一般防火墙出厂的时候,思科也会为防火墙配置名字,如ethernet0等等,也就是说,防火墙的物理位置跟接口的名字是相同的。但是 \k8| 3Y~g
,很明显,这对于我们的管理是不利的,我们不能够从名字直观的看到,这个接口到底是用来做什么的,是连接企业的内部网络接口,还 /{j"
)
是连接企业的外部网络接口。所以,网络管理员,希望能够重命令这个接口的名字,利用比较直观的名字来描述接口的用途,如利用 T9c=As_EM
outside命令来表示这个接口是用来连接外部网络;而利用inside命令来描述这个接口是用来连接内部网络。同时,在给端口进行命名的时 w^.^XK4v.
候,还可以指定这个接口的安全等级。 w(y#{!%+
Nameif命令基本格式如下 -9.Rmv#og{
Nameif hardware-id if-name security-level T{L{<+9%
其中,hardware-id表示防火墙上接口的具体位置,如ethernet0或者ethernet1等等。这些是思科防火墙在出厂的时候就已经设置好的 <MPoDf?h
,不能够进行更改。若在没有对接口进行重新命名的时候,我们只能够通过这个接口位置名称,来配置对应的接口参数。 "DW; 6<m
而if-name 则是我们为这个接口指定的具体名字。一般来说,这个名字希望能够反映出这个接口的用途,就好象给这个接口取绰号一 ,w+}Evp])
样,要能够反映能出这个接口的实际用途。另外,这个命名的话,我们网络管理员也必须遵守一定的规则。如这个名字中间不能用空格, P@u&~RN9f+
不同用数字或者其他特殊字符(这不利于后续的操作),在长度上也不能够超过48个字符。 JE`mB}8s/
security-level表示这个接口的安全等级。一般情况下,可以把IT服务管理器内部接口的安全等级可以设置的高一点,而企业外部接口的安全 .q>4?
+
等级则可以设置的低一点。如此的话,根据防火墙的访问规则,安全级别高的接口可以防卫安全级别低的接口。也就是说,不需要经过特 P p}N-me>_
殊的设置,企业内部网络就可以访问企业外部网络。而如果外部网络访问内部网络,由于是安全级别低的接口访问安全级别高的接口,则 K-xmLEu
必须要要进行一些特殊的设置,如需要访问控制列表的支持,等等。 h%hE$2
笔者建议 )BuS'o
B
在给接口配置安全等级的时候,一般不需要设置很复杂的安全等级。在安全要求一般的企业,只需要把接口的安全登记分为两级(一般 cI5*`LML1
只用两个接口,一个连接外部网络,一个连接内部网络),如此的话,防火墙的安全级别管理,会方便许多。 NjTVinz
另外,就是企业内部网络的安全级别要高于外部网络的安全级别。因为从企业安全方面考虑,我们的基本原则是内部网络访问外部网 2Qoj>Wy{
络可以放开,而外部网络访问内部网络的话,就要有所限制,则主要是出于限制病毒、木马等给企业网络所造成的危害的目的。不过,若 4LCgQS6
企业内部对外部访问也有限制的话,如不允许访问FTP服务器,等等,则可以借助访问控制列表或者其他技术手段来实现。 YzcuS/~x
在对接口进行命名的时候,要能够反映这个接口的用途,否则的话,对其进行命名也就没有什么意思了。一般的话,如可以利用 ^UF]%qqOn
inside或者outside来表示连接内网与外网的接口。如此的话在,网络管理员在一看到这个接口名字,就知道这个接口的用途。这几可以提 U`j[Ni}"
高我们防火墙维护的效率。对于我们按照这个名字来对接口进行配置的时候,就比较容易实现,而不需要再去想我需要配置的接口名字是 a{lDHk`Wf
什么。若我们真的忘记了接口名字的话,则可以利用show nameif命令来检验接口名字的配置。 _{EO9s2FG