ImageVerifierCode 换一换
格式:DOCX , 页数:20 ,大小:23.22KB ,
资源ID:9982263      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/9982263.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(防火墙设定标准暂行版.docx)为本站会员(b****8)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

防火墙设定标准暂行版.docx

1、防火墙设定标准暂行版 目 錄 章 節 內 容 頁 次目 錄1修 訂 履 歷21目 的32適用範圍33參考文件34職責及權限35標準說明36物理安全3-47基本設定4-108管理設定10-139網絡安全管理設定13-1610IPSec VPN設定16-1811相關表單18 核定審核制定制定日期2011年 3月30日 修 訂 履 歷 版本修訂章節修 訂 內 容備 註A初 版 發 行-以下空格-1.目的通過防火墻設定的規範化,達到提升網路安全管理的目標。2.適用範圍適用集團園區包括Internet以及產綫、研發、採購、財務等專網防火墻的設定。3.參考文件CISCO ASA、 PIX、 AND FWS

2、M FIREWALL HANDBOOK IPSEC VPN設計網絡安全設計(第二版) 4.職責及權限4.1只有授權的網絡工程師有權對防火墻做變更設定;4.2作業工程師需對用戶的網絡需求做出安全性、可行性審核,經相關主管核准后方可作業;4.3所有的網絡變更需依照用戶提交的網絡特殊申請表作出合理的變更設定;4.4作業完成后要作業工程師需更新相應的網管資料,同時需指定一位網管授權工程師對變更内容進行稽核。5.標準説明5.1適用配置項目定義hostname (config)#適用於7.08.2版本IOS的防火墻設定hostname (config)#適用於7.08.2版本IOS的防火墻設定hostna

3、me (config)#適用與所有防火墻設定文中“xxx”代表相應命令中需配置的string文中“*”代表相應命令中需配置的密碼登陸後的User EXEC模式hostname或hostname進入Privilege特權模式hostname#或hostname#進入全局配置模式hostname (config)#或hostname (config)#退出各種模式exit保存配置write memory5.2本標準的相關設置命令以7.08.2版本為主,各種版本命令可能略有出入,請根據版本的實際情況選擇相應的指令。6.物理安全6.1防火墻作爲管控公司内部數據進出和控制外部用戶訪問的重要安全設備,應該

4、放在安全有保障的機房,需有監控系統;6.2應該提供對防火墻的UPS電源支援;6.3沒有經過授權,確保沒有人可以對防火墻進行物理上的接觸及對console口進行操作;6.4公司網路與外部的所有通訊必須通過防火墻,沒有數據可以繞過防火墻,防火墻應成爲公司對外連接的唯一接入設備;6.5防火墻不可以被旁路;6.6供外部訪問的服務器,應放於DMZ區域,專網中對外提供服務的服務器,應放置在機房,不得直接與集團辦公網絡或其他專網網絡連接。7.基本設定7.1機器名及域名設定定義可標識的主機名,Internet Firewall格式:防火牆型號_園區_ISP名稱_用途 定義可標識的主機名,Campus Fire

5、wall格式:防火牆型號_(園區_)樓棟_機房_用途hostname (config)#hostname ASA5520_LH_CNC_VPN定義主機域名:hostname (config)#domain-name 7.2接口設定7.2.1接口安全等級的定義依照資源的重要程度,定義接口安全級別;外部接口的安全級別定義為0級;内部接口的安全級別定義為100級;DMZ介於0100之間。例:隔離Internet與園區網絡的防火墻,應設定Internet接口的安全級別為0,園區網絡的安全級別為100,DMZ的安全級別為50;隔離RD網絡與辦公網的防火墻,應設定RD網絡的安全級別為100,辦公網的安全級

6、別為0。7.2.2接口的命名接口可以按照所連接網絡性質來命名或依照接口的安全等級來命名hostname (config)#interface GigabitEthernet0/0hostname (config-if)#nameif interface-namehostname (config-if)#security-level 0hostname (config)#interface GigabitEthernet0/3hostname (config-if)#nameif interface-namehostname (config-if)#security-level 100hostn

7、ame (config)#nameif ethernet0 interface-name security0hostname (config)#nameif ethernet1 interface-name security100hostname (config)#nameif ethernet2 interface-name security507.2.3接口速度及雙工設定hostname (config)#interface Ethernet0hostname (config-if)#speed 100hostname (config-if)#duplex fullhostname (co

8、nfig)#interface ethernet0 100fullhostname (config)#interface ethernet1 100full7.3管理口的設定hostname (config)#interface Management0/0hostname (config-if)#management-onlyhostname (config-if)#ip address x.x.x.x y.y.y.y以上設定僅適用于ASA系列防火墻,PIX系列不支持。7.4 IP設定hostname (config)#interface GigabitEthernet0/1hostname

9、(config-if)#ip address x.x.x.x y.y.y.yhostname (config)#ip address interface-name x.x.x.x y.y.y.yhostname (config)#ip address interface-name x.x.x.x y.y.y.y7.5 Failover設定7.5.1基於LAN的Active/Standby failover設定hostname (config)#interface Ethernet0hostname (config-if)#nameif interface-namehostname (confi

10、g-if)#ip address x.x.x.x y.y.y.y standby z.z.z.z hostname (config-if)#no shutdownhostname (config)#interface Ethernet1hostname (config-if)#nameif interface-namehostname (config-if)#ip address x.x.x.x y.y.y.y standby z.z.z.zhostname (config-if)#no shutdownhostname (config)#interface GigabitEthernet0/

11、1hostname (config-if)#description LAN/STATE Failover Interfacehostname (config-if)#no shutdownhostname (config)#failoverhostname (config)#failover lan unit primary (Standby設定為secondary)hostname (config)#failover lan interface failover GigabitEthernet0hostname (config)#failover lan enablehostname (co

12、nfig)#failover polltime unit 1 holdtime 3hostname (config)#failover polltime interface 3hostname (config)#failover key *hostname (config)#failover replication httphostname (config)#failover link failover GigabitEthernet0hostname (config)#failover interface ip failover a.a.a.a b.b.b.b standby c.c.c.c

13、hostname (config)#monitor-interface interface-namehostname (config)#monitor-interface interface-namehostname (config)#copy running-config startup-config7.5.2基於Serial Cable的Active/Standby failover設定hostname (config)#interface Ethernet0hostname (config-if)#nameif interface-namehostname (config-if)#ip

14、address a.a.a.a b.b.b.b standby c.c.c.chostname (config-if)#no shutdownhostname (config)#interface Ethernet1hostname (config-if)#nameif interface-namehostname (config-if)#ip address x.x.x.x y.y.y.y standby z.z.z.zhostname (config-if)#no shutdownhostname (config)#failoverhostname (config)#failover li

15、nk interface-namehostname (config)#failover polltime unit 1 holdtime 3hostname (config)#failover polltime interface 3hostname (config)#failover replication httphostname (config)#monitor-interface interface-namehostname (config)#monitor-interface interface-namehostname (config)#copy running-config st

16、artup-config7.6 Context設定7.6.1基於LAN的Active/Active failover及Context設定7.6.1.1 System的配置:hostname (config)#interface GigabitEthernet0/1hostname (config)#description LAN/STATE Failover Interfacehostname (config)#interface GigabitEthernet0/2hostname (config-if)#no shutdownhostname (config)#interface Giga

17、bitEthernet0/3hostname (config-if)#no shutdownhostname (config)#interface GigabitEthernet0/4hostname (config-if)#no shutdownhostname (config)#interface GigabitEthernet0/5hostname (config-if)#no shutdownhostname (config)#failoverhostname (config)#failover lan unit primaryhostname (config)#failover la

18、n interface GigabitEthernet0/1hostname (config)# failover interface ip failover x.x.x.x y.y.y.y standby z.z.z.zhostname (config)#failover group 1hostname (config-fover-group)#replication httphostname (config-fover-group)#primaryhostname (config)#failover group 2hostname (config-fover-group)#replicat

19、ion httphostname (config-fover-group)#secondaryhostname (config)#admin-context adminhostname (config)#context adminhostname (config-context)#allocate-interface GigabitEthernet0/2hostname (config-context)#allocate-interface GigabitEthernet0/3hostname (config-context)#join-failover-group 1hostname (co

20、nfig)#context testhostname (config-context)#allocate-interface GigabitEthernet0/4hostname (config-context)#allocate-interface GigabitEthernet0/5hostname (config-context)#join-failover-group 27.6.1.2 admin context配置: hostname (config)#interface GigabitEthernet0/2hostname (config-if)#security-level 0h

21、ostname(config-if)#ip address a.a.a.a b.b.b.b standby c.c.c.chostname (config-if)#asr-group 1hostname (config-if)#interface GigabitEthernet0/3hostname (config-if)#nameif interface-namehostname (config-if)#security-level 100hostname (config-if)#ip address a.a.a.a b.b.b.b standby c.c.c.chostname (conf

22、ig)#monitor-interface interface-name7.6.1.3 test context配置:hostname (config)#interface GigabitEthernet0/4hostname (config-if)#nameif interface-namehostname (config-if)#security-level 0hostname (config-if)#ip address a.a.a.a b.b.b.b standby c.c.c.chostname (config-if)#asr-group 1hostname (config)#int

23、erface GigabitEthernet0/5hostname (config-if)#nameif interface-namehostname (config-if)#security-level 100hostname (config-if)#ip address a.a.a.a b.b.b.b standby c.c.c.c7.6.2基於Serial Cable的Active/Active failover及Context設定7.6.2.1 System的配置:hostname (config)#interface GigabitEthernet0/2hostname (confi

24、g-if)#no shutdownhostname (config)#interface GigabitEthernet0/3hostname (config-if)#no shutdownhostname (config)#interface GigabitEthernet0/4hostname (config-if)#no shutdownhostname (config)#interface GigabitEthernet0/5hostname (config-if)#no shutdownhostname (config)#failoverhostname (config)#failo

25、ver group 1hostname (config)#primaryhostname (config)#failover group 2hostname (config)#secondaryhostname (config)#admin-context adminhostname (config)#context adminhostname (config)#allocate-interface GigabitEthernet0/2hostname (config)#allocate-interface GigabitEthernet0/3hostname (config)#join-fa

26、ilover-group 1hostname (config)#context testhostname (config)#allocate-interface GigabitEthernet0/4hostname (config)#allocate-interface GigabitEthernet0/5hostname (config)#join-failover-group 27.6.2.2 admin context配置: hostname (config)#interface GigabitEthernet0/2hostname (config)#security-level 0ho

27、stname (config)#ip address a.a.a.a b.b.b.b standby c.c.c.chostname (config)#asr-group 1hostname (config)#interface GigabitEthernet0/3hostname (config)#nameif interface-namehostname (config)#security-level 100hostname (config)#ip address a.a.a.a b.b.b.b standby c.c.c.chostname (config)#monitor-interf

28、ace interface-name7.6.2.3 test context配置:hostname (config)#interface GigabitEthernet0/4hostname (config)#nameif interface-namehostname (config)#security-level 0hostname (config)#ip address a.a.a.a b.b.b.b standby c.c.c.chostname (config)#asr-group 1hostname (config)#interface GigabitEthernet0/5hostn

29、ame (config)#nameif interface-namehostname (config)#security-level 100hostname (config)#ip address a.a.a.a b.b.b.b standby c.c.c.c8.管理設定8.1 SNMP設定hostname (config)#snmp-server community xxxhostname (config)#snmp-server enable traps8.2 SYSLOG設定hostname (config)#logging enablehostname (config)#logging onhostname (config)#logging timestamphostname (config)#logging buffered criticalhostname (config)#logging trap informationalhostname (config)#logging host interface-name xxxx.xxxx.xxxx8.3 遠程登錄設定8.3.1 telnet登錄設

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1