防火墙命令手册

目录。1 简介 3

2 功能简述 3

2.1 连接监测 3

2.2 包过滤策略 4

2.3 协议状态检测 4

2.4 基于mac地址的桥过滤 4

3 配置防火墙 5

4 典型配置 17

internet 的发展给**结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用 internet 来提高办事效率和市场反应速度，以便更具竞争力。通过 internet ，企业可以从异地取回重要数据，同时又要面对 internet 开放带来的数据安全的新挑战和新危险：

即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的 " 战壕 " 而这个 " 战壕 " 就是防火墙。

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入 internet 网络为最甚。

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 internet 之间的任何活动，保证了内部网络的安全。

除了安全作用，防火墙还支持具有 internet 服务特性的企业内部网络技术体系 vpn 。通过 vpn ，将企事业单位在地域上分布在全世界各地的 lan 或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

基于状态的资源和连接控制基于这样的观点：如果连接长时间没有应答，一直处于半连接状态，会浪费连接资源。同样虽然连接已经建立，但长时间没有数据流穿过，也会浪费了连接资源。

连接监测功能通过追踪和统计连接建立的过程和数量，来管理系统和icmp，tcp，udp，generic协议的连接状态，提高网络访问的性能。

包过滤策略能够保护内部网络资源，防止外来者接触。同时限制内部网络用户对外部网络的访问。

防火墙包过滤策略根据ip包中ip、tcp、udp协议的头部信息，以及承载ip的ethernet帧头的mac地址、ip报文进入系统的入口设备以及ip报文离开系统的出口设备决定对ip包进行的操作，由此控制对网络内部或网络外部资源的访问，提高网络的安全性能。

由于包过滤策略能处理mac地址、ip，tcp，udp协议的头部信息，这样既控制了网络中的通过系统数据流量，又能维持一定的系统性能。

注意：mac地址只能用于包过滤策略的源端。因为ethernet帧的目的mac地址通常是网关设备自己。

基于策略的连接数限制。

基于策略的连接数限制功能统计匹配每个策略的总连接数和每个主机的连接数，并能够对这些连接数量加以限制。

系统实现了对以下协议的状态检测功能：ftp，h323和sip。在这些协议当中，主连接的净载荷中，包含有动态协商的附加连接的信息（端口号和ip地址）。

系统不要求配置附加连接的包过滤策略。而当进行conntrack时，通过对可能产生附加连接的报文进行检查，可以在附加连接建立之前获得精确的信息，利用这些信息就可以检测出这些附加连接并对附加连接实施与主连接一样的包过滤策略。

在桥模式（bridge mode）下，系统支持对以太网帧进行基于mac地址的过滤。

系统在对以太网帧进行路由之前进行mac地址的过滤。

基于mac地址的过滤实现以下三种过滤：

对封装内容不是ip协议包的以太网帧进行过滤。

对目的mac地址是组播地址的以太网帧进行过滤。

对帧头中的源mac地址或目的mac地址匹配配置的mac过滤条目的以太网帧进行过滤。

对于每个被过滤的以太网帧产生系统日志。