企业级防火墙推荐_企业级防火墙排名

1.防火墙软件哪个好？十大防火墙排名分享

2.CISCO防火墙配置及详细介绍

3.企业应当如何选择防火墙

COMODO防火墙　Comodo

公司是世界优秀的IT安全服务提供商之一，

它提供以下几种安全工具，其中有反软件和防火墙。

利用多种技术（包括对需求与对访问扫描，电子邮件扫描，过程监控，蠕虫阻断和主机入侵预防）

，从你的硬盘驱动器，共享磁盘，电子邮件，下载和系统内存清除或隔离可疑的文件。

最新发布的Comodo

Firewall

Pro

2.4是目前唯一能通过所有已知Leaktests测试的防火墙。

2.4用了新的授权方式，安装过程中，将获得永久免费使用许可，而不再需要申请注册码。

通过最近的一些测试结果来看，Comodo

Firewall

Pro

2.4毫无疑问是最好的免费个人防火墙，

即使与老牌的商业防火墙相比，在功能上亦毫不逊色。

Comodo防火墙专业版为你的系统提供360°全方位的保护，通过企业级的包过滤墙和先进的主机入侵防御系统的完美结合来阻止来自内部及外部的威胁。新的界面能帮助用户更加方便迅捷的访问所有主要设置，包括强大的高度可配置的安全规则界面。

Comodo防火墙始终监控来自内部和外部的攻击并且守护你的系统，V3最大的特色就是提供了完全成熟的HIPS主机入侵防御系统，命名为Defense+来保护你的重要系统文件以及在和恶意软件获得机会安装前就阻止它。事实上，defense+对于防御恶意软件非常出色，你也许永远不再需要脆弱的反软件了^_^。

V3提供了非常有好人性化的图形用户界面。高度细化的设置选项。容易理解和有益的报警提示。优秀的信任区侦测功能以及其他。Comodo防火墙专业版提供了企业级的保护，可以‘out

of

the

box’

使用---即使是最没有经验的用户也可以在安装后使用，不会为复杂的配置问题所困扰。

Comodo包括一个内置的可执行文件数据库。对所有已知的可执行文件进行了全面的分类。Comodo是唯一为用户提供这种重要信息的防火墙。

Comodo

BOClean

:

Anti-Malware

Version

4.26

销毁恶意软件，并删除注册表条目

不需要重新开机，以消除一切痕迹

断开对你电脑的威胁

可选生成报告和安全拷贝的证据

程序自动从网络进行更新

防火墙软件哪个好？十大防火墙排名分享

朋友你好，关键是要搭配得当，你这样搭配，以下是我的体会，也是目前我正在使用的。

推荐一下组合，其实就是组成了完美的防御体系以及严密的防火墙，让你的电脑从此放心运行在安全的环境中。 杀软的主要功能就是为了防御、中毒后再杀毒已为时已晚、在这里急救箱就发挥功能了、360卫士说实话还是可以的,它自带防火墙，急救箱,可深入系统底层对活动木马进一步进行云查杀、因此 杀毒 建议你用ast﹐捷克进口的﹐中文语言报警提醒﹐几乎不占内存﹐界面极其人性化﹐防御性极强﹐十分讨人喜欢﹐并且很好操作。

企业用有网络版和企业版。

个人用有家庭免费版的(个人用家庭免费版就足够啦)、现在已升级为7.0版本了！启动和云查杀运行速度比以前更快！支持64位系统，不会误杀系统文件，给你第一时间迅速敏捷屏蔽隔离钓鱼网站及木马入侵，人们都亲切的称它为小A﹐ 卡巴、NOD32，诺顿，小红伞防御也可以﹐但它占内存较大﹐小红伞报警不是语言而是吱的一声﹐造成误杀较多﹐以上这些款杀软我都用过﹐最后通过再三比较﹐现在使用的是 ast 杀软 、 加360卫士、已经两年多了﹐系统从没被感染过。因此特向你推荐小A、加360卫士可给隔离木马修复系统、、这组合相当不错 ！系统占内存小运行流畅，是我这几年亲身体验用出来的，在此仅与你作个交流，不知你是否看好！

CISCO防火墙配置及详细介绍

十大防火墙，是现在计算机网络世界中最为著名的十款全球性防火墙软件，它们均功能强大完善，是计算机装机必备的系统安全软件。

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程序ZoneAlarm可以帮你执行这项重大任务喔。基本版是免费的。Outpost Firewall Pro是一款短小精悍的网络防火墙软件。

下面就来给大家分享一下十大防火墙排名，看看哪个是你在用的：

第一名: ZoneAlarm Pro

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程序。ZoneAlarm可以帮你执行这项重大任务喔。基本版还是免费的。

使用很简单，你只要在安装时填入你的资料，如有最新的ZoneAlarm，免费网上更新。安装完后重新开机，ZoneAlarm就会自动启动，帮你执行任务。当有程序想要存取Internet时，如网络浏览器可能会出现连不上网络，这时你可以在右下角ZoneAlarm的小图示上按两下鼠标左键，选取Programs的选项，勾选你要让哪些软件上网，哪些不可以上网，利用此种方法来防治一些来路不明的软件偷偷上网。最好的方法是锁住(Lock)网络不让任何程序通过，只有你核准的软件才可以通行无阻。你还可利用它来看看你开机后已经使用多少网络，也可以设定锁定网络的时间。这么好用的软件你一定要亲自使用才能感觉到它的威力。

第二名: Outpost Firewall Pro

是一款短小精悍的网络防火墙软件，它的功能是同类PC软件中最强的，甚至包括了广告和过滤、内容过滤、DNS缓存等功能。它能够预防来自Cookies、广告、电子邮件、后门、窃密软件、解密高手、广告软件和其它 Internet 危险的威胁。该软件不需配置就可使用，这对于许多新手来说，变得很简单。尤为值得一提的是，这是市场上第一个支持插件的防火墙，这样它的功能可以很容易地进行扩展。该软件占用也很小。 Outpost的其它强大功能毋庸多说，你亲自试一试就知道了。

第三名: Norton Personal Firewall

Norton公司出品的个人防火墙将提供完整的网络安全，防止重要资料被窃，并有过滤网站的功能，能够阻隔各种网络黑客可能的入侵方式：ja lets,activex 控制，以防您的私人信息被窃取和损坏。

第四名: Norman Personal Firewall

Norman个人防火墙专为个人用户及企业而设，阻止未经授权的使用者存取您的电脑档案。支援 TCP/IP 及标准数据机拨号连线,适用于所有合规格的网络及电话系统。拦截网页横额广告,阻截令人烦扰的横额、广告等，加快网页下载的速度，节省您的工作时间。Norman个人防火墙精灵给您清晰的指引，协助您设定个人化防火墙规则，令您可以更安全、更方便地浏览网页。保障您的个人私隐,NPF 有效地侦测及防止未经授权的使用者存取您的电脑共享档案。如果有人要存取您的档案，它会立即通知您，并由您决定是否要阻止这行为。管理 Cookies,您可以决定网站可否在您的电脑储存Cookies，NPF会纪录您的选择，让浏览更方便、轻松。安装操作方便,Freshie’s 助手提供清晰的指引，教导初阶用户如何设定防火墙规则。而 NPF 的设定程序简易，进阶用户则可自行设定。简化的设定过程为个人用户带来方便，却不会减省产品的任何功能。编辑规则,透过编辑功能，您可以随时修改 site rules，例如要恢复受拦截的网站等。抵制未经授权的连线传输,防止个人资料被盗用以作 DDoS 袭击，阻止未经授权的使用者使用 Trojans 操纵您的个人电脑，保护个人资料私隐权，防止号码、密码等被盗用。内容拦截,NPF 有效防止有害的 JaScripts、Ja lets 和 ActiveX control 肆意入侵。您可以自行设定防火墙规则，阻止执行或下载某些程式。IP 隔离,您可以安全地连接网络，免受骇客的袭击，同时控制网络传输，例如哪些程式可以连接网络；可否传送或接收电邮；可以浏览哪些网站等。

第五名: SurfSecret Personal Firewall

一款功能超强的网络安全工具，提供三个级别保护 * 紧急防护上锁功能。 * 自订上锁条件 - 屏幕保护程序启动时，或者定时上锁。 * 过滤器设定精灵 - 可以指定允许哪些 IP 透过哪个 Port 联机到您的计算机。 * 支持 IP 地址范围、IP 地址屏蔽。 * 可以在封包被阻挡后发出提示，并且自动计次。 * 纪录最后10个联机到本机的 IP。

第六名: McAfee Personal Firewall Plus

软体为您的电脑和个人资料提供进阶保护。Personal Firewall 在您的电脑与网际网路之间建立起一道屏障，无讯息监视网际网路流量中是否有可疑的活动。有了它，您便获得了下列功能：

防止潜在的骇客探测及攻击

让防毒工作更完备

监视网际网路及网路活动

警告您潜在的敌意

提供有关可疑网际网路流量的详细资讯

整合 Hackerwatch功能，包含报告、自我测试工具以及将报告的用

电子邮件传送到其他线上相关机构之功能

提供详细的追踪和研究功能

第七名: BullGuard

是一个国外的不错的反和木马的工具!他可以全面保护你的电脑免受的危害!不论是通过Email,浏览器,或者是像KaZaA这样的P2P软件和聊天工具,他都可以全面拦截！

第八名: Sygate Personal Firewall Pro

是一个简单易用的个人防火墙，适合于那些网络中的单机用户来防止入侵者非法进入系统。作为一个基于主机的解决方案，该软件提供了多层保护的防火墙安全环境，可以有效地防止入侵者和黑客的侵袭。与真正的防火墙不同的是，Sygate Personal Firewall 能够从系统内部进行保护，并且可以在后台不间断地运行。另外，该软件还提供有安全访问和访问监视功能，并可向你提供所有用户的活动报告，当检测到入侵和不当的使用后，能够立即发出警报。

第九名: Injoy Firewall

Injoy Firewall?是一种灵活的防火墙安全解决方案，适用于各种规模的组织。它提供了企业级的下一代安全性、预配置的策略模板，包括完整的自定义选项、无缝的IPSec ***集成、卓越的网关功能、直观的管理、访问控制、大量文档化的部署示例、无与伦比的控制和全面的文档。

第十名: BlackICE PC Protection

这个软件在九九年获得了PC Magazine的技术卓越大奖，专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施--它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别200多种入侵技巧，给你全面的网络检测以及系统防护，它还能即时监测网络端口和协议，拦截所有可疑的网络入侵，无论黑客如何费尽心机也无法危害到你的系统。而且它还可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来，以便你取进一步行动。封言用过后感觉，该软件的灵敏度和准确率非常高，稳定性也相当出色，系统占用率极少，是每一位上网朋友的最佳选择。

企业应当如何选择防火墙

在众多的企业级主流防火墙中，cisco pix防火墙是所有同类产品性能最好的一种。cisco pix系列防火墙目前有5种型号pix506，515，520，525，535。其中pix535是pix 500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的isp等服务提供商。但是pix特有的os操作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过web管理界面来进行网络管理，这样会给初学者带来不便。本文将通过实例介绍如何配置cisco pix防火墙。

在配置pix防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：

0?3 内部区域（内网）。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。

0?3 外部区域（外网）。 外部区域通常指internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

0?3 停火区（dmz）。 停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置web服务器，mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。

由于pix535在企业级别不具有普遍性，因此下面主要说明pix525在企业网络中的应用。

pix防火墙提供4种管理访问模式：

非特权模式。 pix防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>

特权模式。 输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#

配置模式。 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#

监视模式。 pix防火墙在开机或重启过程中，按住escape键或发送一个“break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor>

配置pix防火墙有6个基本命令：nameif，interface，ip address，nat，global，route.

这些命令在配置pix是必须的。以下是配置的基本步骤：

1. 配置防火墙接口的名字，并指定安全级别（nameif）。

pix525(config)#nameif ethernet0 outside security0

pix525(config)#nameif ethernet1 inside security100

pix525(config)#nameif dmz security50

提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：

pix525(config)#nameif pix/intf3 security40 （安全级别任取）

2. 配置以太口参数（interface）

pix525(config)#interface ethernet0 auto（auto选项表明系统自适应网卡类型 ）

pix525(config)#interface ethernet1 100full（100full选项表示100mbit/s以太网全双工通信 ）

pix525(config)#interface ethernet1 100full shutdown （shutdown选项表示关闭这个接口，若启用接口去掉shutdown ）

3. 配置内外网卡的ip地址（ip address）

pix525(config)#ip address outside 61.144.51.42 255.255.255.248

pix525(config)#ip address inside 192.168.0.1 255.255.255.0

很明显，pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1

4. 指定要进行转换的内部地址（nat）

网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat (if_name) nat_id local_ip [netmark]

其中（if_name）表示内网接口名字，例如inside. nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。

例1．pix525(config)#nat (inside) 1 0 0

表示启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0

例2．pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0这个网段内的主机可以访问外网。

5. 指定外部地址范围（global）

global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中（if_name）表示外网接口名字，例如outside.。nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。

例1． pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48

表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。

例2． pix525(config)#global (outside) 1 61.144.51.42

表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。

例3. pix525(config)#no global (outside) 1 61.144.51.42

表示删除这个全局表项。

6. 设置指向内网和外网的静态路由（route）

定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip [metric]

其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。

例1． pix525(config)#route outside 0 0 61.144.51.168 1

表示一条指向边界路由器（ip地址61.144.51.168）的缺省路由。

例2． pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1

pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1

如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由，静态路由的下一条路由器ip地址是172.16.0.1

这6个基本命令若理解了，就可以进入到pix防火墙的一些高级配置了。

a. 配置静态ip地址翻译（static）

如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static命令配置语法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口，安全级别较高。如inside. external_if_name为外部网络接口，安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。

例1． pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8

表示ip地址为192.168.0.8的主机，对于通过pix防火墙建立的每个会话，都被翻译成61.144.51.62这个全局地址，也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。

例2． pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3

例3． pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8

注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。

b. 管道命令（conduit）

前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到dmz或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。

conduit命令配置语法：

conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]

permit | deny 允许 | 拒绝访问

global_ip 指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。

port 指的是服务所作用的端口，例如使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。

protocol 指的是连接协议，比如：tcp、udp、icmp等。

foreign_ip 表示可访问global_ip的外部ip。对于任意主机，可以用any表示。如果foreign_ip是一台主机，就用host命令参数。

例1. pix525(config)#conduit permit tcp host 192.168.0.8 eq any

这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。eq ftp 就是指允许或拒绝只对ftp的访问。

例2. pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89

表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

例3. pix525(config)#conduit permit icmp any any

表示允许icmp消息向内部和外部通过。

例4. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3

pix525(config)#conduit permit tcp host 61.144.51.62 eq any

这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：192.168.0.3－>61.144.51.62（全局），然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行访问。

c. 配置fixup协议

fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：

例1． pix525(config)#fixup protocol ftp 21

启用ftp协议，并指定ftp的端口号为21

例2． pix525(config)#fixup protocol 80

pix525(config)#fixup protocol 1080

为协议指定80和1080两个端口。

例3． pix525(config)#no fixup protocol smtp 80

禁用smtp协议。

d. 设置telnet

telnet有一个版本的变化。在pix os 5.0（pix操作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pix os 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或***客户端的ipsec隧道。另外就是在pix上配置ssh，然后用ssh client从外部telnet到pix防火墙，pix支持ssh1和ssh2，不过ssh1是免费软件，ssh2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。

telnet配置语法：telnet local_ip [netmask]

local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。

说了这么多，下面给出一个配置实例供大家参考。

welcome to the pix firewall

type help or ’?’ for a list of ailable commands.

pix525> en

password:

pix525#sh config

: sed

:

pix version 6.0(1) ------ pix当前的操作系统版本为6.0

nameif ethernet0 outside security0

nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口

enable password 7y051hhccoirtsqz encrypted

passed 7y051hhccoirtsqz encrypted ------ pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为cisco

hostname pix525 ------ 主机名称为pix525

domain-name 123 ------ 本地的一个域名服务器123，通常用作为外部访问

fixup protocol ftp 21

fixup protocol 80

fixup protocol h323 1720

fixup protocol rsh 514

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060 ------ 当前启用的一些服务或协议，注意rsh服务是不能改变端口号

names ------ 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空

pager lines 24 ------ 每24行一分页

interface ethernet0 auto

interface ethernet1 auto ------ 设置两个网卡的类型为自适应

mtu outside 1500

mtu inside 1500 ------ 以太网标准的mtu长度为1500字节

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1

ip audit info action alarm

ip audit attack action alarm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。

pdm history enable ------ pix设备管理器可以图形化的监视pix

arp timeout 14400 ------ arp表的超时时间

global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用qq聊天等等，上面显示的ip就是这个

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0

conduit permit icmp any any

conduit permit tcp host 61.144.51.43 eq any

conduit permit udp host 61.144.51.43 eq domain any

------ 用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口

route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61

timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute ------ aaa认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证

aaa-server tacacs+ protocol tacacs+

aaa-server radius protocol radius ------ aaa服务器的两种协议。aaa是指认证，授权，审计。pix防火墙可以通过aaa服务器增加内部网络的安全

no snmp-server location

no snmp-server contact

snmp-server community public ------ 由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人

no snmp-server enable traps ------ 发送snmp陷阱

floodguard enable ------ 防止有人伪造大量认证请求，将pix的aaa用完

no sysopt route dnat

telnet timeout 5

ssh timeout 5 ------ 使用ssh访问pix的超时时间

terminal width 80

cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7

pix525#

pix525#write memory ------ 将配置保存

上面这个配置实例需要说明一下，pix防火墙直接摆在了与internet接口处，此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办？你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，show interface查看端口状态，show static查看静态地址映射，show ip查看接口ip地址，ping outside | inside ip_address确定连通性。

防火墙作为网络边界的安全哨卡，其重要性已经越来越得到企业的认可。这就意味着防火墙的市场需求越来越大。也因此，国内外众多商家纷纷投身防火墙市场的激烈竞争，这样就形成了防火墙产品的品牌、档次五花八门，参差不齐，企业选择防火墙也就眼花缭乱，无所适从。那么，作为企业级用户，如何来选择一款既满足需求，又价格合理的防火墙产品呢？　　一、做好需求分析

选择合适产品的一个前提条件就是，明确企业本身的具体需求。因此，选择产品的第一个步骤就是针对企业自身的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。

二、选择原则

在整理出具体的需求以后，可以得到一份防火墙的需求分析报告。下一步的工作就是在众多的品牌和档次中选出满足各种需求的品牌，并考虑一定的扩展性要求。选择的主要原则有：

第一，以需求为导向，选择最适合本企业需求的产品。由于防火墙的各项指标具有较强的专业性，因此企业在选择时，有必要把防火墙的主要指标和需求联系起来。另外，还要考虑到企业可承受的性价比。

第二， 对于产品的选型，可参考的指标来源有厂家提供的技术白皮书、各种测评机构的横向对比测试报告，从中可以了解产品的一些基本性能情况。

第三，要完全按照企业的实际需求来对比各种品牌的满足程度，最好是根据需求，定制一套解决方案，并对防火墙在统一测试条件和测试环境下进行横向对比。

三、了解产品的性能指标

性能指标主要包括吞吐量、丢包率、延迟、最大并发连接数、并发连接处理速率等。用户在选择时，应该根据自身的网络规模和需求，对上述几个指标参数进行详细了解，选择适合的产品。以上指标可以向有关技术人员询问请教。

四、入侵防护错施

基于市场的需要和用户的期盼，北京亚维恩科信息技术有限公司推出了金盾软、硬件防火墙入侵防护解决方案。

金盾硬件防火墙用高效率的核心攻击检测&防护模块，能有效地保护企业的网络。基于各个平台底层的核心模块，提供高效率的防护手段，经测试,百兆网络条件，本产品在平均90MBPS的DOS，DDOS攻击流量下仍可保证100%的连接成功率。

目前，

金盾防火墙产品系列包括软件（金盾---FW30、金盾---FW50、金盾----无限）三种，硬件（JDFW---100、JDFW---1000）二种，它们为企业安全网络提供了所需要的性能和功能。良好的解决方案为用户提供了完善的防护体系，可完全防护如SYNFlood攻击，全连接攻击，UDP Flood攻击，ICMP Flood攻击，碎片攻击等各种DDOS

，DDOS攻击模式。