随着网络技术的不断发展，安全问题越来越得到众多企业网络管理人员的重视，不过俗话说巧妇难为无米之炊，再好的网络管理员如果没有一套高效的安全设备搭建内网安全体系的话，病毒与黑客入侵的问题同样会频繁发生。一般来说我们都是通过防火墙来保护内网各个网络设备的安全，今天笔者就为各位从实例讲解配置防火墙的方法。

一，硬件连接与实施：

在讲解防火墙具体参数配置之前我们首先要掌握如何连接防火墙各个端口，一般来说硬件防火墙和路由交换设备一样具备多个以太接口，速度根据档次与价格不同而在百兆与千兆之间有所区别。对于中小企业来说一般出口带宽都在100M以内，所以我们选择100M相关产品即可。网络拓扑图中防火墙的位置很关键，一般介于内网与外网互连中间区域，针对外网访问数据进行网络过滤和网络监控。如果防火墙上有WAN接口，那么直接将WAN接口连接外网即可，如果所有接口都标记为LAN接口，那么按照常规标准选择最后一个LAN接口作为外网连接端口。相应的其他LAN接口连接内网各个网络设备。

小提示：如果企业有多个外网出口，那么选择最后两个LAN接口依次作为WAN口1与WAN口2连接相关线路解决双线问题。

二，防火墙的特色配置：

从外观上看防火墙和传统的路由器交换机没有太大的差别，一部分防火墙具备CONSOLE接口通过超级终端的方式初始化配置，而另外一部分则直接通过默认的LAN接口和管理地址访问进行配置。与路由器交换机不同的是在防火墙配置中我们需要划分多个不同权限不同优先级别的区域，另外还需要针对相应接口隶属的区域进行配置，例如1接口划分到A区域，2接口划分到B区域等等，通过不同区域的访问权限差别来实现防火墙保护功能。默认情况下防火墙会自动建立trust信任区，untrust非信任区，DMZ堡垒主机区以及LOCAL本地区域。相应的本地区域优先级最高，其次是trust信任区，DMZ堡垒主机区，最低的是untrust非信任区域。在实际设置时我们必须将端口划分到某区域后才能对其进行各个访问操作，否则默认将阻止对该接口的任何数据通讯。除此之外防火墙的其他相关配置与路由交换设备差不多，无外乎通过超级终端下的命令行参数进行配置或者通过WEB管理界面配置。

三，软件的配置与实施：

下面笔者介绍中小企业网络结构下如何配置防火墙，笔者以H3C的F100防火墙为例进行介绍，其他厂商的防火墙在配置上与之类似，各位读者举一反三即可。我们介绍的是当企业外网IP地址固定并通过光纤连接的具体配置。首先我们来看看当企业外网出口指定IP时如何配置防火墙参数。我们选择接口四连接外网，接口一连接内网。这里假设电信提供给我们的外网IP地址为202.10.1.194 255.255.255.0。

第一步：通过CONSOLE接口以及本机的超级终端连接F100防火墙，执行system命令进入配置模式。第二步：通过firewall packet default permit设置默认的防火墙策略为“容许通过”。第三步：进入接口四设置其IP地址为202.10.1.194，命令为

int e0/4

ip add 202.10.1.194 255.255.255.0

第四步：进入接口一设置其IP地址为内网地址，例如192.168.1.1 255.255.255.0，命令为

int e0/1

ip add 192.168.1.1 255.255.255.0

第五步：将两个接口加入到不同的区域，外网接口配置到非信任区untrust，内网接口加入到信任区trust――

fire zone untrust

add int e0/4

fire zone trust

add int e0/1

第六步：由于防火墙运行基本是通过NAT来实现，各个保护工作也是基于此功能实现的，所以我们还需要针对防火墙的NAT信息进行设置，首先添加一个访问控制列表――

acl num 2000

rule per source 192.168.0.0 0.0.255.255

rule deny

第七步：接下来将这个访问控制列表应用到外网接口通过启用NAT――

int e0/4

nat outbound 2000

第八步：最后添加路由信息，设置缺省路由或者静态路由指向外网接口或外网电信下一跳地址――

ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 (如图2)

四，总结：

执行save命令保存退出后我们就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了，当然防火墙的安全级别与访问控制列表以及安全区域的细化分不开的，所以在日后维护过程中我们还需要添加各式各样的ACL来管理数据转发规则，将黑客与病毒阻挡在企业外网大门之外。