路由器防火墙和专用防火墙的区别和配置

我们知道有四种类型的硬件防火墙: 具有集成防火墙功能的路由器和专用硬件防火墙. 以下是思科设备的示例:

首先，将防火墙技术集成到路由器中

1. 路由器IOS标准设备中的ACL技术

ACL代表访问语言=“ javascript” src =“ / CMS / JS / newsad.js” type =“ text / javascript”>控制列表（访问列表），称为访问列表（访问列表），其中是稍后描述的IOS防火墙功能集的基础，也是Cisco全线路由器统一接口的IOS（Internet操作系统）操作系统标准配置的一部分. 这意味着购买路由器后，ACL功能已经可用，并且无需花费额外的钱来购买它.

2，IOS防火墙功能集（IOS防火墙软件包）

IOS防火墙功能集是对基于ACL的安全控制的进一步改进. 它的名字叫它. 它是一组专门用于防火墙功能的附加软件包. 它可以通过IOS升级获得，并且可以加载到路由器平台上的多个Cisco中.

当前，适用于防火墙软件包的路由器平台包括Cisco 1600、1700、2500、2600和3600，它们均属于中低端系列. 对于许多倾向于使用“多合一解决方案”并努力简化管理的中小型用户，它可以在很大程度上满足他们的需求. 在高端设备上未实现集成防火墙功能的原因是为了避免影响大型网络数据转发的骨干路由器的核心工作. 在这样的网络中，应使用专用的防火墙设备.

Cisco IOS防火墙功能:

l基于上下文的访问控制（CBAC）为高级应用程序提供基于应用程序的安全筛选，并支持最新协议

l Java可以防止出于不纯目的下载小型应用程序

l拒绝服务检测和阻止功能已添加到现有功能中，从而增强了保护功能

l检测到可疑行为后，可以将实时警报和系统日志错误信息发送到中央管理控制台.

l TCP / UDP事务处理记录按源/目标地址和端口对跟踪用户访问

l配置和管理功能与现有管理应用程序紧密配合

第二个专用防火墙

它旨在满足高级安全性要求，并以更高的性价比来提供严格而有力的安全预防措施.

思科在网络安全领域的旗舰产品具有悠久的历史，其软件和硬件结构也得到了更大的发展. 当前的ASA系列已从仅支持100M以太网接口更改为1000 / 10000M以太网，令牌环和FDDI多媒体，多端口（最多4个）应用程序；其专用的操作系统开始为IPSec标准隧道技术提供支持.

主要功能:

l该保护方案基于自适应安全算法（ASA），它可以提供任何其他防火墙都无法提供的最高安全保护.

l获得专利的“切割代理”功能将提供传统代理服务器无法匹敌的高性能.

l安装简单，维护方便，从而降低了采购成本

l支持64个并发连接，企业开发后可以扩展到16000个

l透明地支持所有常见的TCP / IP Internet服务，例如万维网（WWW）文件传输协议（FTP），Telnet，Archie，Gopher和rlogin

l支持多媒体数据类型，包括Progressive Network的Real Audio，Xing Technology的Steamworks，White Pines的USeeMe，Vocal Te的Internet电话，VDOnet的VDOLive，Microsoft的NetShow和Uxtreme的Web Theater 2.

l支持与H323兼容的视频会议应用程序，包括Intel的Internet视频电话和Microsoft的NetMeeting

l无需因安装而停止运行

l无需升级主机或路由器

l完全可以从未注册的内部主机访问外部Internet

l可与基于Cisco IOS的​​路由器互操作

3. 两种防火墙技术的比较

集成防火墙可用于节点少于250个的中小型网络. 硬件防火墙用于大型网络，可以支持500个以上用户的应用程序

性能: 最多支持T1 / E1（2M）线路，并支持多条T3 / E3（45M）线路

工作原理基于数据包过滤的核心控制是基于数据包过滤的CBAC，核心控制是ASA

配置方法命令行或图形方法（通过ConfigMaker）命令行或图形方法（通过Firewall Manager）

应用程序过滤支持Java小程序过滤支持Java小程序过滤

身份验证通过IOS命令支持TACACS +和RADIUS服务器验证. 支持TACACS +，RADIUS集中式身份验证

虚拟专用网（VPN）可以通过IOS软件升级来支持IPSec，L2F和GRE隧道技术，并支持40或56位DES加密. 支持专用链接或IPSec隧道和加密技术

网络地址转换（NAT）集成的IOS Plus实施支持

冗余功能是通过路由器的冗余协议HSRP实现的，支持热冗余

自我安全支持拒绝服务支持拒绝服务

代理服务否，通过路由器路由功能实现应用切入代理服务

通过路由器管理工具进行管理，例如通过防火墙管理器管理的Cisco Works

通过防火墙管理器可以实现审计功能，某些跟踪和警报功能，状态数据过滤，更好的监视和报告功能

四个Cisco ASA防火墙安装过程

将ASA放在机架中，在测试电源系统后连接电源，然后打开主机电源.

2. 将CONSOLE端口连接到PC的串行端口，然后运行超级终端程序以从CONSOLE端口进入PIX系统. 系统此时提示pixfirewall.

3. 输入命令: enable进入特权模式. 此时，系统提示pixfirewall#.

4. 输入命令: configure terminal初始化系统.

5. 配置以太网端口参数:

interface ethernet0 auto（自动选项表示系统自适应网卡类型）interface ethernet1 auto

6. 配置内部和外部网卡的IP地址:

ip_address网络掩码中的IP地址

ip_address网络掩码之外的IP地址

7. 指定:

全局1个ip_address-ip_address

8. 指定要转换的内部地址:

nat 1 ip_address网络掩码

9. 设置到内部网络和外部网络的默认路由

内部路由0 0 inside_default_router_ip_address

外部路由0 0 outside_default_router_ip_address

10. 配置静态IP地址映射:

静态IP地址外的IP地址

11. 设置一些控制选项:

conduit global_ip端口协议foreign_ip global_ip表示要控制的地址

端口是指使用的端口，其中0表示所有端口

协议是指连接协议，例如: TCP，UDP等.

foreign_ip表示可以访问global_ip的外部ip，即所有ip.

12. 设置telnet选项:

telnet local_ip

local_ip表示允许通过telnet访问pix的IP地址（如果未设置此项，则只能通过consle完成PIX的配置）.

13. 保存配置:

wr mem

14. 几种常用的网络测试命令:

#ping

#show界面查看端口状态

#show static查看静态地址映射

您的公司在IT服务方面是否遇到以下问题:

1. 缺乏对IT技术服务流程的控制？

2. 没有一套有效而实用的IT技术服务标准化流程，就不能保证服务质量？

3. 技术员工不容易管理. 他们在工作中不是积极主动，被动和消极的，没有内部激励机制吗？

4. 技术服务不透明，服务过程不可控，服务质量不能得到保证吗？

5. 服务过程中以及服务完成后，不能为客户建立持续，可靠和可信的信用体系吗？

6. 不依靠IT技术来建立客户服务满意度调查和改进系统吗？

7. 没有进行互联网+的转型，没有依靠互联网和微信进行市场推广和业务升级？

实际上您缺少一个人

IT技术服务管理平台

经过18个月的努力，已经积累了15年的行业智慧！

现在，这样的平台诞生了！

他是

查找IT平台

群众创建平台

控制平台

共享平台

营销平台

平台概念

永远免费

实现数以万计的IT的整合策略

为IT人员构建最具活力的平台

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-302748-1.html