防火墙配置问答（上）

　　1、 规则的执行顺序是怎样的？

　　执行顺序为：安全选项预定义、目的nat 规则、内容过滤规则、其他过滤规则、源nat．

　　2、 在防火墙上ping ,发现网络不通，可能的问题？

　　网线的连接，路由问题，对方不允许（加在了防火墙）．

　　3、 内网、dmz网不能访问外网，可能的问题？

　　网线的问题；

　　防火墙未启动；

　　规则中未允许相应的服务，如未允许icmp 包通过就ping 不通；

　　路由或nat不正确；

　　设置了macip 或  auth 安全选项，用户没有登陆或没有在macip 表中加入正确的绑定信息；

　　使用了代理，但未在ip 表中添加允许的ip 地址表；

　　设置了spoof ，但防火墙的外网卡为保留IP 或内网机器的ip 不在防火墙内网卡ip 的网络掩码范围内．

　　4、 外网，内网不能访问dmz服务器，可能有哪些问题？

　　 网线的问题；

　　防火墙未启动；

　　规则中未允许相应的服务，如未允许icmp 包通过就ping 不通；

　　路由或nat不正确；

　　dmz服务器的缺省网关没有设置为防火墙的相关地址；

　　设置了”SYN ”安全选项，使外网不能访问DMZ；

　　对内网的用户，设置了macip 或  auth 安全选项，用户没有登陆或没有在macip 表中加入正确的绑定信息．

　　5、 那些安全选项对访问控制影响较大？

　　 (1)有DROP、MACIP  AUTH  SYN  SPOOF  DROP .DROP 使缺省拒绝，方式没有明确接受的都是不允许通过；

　　(2)MACIP  AUTH 控制内网对外网的访问，一旦指定，内网用户必需使用MAC地址和IP 地址都符合的机器、并通过用户登录认证后才能访问外网；

　　(3)SYN 控制外网对内部网络的访问，一旦选中，在规则中允许外部访问DMZ 服务器，访问也是被禁止的，此选项用于不向外提供INTERNET服务 的场合；

　　(4)设置了SPOOF控制IP 地址欺骗，不允许从外网卡进入源地址为部不合法的IP地址的包，不允许从内网卡进入源地址为不合法的IP 地址的包，不允许从内网卡进入源地址为非内网段IP 地址的包，不允许从DMZ网卡进入源地址为非DMZ 网段的IP 地址的包。