全方位讲解硬件防火墙的选择

源=inside，访问权限=读、写。源=outside，访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。

B、访问目的=HTTP_SERVER，目的端口=TCP 80。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。

C、访问目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。

（4）通信策略

由于内网的机器没有合法的IP地址，它们访问外网需要进行地址转换。当内部机器访问外部机器时，可以将其地址转换为防火墙的地址，也可以转换成某个地址池中的地址。增加一条通信策略，目的=outside，源=inside，方式=NAT，目的端口=所有端口。如果需要转换成某个地址池中的地址，则必须先在Internet中定义一个子网，地址范围就是地址池的范围，然后在通信策略中选择NAT方式，在地址池类型中选择刚才定义的地址池。

服务器也没有合法的IP地址，必须依靠防火墙做地址映射来提供对外服务。增加通信策略。

A、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射21->21，目标机器=FTP_SERVER。

B、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射80->80，目标机器=HTTP_SERVER。

C、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射25->25，目标机器=MAIL_SERVER。

D、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射110->110，目标机器=MAIL_SERVER。

（5）特殊端口

在防火墙默认的端口定义中没有我们所要用到的特殊端口，就需要我们手工的添加这些特殊端口了。在防火墙集中管理器中选择高级管理>特殊对象>特殊端口，将弹出特殊端口的定义界面，点定义新对象，输入特殊端口号与定义区域即可。

（6）其他配置

最后进入工具选项，定义防火墙的管理员、权限以及与IDS的联动等。（图8）

图8

四、防火墙对比

在了解了防火墙的工作原理及基本配置之后，下面给大家介绍一下NetScreen 208、Cisco PIX 515E、NGFW 4000-S、NetEye 4032这四款市场上最常见的硬件防火墙在基本性能、操作管理与市场价格上的比较。