if)#descriptionLAN/STATEFailoverInterface
▲hostname(config-if)#noshutdown
▲hostname(config)#failover
▲hostname(config)#failoverlanunitprimary(Standby設定為secondary)
▲hostname(config)#failoverlaninterfacefailoverGigabitEthernet0
▲hostname(config)#failoverlanenable
▲hostname(config)#failoverpolltimeunit1holdtime3
▲hostname(config)#failoverpolltimeinterface3
▲hostname(config)#failoverkey*****
▲hostname(config)#failoverreplicationhttp
▲hostname(config)#failoverlinkfailoverGigabitEthernet0
▲hostname(config)#failoverinterfaceipfailovera.a.a.ab.b.b.bstandbyc.c.c.c
▲hostname(config)#monitor-interfaceinterface-name
▲hostname(config)#monitor-interfaceinterface-name
▲hostname(config)#copyrunning-configstartup-config
7.5.2基於SerialCable的Active/Standbyfailover設定
▲hostname(config)#interfaceEthernet0
▲hostname(config-if)#nameifinterface-name
▲hostname(config-if)#ipaddressa.a.a.ab.b.b.bstandbyc.c.c.c
▲hostname(config-if)#noshutdown
▲hostname(config)#interfaceEthernet1
▲hostname(config-if)#nameifinterface-name
▲hostname(config-if)#ipaddressx.x.x.xy.y.y.ystandbyz.z.z.z
▲hostname(config-if)#noshutdown
▲hostname(config)#failover
▲hostname(config)#failoverlinkinterface-name
▲hostname(config)#failoverpolltimeunit1holdtime3
▲hostname(config)#failoverpolltimeinterface3
▲hostname(config)#failoverreplicationhttp
▲hostname(config)#monitor-interfaceinterface-name
▲hostname(config)#monitor-interfaceinterface-name
▲hostname(config)#copyrunning-configstartup-config
7.6Context設定
7.6.1基於LAN的Active/Activefailover及Context設定
7.6.1.1System的配置:
▲hostname(config)#interfaceGigabitEthernet0/1
▲hostname(config)#descriptionLAN/STATEFailoverInterface
▲hostname(config)#interfaceGigabitEthernet0/2
▲hostname(config-if)#noshutdown
▲hostname(config)#interfaceGigabitEthernet0/3
▲hostname(config-if)#noshutdown
▲hostname(config)#interfaceGigabitEthernet0/4
▲hostname(config-if)#noshutdown
▲hostname(config)#interfaceGigabitEthernet0/5
▲hostname(config-if)#noshutdown
▲hostname(config)#failover
▲hostname(config)#failoverlanunitprimary
▲hostname(config)#failoverlaninterfaceGigabitEthernet0/1
▲hostname(config)#failoverinterfaceipfailoverx.x.x.xy.y.y.ystandbyz.z.z.z
▲hostname(config)#failovergroup1
▲hostname(config-fover-group)#replicationhttp
▲hostname(config-fover-group)#primary
▲hostname(config)#failovergroup2
▲hostname(config-fover-group)#replicationhttp
▲hostname(config-fover-group)#secondary
▲hostname(config)#admin-contextadmin
▲hostname(config)#contextadmin
▲hostname(config-context)#allocate-interfaceGigabitEthernet0/2
▲hostname(config-context)#allocate-interfaceGigabitEthernet0/3
▲hostname(config-context)#join-failover-group1
▲hostname(config)#contexttest
▲hostname(config-context)#allocate-interfaceGigabitEthernet0/4
▲hostname(config-context)#allocate-interfaceGigabitEthernet0/5
▲hostname(config-context)#join-failover-group2
7.6.1.2admincontext配置:
▲hostname(config)#interfaceGigabitEthernet0/2
▲hostname(config-if)#security-level0
▲hostname(config-if)#ipaddressa.a.a.ab.b.b.bstandbyc.c.c.c
▲hostname(config-if)#asr-group1
▲hostname(config-if)#interfaceGigabitEthernet0/3
▲hostname(config-if)#nameifinterface-name
▲hostname(config-if)#security-level100
▲hostname(config-if)#ipaddressa.a.a.ab.b.b.bstandbyc.c.c.c
▲hostname(config)#monitor-interfaceinterface-name
7.6.1.3testcontext配置:
▲hostname(config)#interfaceGigabitEthernet0/4
▲hostname(config-if)#nameifinterface-name
▲hostname(config-if)#security-level0
▲hostname(config-if)#ipaddressa.a.a.ab.b.b.bstandbyc.c.c.c
▲hostname(config-if)#asr-group1
▲hostname(config)#interfaceGigabitEthernet0/5
▲hostname(config-if)#nameifinterface-name
▲hostname(config-if)#security-level100
▲hostname(config-if)#ipaddressa.a.a.ab.b.b.bstandbyc.c.c.c
7.6.2基於SerialCable的Active/Activefailover及Context設定
7.6.2.1System的配置:
▲hostname(config)#interfaceGigabitEthernet0/2
▲hostname(config-if)#noshutdown
▲hostname(config)#interfaceGigabitEthernet0/3
▲hostname(config-if)#noshutdown
▲hostname(config)#interfaceGigabitEthernet0/4
▲hostname(config-if)#noshutdown
▲hostname(config)#interfaceGigabitEthernet0/5
▲hostname(config-if)#noshutdown
▲hostname(config)#failover
▲hostname(config)#failovergroup1
▲hostname(config)#primary
▲hostname(config)#failovergroup2
▲hostname(config)#secondary
▲hostname(config)#admin-contextadmin
▲hostname(config)#contextadmin
▲hostname(config)#allocate-interfaceGigabitEthernet0/2
▲hostname(config)#allocate-interfaceGigabitEthernet0/3
▲hostname(config)#join-failover-group1
▲hostname(config)#contexttest
▲hostname(config)#allocate-interfaceGigabitEthernet0/4
▲hostname(config)#allocate-interfaceGigabitEthernet0/5
▲hostname(config)#join-failover-group2
7.6.2.2admincontext配置:
▲hostname(config)#interfaceGigabitEthernet0/2
▲hostname(config)#security-level0
▲hostname(config)#ipaddressa.a.a.ab.b.b.bstandbyc.c.c.c
▲hostname(config)#asr-group1
▲hostname(config)#interfaceGigabitEthernet0/3
▲hostname(config)#nameifinterface-name
▲hostname(config)#security-level100
▲hostname(config)#ipaddressa.a.a.ab.b.b.bstandbyc.c.c.c
▲hostname(config)#monitor-interfaceinterface-name
7.6.2.3testcontext配置:
▲hostname(config)#interfaceGigabitEthernet0/4
▲hostname(config)#nameifinterface-name
▲hostname(config)#security-level0
▲hostname(config)#ipaddressa.a.a.ab.b.b.bstandbyc.c.c.c
▲hostname(config)#asr-group1
▲hostname(config)#interfaceGigabitEthernet0/5
▲hostname(config)#nameifinterface-name
▲hostname(config)#security-level100
▲hostname(config)#ipaddressa.a.a.ab.b.b.bstandbyc.c.c.c
8.管理設定
8.1SNMP設定
hostname(config)#snmp-servercommunityxxx
hostname(config)#snmp-serverenabletraps
8.2SYSLOG設定
▲hostname(config)#loggingenable
△hostname(config)#loggingon
hostname(config)#loggingtimestamp
hostname(config)#loggingbufferedcritical
hostname(config)#loggingtrapinformational
hostname(config)#logginghostinterface-namexxxx.xxxx.xxxx
8.3遠程登錄設定
8.3.1telnet登錄設
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 设定 标准 暂行