SmartHammerG503防火墙原理与配置(1)

　　这两天与电信联合切接一个网络工程对港湾防火墙多了些了解在这里写出来，希望对想了解港湾防火墙的朋友或许有帮助

　　G503：

　　硬件配置：

　　1个PCI插槽 3个GE（电口/SFP互斥） 内存：1G NVRAM：128K

　　FLASH：32M CF插槽：1个（支持FAT文件系统） Console/AUX：各1个

　　性能参数：

　　并发连接数：65万 最大吞吐量：2Gbps

　　每秒新建会话：30K 策略数：8K

　　NAT连接数：650，000

　　缺省情况下，SmartHammer防火墙在没有任何配置情况下，安全策略默认是启动的，各接口的安全级别都为0，即互相之间不可互相访问，这样是为了达到不经过任何配置，防火墙就已经实现安全隔离的目的；安全级别具备0－100个等级，数字越大，表示级别越高，一般情况下，确定好内部网络和外部网络的接口后，配置内部接口的安全级别最高，外部接口的安全级别最低；

　　在简单的应用条件下，可以首先确定防火墙的内部接口、外部接口及DMZ接口，并分别赋予不同的优先级别，一般来将，内部接口的优先级最高，DMZ次之，外部接口最低，这样就保证了内部接口对外部的全权访问，而外部主机无法主动访问内部网络；

　　在SmartHammer防火墙的实现策略中，设备本身也作为一个特殊的接口，可以通过local的相关指令来进行配置管理优先级别，在后面的文档中将详细介绍.

　　SmartHammer防火墙对于接口到达的数据，一般要经过3个方面的检测，状态检测、规则匹配和缺省策略；基本的原则如下：

　　1、对于已建连接，数据包允许通过，此时不在做后面的检测，体现了基于状态防火墙的主要特点；

　　2、对于非已建连接，要查看入接口和数据包将要转发的出接口是否能够匹配到规则，如果在入接口或出接口匹配到显示的规则，则根据规则匹配的情况进行相应通过或drop处理，而不再检测缺省策略；规则匹配的顺序是先入口，再出口；

　　3、对于在情况2中，入接口和出接口都没有匹配到规则的情况，此时执行缺省策略，在SmartHammer防火墙中，缺省策略是有安全级别来决定的；

　　对于已建连接和相关连接，防火墙允许数据包通过，相关连接如ftp协议的20和21端口，有内部网络发起的ftp协议连接请求成功后，ftp的数据传输数据连接就属于相关连接，可以通过；