防火墙配置案例(精选7篇)
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [ normal | specia l ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】
系统缺省不配置任何访问规则。
【命令模式】
全局配置模式
【使用指南】
同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。
使用协议域为IP的扩展访问列表来表示所有的IP协议。
同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】
允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相关命令】
ip access-group
二、clear access-list counters 清除访问列表规则的统计信息,
电脑资料
clear access-list counters [ listnumber ]
【参数说明】
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】
任何时候都不清除统计信息。
【命令模式】
特权用户模式
【使用指南】
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters
【相关命令】
access-list
三、firewall 启用或禁止防火墙。
firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewall enable
【相关命令】
access-list,ip access-group
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
运用VLAN技术可提高网管效率和安全性, 随着支持VLAN的防火墙广泛应用, 使得网管能力更强, 更灵活便捷。以下笔者就以笔者单位工作中防火墙跨VLAN管理为例做详细介绍。
需求分析
随着信息化进程的加速, 单位构建了跨城区多区域信息网络 (如图1所示) 。中兴ZXR10 T40G为企业核心区域交换机, 在各分支机构部署了可网管三层交换机。为方便管理, 总部对部门及下级单位通过VLAN进行业务划分, 取得了较好效果。但随着业务的发展, 因下级单位的业务服务逐步融合交叉, 导致原有网络结构的安全控制功能不强, 难以实现精细化的管控。为解决这些问题, 单位将联想网御防火墙部署到网络中, 方便对各区域网络业务功能进行精确控制。
网络拓扑如图1所示, ZXR10 T40核心交换机划分多个VLAN, 其中VLAN20、VLAN21对应下级单位1的网段, VLAN30对应下级单位2的网段, VLAN10为本级内网段。本单位特殊通信服务 (以下简称TSTX服务) 要求网络区段间的访问规则必须满足以下规则:1.防火墙默认策略为禁止。2.VLAN20和V L A N 2 1之间允许TSTX服务。3.VLAN10对VLAN20、VLAN21、VLAN30允许TSTX服务。
配置方案
由于最初未考虑到下级单位1中有两个VLAN, TSTX服务需要跨VLAN, 所以在配置防火墙时只是添加了地址段, 并对防火墙端口进行进出流控制, 最终导致下级单位1的VLAN20和VLAN21之间不能正常使用TSTX服务。经过分析认为必须在防火墙中创建VLAN设备, 并对VLAN设备进行策略配置, 才能使下级单位1中的两个VLAN间正常使用TSTX服务。为此, 规划以下配置方案:
1.Fe1连接下级单位1交换机的TRUNK口, IP地址为192.168.100.1, 掩码为255.255.255.0。
2.创建VLAN设备Fe1.20, 绑定设备Fel, VLAN ID为“20”, 工作在“路由模式”, IP地址为192.168.10.1, 掩码为255.255.255.0。
3.创建VLAN设备Fe1.21, 绑定设备Fel, VLAN ID为“21”, 工作在“路由模式”, IP地址为192.168.11.1, 掩码为255.255.255.0, 如图2所示。
4.FE2连接下级单位2交换机的TRUNK口, IP地址为192.168.200.1, 掩码为255.255.255.0。
5.FE3接到核心交换机ZXR10 T40G, IP地址为172.16.1.1, 掩码为255.255.255.0。
6.VLAN20网关为192.168.10.1, VLAN21网关为192.168.11.1, V L A N 3 0网关为192.168.20.1。
操作流程与步骤
首先添加地址资源:
1.V L A N 2 0_N E T为:192.168.10.0, 掩码为255.255.255.0。
2.V L A N 2 1_N E T为:192.168.11.0, 掩码为255.255.255.0。
3.V L A N 3 0_N E T为:192.168.20.0, 掩码为255.255.255.0。
4.V L A N 1 0_N E T为:172.16.1.0, 掩码为255.255.255.0。
其次配置访问策略:
1.添加包过滤规则:源地址VLAN20_NET, 目的地址VLAN21_NET, 服务TSTX, 动作为允许, 如图3所示。
2.添加包过滤规则:源地址VLAN21_NET, 目的地址VLAN20_NET, 服务TSTX, 动作为允许。
3.添加包过滤规则:源地址VLAN10_NET, 目的地址VLAN20_NET, 服务TSTX, 动作为允许。
4.添加包过滤规则:源地址VLAN10_NET, 目的地址VLAN21_NET, 服务TSTX, 动作为允许。
5.添加包过滤规则:源地址VLAN10_NET, 目的地址VLAN30_NET, 服务TSTX, 动作为允许。
关键词:企业;防火墙;选择;配置
一、引言
中小型企业用户在选择和配置自己的防火墙产品时,要根据自己网络的特点针对性地考虑配置方案,既要安全可靠,又要简单易用,经济可行。
众所周知,防火墙是一种隔离控制技术,在企业的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止信息从企业的网络上被非法输出。所以,防火墙是一道门槛,可以控制进、出两个方向的通信。防火墙由一台或多台机器组成,它用一组软件将外部网络与内部网络隔开。
下面分别从几个不同的方面来分析基于中小型企业的防火墙选择与配置策略。
二、防火墙网关的基本类型
中小型企业的网络一般不是很大,如果要选择适合自己网络的防火墙,首先看看在中小型企业的防火墙设计中,有哪些类型的武器可以来对抗对网络的攻击。数据包过滤器是最廉价但却很实用的防火墙网关。它只使用一个路由器连接到互联网上,无需另外的费用。其工作方式通过基于数据包的源地址、目的地址或TCP端口来进行投递的。一般不保持前后连接信息,过滤的决定也是根据当前数据包的内容来定。
应用级网关是建立在网络应用层上的协议过滤,在防火墙技术中代表了相反的方面。它不像包过滤那样拦截所有的信息,而是针对每一个特定的应用都有一个程序,即在网络的应用层实现防火墙的功能。其优点是可以很方便地记录并控制所有的进、出通讯。但也有其弱点,就是这样的防火墙通常只能防范来自外部的攻击,如果破坏来自内部则无能为力。
三、需考虑的策略和关注的性能因素
除了考虑应用不同的网关技术以外,在中小型企业防火墙的选择和设置时还应考虑以下因素和策略:
1、安全策略。就防火墙来说,它只是一个单独的产品,要想靠一个防火墙来实现网络的安全是不现实的。实现网络的安全,整体上要有一个安全策略的问题,一个安全的防火墙配置一套不安全的策略也是没有效果的。安全的策略包括网络中的其他安全设施,包括这些安全设施如何同防火墙协同工作等等。
2、防火墙的稳定性。只有性能稳定,才可能真正实现防火墙的应有功能,所以产品最好通过专业人士或测评机构的认可。
3、防火墙的整体性能。防火墙不仅能更好的保护防火墙后面的内部网络安全,而且应该具有更优良的整体性能。速度不一定越快越好,像一些小的局域网出口速率不到1M/s,即使考虑到以后扩展的可能,如选用100M/s的防火墙就是多余的,所以设置方案要经济可行。
4、对不同接入方式的适应性。适应性小了,局限性就大了。
5、配置的方便性。选择防火墙时,一定要看它的配置是否容易掌握。否则,复杂的配置对网络管理员将是一个极大的考验。
6、可扩展性和可升级性。要留有足够的拓展空间才能适应将来迅速发展和变化的安全要求,要支持新的服务的加入。
7、有用的日志。防火墙日志对网络管理员来说至关重要。防火墙日志应具有可读性,而且防火墙应有精简日志的能力。
8、扫毒功能。
四、防火墙的具体安全配置
中小型企业局域网上不同的服务往往有各自不同的特点。有些服务是必须对外开放的,而有些服务是可以不提供的。对于各种不同的服务,防火墙的配置方式也是不同的。
1、电子邮件
电子邮件是一种广泛的Internet服务,正是它常常给广大用户带来麻烦。其中惹祸的根源往往是Sendmail程序和SMTP协议。对此,应在防火墙上安装Smap和Smapd这两个应用程序来限制Sendmail的权限,放弃SMTP一些次要的功能,并尽可能地减少处理命令,来获得更好的安全性。
2、Telnet服务
Telnet服务可以用来访问BBS站点和执行远程调用。不过它有个最大的安全问题:访问服务器的时候,口令的验证大都是采用明文验证。这样用户名和口令在传输时很容易被监听。但是管理员在配置时对于出站和入站是有不同的态度的。通常,它希望内部的用户可以访问出站的Telnet服务,另外,它不想让入站的Telnet访问它的站点,所以要严格控制入站服务。
3、WWW服务
WWW服务虽然功能强大,对另一方面隐患也是很多。
1)、HTTP协议。HTTP协议中的一个漏洞就是允许远程用户对远程服务器请求通信及远程执行命令,这会危及Web服务器和用户。另一个问题就是服务器日志。通常Web服务器会记录下各种用户的请求和数据信息,而HTTP对这些信息的检索不设限制导致安全问题。这可以通过设置代理服务器或者设置加密通信来解决。
2)、Java Applet和Java Script。由于Java Applet是在客户端执行,所以机器对它带来的各种风险也照单全收。它本身存在一些特殊的安全漏洞,即任意执行机器指令的能力、易受到拒绝服务的攻击和可以与任意的主机建立连接。虽然Java的实现中的大部分Bug已经修复,但事实上仍然还存在潜在的、严重的安全漏洞。让一般的管理员发现这样的漏洞比较困难,但是及时为系统打上补丁还是可以做到的。当然也可以把此功能禁止掉,对于中小型网络,没有此功能不会有太大的影响。
3)、Cookie。Cookie只是浏览器动作的一小段影像,并不会窃取有关你的计算机系统的信息。它们只能在某种程度上存储你提供的信息,所以不必对此惊慌,既可以方便地在防火墙中设置是否存储Cookie,也可以手工删除它们。
4、FTP服务
FTP的安全性其实像Telnet一样,很大程度上要依靠于身份认证的是否强大,这里主要说匿名FTP的安全问题。首先,匿名用户不应该有任何的特殊的权限。其次,不要在~ftp/bin,~ftp/usr/bin,~ftp/sbin或类似的目录下存放任何系统命令。另外确保FTP的根目录的访问权限被设为555(read nowrite execute),文件所有者被设置成Root而不是FTP,并确保在FTP的根目录下的Password不是/etc/password的完全拷贝。
主要参考文献
1、高传善、钱松荣、毛迪林著 《数据通讯与计算机网络》北京 高等教育出版社2001、7
2、诺亚,从防火墙说起,防火墙的安全配置, 中国电脑教育报 2003、1、20 ,A48
3、徐洪涛,防火墙选购,中国电脑教育报,2003、1、20,A50
4、戴英侠、连一峰、王航著《系统安全与入侵检测》清华大学出版社2002、3
访问规则描述了网络卫士防火墙允许或禁止匹配访问控制规则的报文通过。防火墙接收到报文后,将顺序匹配访问规则表中所设定规则。一旦寻找到匹配的规则,则按照该策略所规定的操作(允许或丢弃)处理该报文,不再进行区域缺省属性的检查。如果不存在可匹配的访问策略,网络卫士防火墙将根据目的接口所在区域的缺省属性(允许访问或禁止访问),处理该报文。在进行访问控制规则查询之前,网络卫士防火墙将首先查询数据包是否符合目的地址转换规则。如果符合目的地址转换规则,网络卫士防火墙将把接收的报文的目的IP 地址转换为预先设置的IP 地址(一般为真实IP)。因此在进行访问规则设置时,系统一般采用的是真实的源和目的地址(转换后目的地址)来设置访问规则;同时,系统也支持按照转换前的目的地址设置访问规则,此时,报文将按照转换前的目的地址匹配访问控制规则。
根据源、目的配置访问控制规则
基本需求
系统可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配,访问控制规则的源和目的既可以是已经定义好的VLAN 或区域,也可以细化到一个或多个地址资源以及用户组资源。与包过滤策略相同,访问控制规则也是顺序匹配的,系统首先检查是否与包过滤策略匹配,如果匹配到包过滤策略后将停止访问控制规则检查。但与包过滤策略不同的是访问控制规则没有默认规则。也就是说,如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话,系统将根据目的接口所在区域的缺省属性(允许访问或禁止访问)处理该报文。
案例:某企业的网络结构示意图如下图所示,网络卫士防火墙工作在混合模式。Eth0 口属于内网区域(area_eth0),为交换trunk 接口,同时属于VLAN.0001 和VLAN.0002,vlan.0001 IP 地址为192.168.1.1,连接研发部门文档组所在的内网(192.168.1.0/24);vlan.0002 IP 地址为192.168.2.1,连接研发部门项目组所在的内网(192.168.2.0/24)。
图 25 根据源、目的进行访问控制示意图
Eth1 口IP 地址为192.168.100.140,属于外网area_eth1 区域,公司通过与防火墙Eth1口相连的路由器连接外网。Eth2 口属于area_eth2 区域,为路由接口,其IP 地址为172.16.1.1,为信息管理部所在区域,有多台服务器,其中Web 服务器的IP 地址:172.16.1.3。
用户要求如下:
内网文档组的机器可以上网,允许项目组领导上网,禁止项目组普通员工上网。
外网和area_eth2 区域的机器不能访问研发部门内网;
内外网用户均可以访问area_eth2 区域的WEB 服务器。
配置要点
设置区域对象的缺省访问权限:area_eth0、area_eth2 为禁止访问,area_eth1 为允许访问。
定义源地址转换规则,保证内网用户能够访问外网;定义目的地址转换规则,使得外网用户可以访问area_eth2 区域的WEB 服务器。
定义访问控制规则,禁止项目组除领导外的普通员工上网,允许内网和外网用户访问area_eth2 区域的WEB 服务器。
WebUI 配置步骤
1)设定物理接口eth1 和eth2 的IP 地址。
选择 网络管理 > 接口,激活“物理接口”页签,然后点击Eth1、Eth2 端口后的“设 置”字段图标,添加接口的IP 地址。如下图所示。
2)添加VLAN 虚接口,设定VLAN 的IP 地址,再选择相应的物理接口加入到已添 加的VLAN 中。
a)选择 网络管理 > 二层网络,激活“VLAN”页签,然后点击“添加/删除VLAN 范围”,如下图所示。
b)设定VLAN 虚接口的IP 地址。
点击VLAN 虚接口的“修改”字段图标,在弹出界面中设置VLAN.0001 的IP 为:
192.168.1.1,掩码为:255.255.255.0;VLAN.0002 的IP 为:192.168.2.1,掩码为:255.255.255.0。如下图所示。
c)设定VLAN 和物理接口的关系。
选择 网络管理 > 接口,激活“物理接口”页签,然后点击eth0 接口后的“设置” 字段图标,设置接口信息,如下图所示。3)定义主机、子网地址对象。
a)选择 资源管理 > 地址,选择“主机”页签,定义主机地址资源。定义WEB 服 务器主机名称设为172.16.1.3,IP 为172.16.1.3;定义虚拟WEB 服务器(即WEB 服务器 的在外网区域的虚拟IP 地址)主机名称设为192.168.100.143, IP 为192.168.100.143;定义 接口主机地址资源192.168.100.140(也可以是其他字符串),主机名称设为192.168.100.140, IP 为192.168.100.140;定义文档服务器,主机名称设为doc_server, IP 为10.10.10.3。定义 完成后的界面如下图所示:
b)选择 资源管理 > 地址,选择“子网”页签,点击“添加”定义子网地址资源。资源名称rd_group,以及网络地址192.168.2.0、子网掩码255.255.255.0 以及排除领导地 址:10.10.11.2 和10.10.11.3。
4)定义区域资源的访问权限(整个区域是否允许访问)。
选择 资源管理 > 区域,设定外网区域area_eth1 的缺省属性为“允许”访问,内网 区域area_eth0 和area_eth2 的缺省属性为“禁止”访问。以area_eth1 为例,设置界面如 下图所示。
设置完成后的界面如下图所示。5)选择 防火墙 > 地址转换,定义地址转换规则。a)定义源地址转换规则,使得内网用户能够访问外网: 选择“源转换”。
① 选择“源”页签,参数设置如下图所示。不设置参数,表示不对报文的源进行限 制。
② 选择“目的”页签,参数设置如下图所示。
③ 选择“服务”页签,参数设置如下图所示。
转换源地址对象为“192.168.100.140”。设置完成后的规则如下图所示。
b)定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2 区域 的 WEB 服务器。选择“目的转换”
① 选择“源”页签,设置参数如下图所示。不设置参数,表示不对报文的源进行限 制。
② 选择“目的”页签,设置参数如下图所示。
③ 选择“服务”页签,设置参数如下图所示。“目的地址转换”为地址资源“172.16.1.3”。设置完成后的界面如下图所示。
6)选择菜单 防火墙 > 访问控制,定义访问控制规则。a)允许内网和外网用户均可以访问WEB 服务器
由于Web 服务器所在的area_eth2 区域禁止访问,所以要允许内网和外网用户均可以 访问Web 服务器,需要定义访问控制规则如下。① 选择“源”页签,参数设置如下图所示。
源VLAN 和源区域不选择,表示不对区域加以限制; ② 选择“目的”页签,参数设置如下图所示。③ 选择“服务”页签,参数设置如下图所示。
b)允许项目组领导访问外网,禁止项目组普通员工rd_group 访问外网。由于外网区域允许访问,所以需要添加禁止访问外网的规则如下: ① 选择“源”页签,参数设置如下图所示。
② 选择“目的”页签设置如下图所示。
③ 选择“服务”页签,参数设置如下图所示。
CLI 配置步骤
1)设定物理接口eth1 和eth2 的IP 地址。#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 2)添加VLAN 虚接口,设定VLAN 的IP 地址,再选择相应的物理接口加入到已添 加的VLAN 中。
#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3)定义主机、子网地址资源。
#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except ‘10.10.11.2 10.10.11.3’
4)设置区域资源的缺省访问权限:area_eth0、area_eth2 为禁止访问,area_eth1 为允 许访问(缺省权限,无需再设定)。
#define area add name area_eth0 access off attribute eth0(不允许访问内网)#define area add name area_eth2 access off attribute eth2(不允许访问内网)5)定义地址转换规则。
定义源地址转换规则,使得内网用户能够访问外网。
#nat policy add dstarea area_eth1 trans_src 192.168.100.140 定义目的地址转换规则,使得内网文档组以及外网用户都可以访问area_eth2 区域的 WEB 服务器。
#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6)定义访问控制规则。
允许内网和外网用户均可以访问WEB 服务器
#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 允许项目组领导访问外网,禁止项目组普通员工访问外网
#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 注意事项
1)目的地址需要选择WEB 服务器的真实IP 地址,因为防火墙要先对数据包进行目 的地址转换处理,当内网用户利用http://192.168.100.143 访问SSN 区域的Web 服务器时,由于符合NAT 目的地址转换规则,所以数据包的目的地址将被转换为172.16.1.3。然后才 进行访问规则查询,此时只有设定为WEB 服务器的真实IP 地址才能达到内网用户访问 SSN 区域WEB 服务器的目的。网络卫士系列防火墙处理数据包的流程请参考用户手册相 关章节。
2)定义目的地址转换规则时,不能选择目的区域与目的VLAN。
根据源端口配置访问控制规则
基本需求
案例:某银行系统应用软件使用特定的端口进行业务主机与服务器间的数据通信,为 了保证数据及设备的安全,禁止其他对于业务主机和服务器的访问。网络结构示意图如下所示。
图 26 根据源端口进行访问控制示意图
业务主机可以使用特殊端口访问服务器,不能使用其他端口。业务主机区域和服务器 区域禁止其他类型的访问。
配置要点
定义区域:area_eth1、area_eth2。
定义服务端口:FS_port
设置访问控制规则
WebUI 配置步骤
1)定义区域area_eth1 为禁止访问,并与属性eth1 绑定。选择 资源管理 > 区域,点击“添加”,如下图所示。
2)定义区域area_eth2 为禁止访问,并与属性eth2 绑定。
具体操作与area_eth1 相似,请参考area_eth1 的定义过程完成。3)定义服务端口
由于系统使用的通信端口是:4500,不是通常使用的协议端口,在设置规则前需要自 定义端口。
选择 资源管理 > 服务,激活“自定义服务”页签,进入自定义服务页面。点击右 侧“添加”,如下图所示。
选择类型:TCP,设置名称:FS_port,服务器实际使用的端口:4500。完成后点击“确 定”按钮。
4)定义访问控制规则
该规则为来自area_eth1 区域使用源端口为4500 的数据包允许通过防火墙访问 area_eth2 区域。
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,参数设置如下图所示。
c)选择“服务”页签,参数设置如下图所示。
d)选择“选项”页签设置参数如下。由于所使用的软件系统所建立的连接需要长时期保持,在“连接选项”中选择“长连 接”,根据需要选择“日志记录”。点击“确定”完成ACL 规则设置。
CLI 配置步骤
1)定义区域:area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2 access off attribute eth2 2)定义服务端口:FS_port #define service add name FS_port protocol 6 port 4500 3)设置访问控制规则
#firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes
注意事项
由于环境所限此案例未能进行实际测试,仅供参考使用。
根据特定服务配置访问控制规则
基本需求
在进行访问控制规则的设置时,可以对用户所能访问的服务进行控制,系统预定义了
可控制的常见服务,可以实现二到七层的访问控制,用户也可以自定义服务进行访问控制。案例:某企业网络被防火墙化分为三个区域area_eth0、area_eth1 和area_eth2,三个
区域分别与接口Eth0、Eth1 和Eth2 绑定,area_eth0 连接外网,允许用户访问,area_eth1 和area_eth2 区域禁止用户访问。服务器位于area_eth1,IP 地址为192.168.100.140,内网 位于area_eth2,网络地址为192.168.101.0。企业的网络结构如下图所示。
要求:
允许内网用户访问服务器的TELNET、SSH、FTP 和Web_port 服务,其中Web_port 服务为自定义服务,端口号为8080;但不能访问Eth1 口的其他服务器和其他服务。不允许外网用户访问Eth1 口服务器的TELNET 和SSH 服务。图 27 根据服务设置访问控制规则示意图
配置要点
定义区域和地址资源
定义服务资源
定义服务组资源 设置访问控制规则
WebUI 配置步骤
1)定义区域和地址资源
a)定义区域资源area_eth0、area_eth1 和area_eth2,分别与Eth0、Eth1 和Eth2 绑定。区域权限均为“允许”。
选择 资源管理 > 区域,点击“添加”添加区域资源,界面如下图。① 添加区域area_eth0。② 添加区域area_eth1。③ 添加区域area_eth2。
服务热线:8008105119 183 设置完成后界面如下图所示。b)定义IP 地址资源
选择 资源管理 > 地址,选择“主机”页签,点击“添加”,如下图所示。c)定义子网资源
选择 资源管理 > 地址,选择“子网”页签,点击“添加”,如下图所示。
2)设置自定义服务
选择 资源管理 > 服务,激活“自定义服务”页签,配置自定义服务“Web_port” 如下图所示。
3)设置服务组资源
选择 资源管理 > 服务,激活“服务组”页签,配置服务组“内网访问服务”如下 图所示。
本例中服务组名称为“内网访问服务”,包括“Web_port、SSH、TELNET、FTP”。4)设置访问控制规则。由于服务器所在区域area_eth1 禁止访问,所以只要定义允许 访问的规则即可。
a)设置允许内网area_eth2 的网段为192.168.101.0/24 的用户访问area_eth1 的服务器(192.168.100.140)SSH、TELNET、FTP 以及8080 端口服务的访问控制规则 选择 防火墙 > 访问控制,点击“添加”按钮,设置访问控制规则。① 选择“源”页签,参数设置如下图所示。
② 选择“目的”页签,参数设置如下图所示。
服务热线:8008105119 187 ③ 选择“服务”页签,参数设置如下图所示。
服务热线:8008105119 188 设置完成的ACL 规则如下图所示。
b)设置仅允许外网区域(area_eth0)的用户访问服务器的8080 端口的服务访问控制 规则。
选择 防火墙 > 访问控制,点击“添加”按钮,设置访问控制规则。① 选择“源”页签,参数设置如下图所示。
服务热线:8008105119 189 ② 选择“目的”页签,参数设置如下图。
服务热线:8008105119 190 ③ 选择“服务”页签,参数设置如下图。
服务热线:8008105119 191 设置完成后的ACL 规则如下图所示。
CLI 配置步骤
1)定义区域资源
#define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth2 access on attribute eth2 2)定义主机和子网地址资源
#define host add name 192.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 内网 ipaddr 192.168.101.0 mask 255.255.255.0 3)设置自定义服务,服务名为Web_port,端口号为8080。#difine service add name Web_port protocol tcp port 8080 4)设置服务组资源,组名称为“内网访问服务”,包括Web_port、FTP、TELNET 和SSH 服务。
#difine group_service add name 内网访问服务 member Web_port,FTP,TELNET,SSH 5)设置访问控制规则
a)区域“area_eth2”的子网对象“内网”(192.168.101.0/24)允许访问区域“area_eth1” 的服务器的Web_port、FTP、TELNET 和SSH 服务(有自定义服务组“内网访问服务”绑 定),服务器的IP 地址为192.168.100.140。
#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 内网dst 192.168.100.140 service 内网访问服务 enable yes
服务热线:8008105119 192 b)设置仅允许外网用户访问服务器192.168.100.140 的8080 端口的服务访问控制规 则。
#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 注意事项
如果只允许开放某些服务,其他服务均被禁止,可以设置目的区域的默认访问权限为 “禁止”,系统在匹配完访问控制规则后将自动匹配区域的默认访问权限。
根据转换前目的地址配置访问控制规则
基本需求
背景:某企业的WEB 服务器(IP:192.168.83.56)通过防火墙将其IP 地址MAP 为
202.45.56.5 对外提供WEB 服务。WEB 服务器连在防火墙的Eth1 口(IP:192.168.83.2),且防火墙通过Eth0 口(IP:202.45.56.3)与Internet 相连,如下图所示。
图 28 根据转换前目的进行访问控制示意图
需求:为了保护企业网络的安全,网关Eth1 接口所属的区域area_eth1 设置为禁止访 问,要求Internet 用户只可访问企业WEB 服务器的HTTP 服务,要求用WEB 服务器的 MAP 地址202.45.56.5 作访问控制。
服务热线:8008105119 193 配置要点
定义主机地址资源
定义地址转换策略
定义访问控制规则
WebUI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。选择 资源管理 > 区域,点击“添加”,如下图。
2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机对象V-WebServer。选择 资源管理 > 地址,激活“主机”页签,定义主机地址资源R-WebServer 和 V-WebServer。
定义R-WebServer 主机地址资源图。
服务热线:8008105119 194 定义V-WebServer 主机地址资源图。3)定义地址转换规则。
选择 防火墙 > 地址转换,并在右侧界面中点击“添加”定义目的地址转换规则。选择“目的转换”。
a)选择“源”页签,设置参数如下图。
服务热线:8008105119 195 b)选择“目的”页签,参数设置如下。
服务热线:8008105119 196 c)选择“服务”页签,参数设置如下。设置完成后的目的NAT 规则如下图所示。4)设置访问控制规则。
选择 防火墙 > 访问控制,并在右侧界面中点击“添加”定义访问控制规则。
服务热线:8008105119 197 a)选择“源”页签,参数设置如下。b)选择“目的”页签,设置根据转换前的目的地址进行访问控制。参数设置如下。
服务热线:8008105119 198 c)选择“服务”页签,参数设置如下。
服务热线:8008105119 199 设置完成后的ACL 规则如下图所示。至此,WEBUI 方式的配置完成。
CLI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。#define area add name area_eth1 access off attribute eth1 2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer。定义R-WebServer 主机地址资源
#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255.定义V-WebServer 主机地址资源
#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255.3)定义地址转换规则。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4)设置访问控制规则。
#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes
注意事项
1)因为该案例要求internet 用户只可访问内网中WEB 服务器的HTTP 服务,因此需 要事先拒绝internet 用户的所有访问,再定义访问控制规则允许其访问HTTP 服务。2)对转换前的目的地址进行匹配时,只需在“转换前目的地址”中进行选择目的地 址,而无须在“目的地址”中再选择地址。
3)在配置过程中,请确保没有与该规则相冲突的地址转换策略和阻断策略。
根据转换后目的地址配置访问控制规则
基本需求
背景:某企业的WEB 服务器(IP:192.168.83.56)通过防火墙将其IP 地址MAP 为
202.45.56.5 对外提供WEB 服务。WEB 服务器连在防火墙的Eth1 口(IP:192.168.83.2),且防火墙通过Eth2 口(IP:202.45.56.3)与Internet 相连,如下图所示。
需求:为了保护企业网络的安全,要求Internet 用户只可访问企业WEB服务器的HTTP 服务,要求用WEB 服务器的IP 地址192.168.83.56 做访问控制。图 29 根据转换后目的进行访问控制示意图
配置要点
定义主机地址资源
定义地址转换策略
定义访问控制规则
WebUI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。选择 资源管理 > 区域,点击“添加”,如下图。
2)定义WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer。选择 资源管理 > 地址,激活“主机”页签,在右侧界面中点击“添加”定义主机 地址资源R-WebServer 和V-WebServer。定义R-WebServer 主机地址资源。定义V-WebServer 主机地址资源。3)定义地址转换规则。
选择 防火墙 > 地址转换,并在右侧界面中点击“添加”定义目的地址转换规则。选择“目的转换”。
a)选择“源”页签,设置参数如下图。
b)选择“目的”页签,参数设置如下。
c)选择“服务”页签,参数设置如下。设置完成后的目的NAT 规则如下图所示。4)设置访问控制规则。
a)选择“源”页签,参数设置如下。
b)选择“目的”页签,设置根据NAT 转换后的目的地址(R_WebServer)进行访问 控制。参数设置如下。
c)选择“服务”页签,参数设置如下。
设置完成后的ACL 规则如下图所示。至此,WEBUI 方式的配置完成。
CLI 配置步骤
1)将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。#define area add name area_eth1 access off attribute eth1 2)定义WEB 服务器主机对象R-WebServer 和虚拟主机对象V-WebServer。定义R-WebServer 主机地址资源
#define host add name R-WebServer ipaddr 192.168.83.56 定义V-WebServer 主机地址资源
#define host add name V-WebServer ipaddr 202.45.56.5 3)定义地址转换规则。
#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4)设置访问控制规则。
#firewall policy add src any dst R-WebServer service HTTP action accept enable yes 注意事项
1)因为该案例要求internet 用户只可访问内网中WEB 服务器的HTTP 服务,因此需 要事先拒绝internet 用户的所有访问,再定义访问控制规则允许其访问HTTP 服务。2)当TOS 设备处理经过地址转换的数据包时,匹配的是目的地址转换后的地址,故 一般不需要设置“转换前目的”中的地址。
3)在配置过程中请确保没有与该规则相冲突的地址转换策略和阻断策略。
基于认证用户的访问控制
用户认证的主要目的是为了对用户进行身份鉴别、授权以及进行细粒度的访问控制,用户认证的方式主要包括本地认证(密码和证书)和第三方认证(Radius、Tacacs、SecurID、LDAP 以及域认证等等),通过将认证用户设置为用户组,访问控制规则的源和目的即可 以是用户组对象,从而实现基于本地密码认证、OTP 认证以及第三方认证用户的细粒度 的访问控制。
基本需求
Area_eth2 区域为研发部门内网,禁止外网和其余部门访问,只允许内网area_eth1 区 域的某些用户通过TOPSEC 认证客户端访问内网主机10.10.10.22 的TELNET 服务。图 30 基于认证用户的访问控制示意图 配置要点
设置区域属性
设置NAT 地址转换规则
设置认证服务器和用户组
开放相关接口的认证服务
设置基于认证用户的访问控制规则。
设置用户认证客户端
WebUI 配置步骤
1)设置区域属性,添加主机地址资源。
a)选择 资源管理 > 区域,定义内网区域area_eth2 的缺省属性为禁止访问。外网区域area_eth1 为允许访问。
b)选择 资源管理 > 地址,激活“主机”页签,定义内网TELNET 服务器的真实IP 地址资源(10.10.10.22)。
定义虚拟IP 地址资源(192.168.83.223)。如下图所示。
2)选择 防火墙 > 地址转换,设置目的NAT 规则,使得用户能够访问内网TELNET 服务器。
选择“目的转换”。
a)选择“源”页签,设置参数如下图。
如果您苦于在由于启用防火而增强的安全性与维持系统的效率之间谋求一个平衡点,那么笔者推荐您读一下大师Michael Howard先生的一篇文章来了解一些具体细节信息。Michael向我们展示了您的本地配置和设置的任何组策略是如何影响防火墙,“netsh”命令是怎样用于精确揭示防火墙的内部机理。
Netsh 是一个命令行脚本实用程序,可让用户从本地或远程显示或修改当前运行的计算机的网络配置。Netsh 还提供了允许用户使用批处理模式对指定的计算机运行一组命令的脚本功能。Netsh 实用程序也可以将配置脚本以文本文件保存,以便存档或帮助配置其他服务器。
Netsh实用程序在Windows XP Service Pack 2中得到了极大的增强,包含了新选项的所有运行方式。通过在笔者计算机上的命令运行结果可以看出,Netsh命令相当友好。
如何启动这个命令就不用说了吧。
下面的命令您是可以用于查看防火墙的的配置情况:
show allowedprogram –显示被允许的程序配置
show config - 显示防火墙的配置
show currentprofile -显示 Windows 防火墙的当前配置文件.
show icmpsetting -显示 Windows 防火墙中的 ICMP 配置
show logging -显示 Windows 防火墙中的日志记录配置
show multicastbroadcastresponse –显示防火墙的组播/广播响应配置
show notifications -显示 Windows 防火墙中的通知配置
show opmode -显示 Windows 防火墙中的操作配置
show portopening -显示 Windows 防火墙中的端口配置
show service -显示 Windows 防火墙中的服务配置
show state -显示 Windows 防火墙的当前状态
当然,如果想精确配置防火墙,请使用如下的命令:
netsh firewall set allowedprogram 编辑 Windows 防火墙中的允许程序配置
netsh firewall set icmpsettings 编辑 Windows 防火墙中的 ICMP 配置
netsh firewall set logging 编辑 Windows 防火墙中的日志记录配置
netsh firewall set notifications 编辑 Windows 防火墙中的通知配置
netsh firewall set opmode 编辑 Windows 防火墙中的操作配置
netsh firewall set portopening 编辑 Windows 防火墙中的端口配置
netsh firewall set service 编辑 Windows 防火墙中的服务配置
硬件防火墙的应用,现在是越来越多,产品也很丰富,一般国产的防火墙多带有中文的说明和一些相应的配置实例,但国外的产品几乎都没有中文的说明书。
二、物理连接
Pix515的外观:是一种标准的机架式设备,高度为2U,电源开关和接线在背后。正面有一些指示灯,如电源、工作是否正常的表示等;背面板
有一些接口和扩展口,我们这次要用到的接口有三个:两个以太(RJ-45网卡)和一个配置口,其英文分别是:ETHERNET0、ETHERNET1和CONSOLE.
先将防火墙固定在机架上,接好电源;用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。注意:该线缆是扁平的,一端是RJ-45接口,
要接在防火墙的console端口;另一端是串口,要接到笔记本的串口上。
三、初始化配置程序
启动笔记本,防火墙通电。
1.新建一个超级终端
运行windows里的超级终端程序。其步骤如下:单击开始→所有程序→附件→通讯→超级终端,就会出现对话框:此时需要输入一个所建超级终端的名称,可输PIX515 L;出现下一对话框:需要选择串口的端口,我们选择com1L;出现下一对话框:需要选择传输速率,我们选择9600L.
2.基本配置
此时,出现超级终端对话框,按L
对应提示填写:
Password(口令):自定,
L
Year(年):[] L
Moth(月):[Feb] L
Day(天):[20] L
Time(时间):[10:21:30] L
Inside IP address(内部IP地址) :192.168.10.0L
Inside network mask(内部掩码):255.255.255.0L
Host name(主机名称):FIX515L
Domain name(主域):YCZD.COM.CNL
一、关于建筑防火监督探究
建筑防火监督在建筑防火建设过程中所起到的主要作用为全面管理、细节补漏, 对于进一步预防火灾的发生以及进一步限制火灾情况蔓延起到了较大的作用。建筑防火监督在运作过程中全面完善化建筑防火体系, 进一步提高建筑的安全系数, 保障民众的人身安全, 对于进一步维系社会稳定, 社会和谐发展起到了相应的推进作用。由此可见, 建筑防火监督在建筑防火建设中有应用研究价值。
(一) 建筑防火监督存在的问题
建筑防火监督范围较为广泛, 内容较为复杂, 且处于不断变化当中, 这些现象抑制了建筑防火监督作用的进一步体现和建筑防火监督的进一步有序发展, 对于建筑防火质量提高以及防火全面性掌控较为不利。为实际抑制建筑防火监督质量进一步下滑, 需要对建筑防火监督存在的问题进行实际分析, 还要对建筑防火监督在各大建筑防火建设中的应用进行探索, 以获取相应信息, 进行处理整理, 得出导致建筑防火监督无法进一步发展的主要原因, 并对此进行全面分析, 为建筑防火监督发展方向的确定奠定基础。
1. 建筑防火监督缺乏实际考察
建筑防火监督在实际应用中表现出来较为严重的一个问题为没有进行实地考察, 没有进行全面的信息获取, 在建筑防火监督过程中仍然采取固定方式、固定模式, 且监督方向单一, 监督内容固定, 监督步骤一成不变, 这对于现今建筑类型复杂多变的社会而言显然不合适。该种监督方式、模式、步骤的持续采用会导致建筑防火监督效果不一, 监督发挥的作用差异大, 对于各大建筑监督中存在的统一性问题来说, 监督方向不全面, 监督范围以及监督内容不全面, 且潜藏的火灾触发因素没有得到较好控制, 火灾预防措施以及火灾应对方案设计存在脱离实际的现象。建筑防火监督缺乏实际考察的另一个表现就是没有基于民众展开实施, 与民众的交流较为缺乏, 没有较好的实现民众监督和民众建议收集采纳, 这进一步封闭了建筑防火监督的发展空间。
2. 建筑防火监督人员能力不足
建筑防火监督人员能力不足是导致建筑防火监督质量、作用持续无法得到发展的主要原因。建筑防火监督人员需要掌握全面的火灾知识, 包括火灾发生的必备三要素、火灾控制知识、火灾扑灭原理、相关设备技术、建筑构造、建筑中易导致火灾发生的构造材料以及朝向问题, 同时需要具备分析能力、平面图解读能力、可能性猜想能力、概率分析能力以及相应的设计能力, 对于监督人员的观察力也要求极高。建筑防火监督人才要求高是导致该方面人才紧缺的一大原因, 另一个原因就是建筑防火监督人员年龄不同、对于新事物的接受能力不同、接受的教育不同、经验和能力差距较大, 造成建筑防火监督人员能力参差不齐, 各小组之间的能力经验相差较大的结果, 致使在监督过程中出现相互制约相互限制的现象, 对于进一步提升监督人员能力较为不利。
3. 建筑防火监督体系存在漏洞
建筑防火监督体系存在漏洞具体体现为建筑防火监督各项制度不完善, 对于监督结果要求不明朗, 对于监督过程中发生的意外情况负责分配不明确, 对于监督人员编排不合理, 没有限制监督方式、监督范围以及监督内容, 造成监督过程中出现人员不配合, 人员工作衔接不科学的问题。建筑防火建设过程中对于建筑防火监督的不重视, 抑制了建筑防火监督体系的进一步完善。
(二) 建筑防火监督完善措施
1. 建筑防火监督基于现实
建筑防火监督发展完善的第一步就是从实际出发, 基于现实因素考虑, 具体操作方法为在建筑防火监督过程中进行实体建筑的考察, 对于各个部分, 各个存在安全隐患的区域进行标记, 再进行立体图展示, 将标记出来的各个位置进行串联, 得出最佳火灾预防方案以及火灾控制方案, 再进一步结合居住生活在该建筑中民众的建议, 根据其中具有建设性并且对建筑防火监督过程中忽视的问题加以重视, 并将之运用于建筑防火监督改进。
2. 建筑防火监督人才培养
建筑防火监督人才培养主要操作方案为由专业建筑防火监督人才带领, 并根据一段时间的带领确定其中能力较为突出, 进步快速的人员加以栽培, 即进行培训。首先进行理论培训, 内容为关乎建筑防火监督的所有知识, 同时进行实践操作, 这样能够较好巩固理论知识的学习以及累积实践经验, 再由这批中的合格者进行其他监督者的带领管理, 以达到在最短时间内提升监督人员整体素质的目的。
3. 健全建筑防火监督体系
健全建筑防火监督体系主要就是完善相关制度, 包括监督规范、监督注意事项、监督奖罚等, 强制性制止建筑防火监督中存在的不合理不合法之处, 并确定监督过程中出现的火灾由该小组负责, 以全面提升监督者的责任感以及危机意识, 进而从根本上限制建筑防火监督体系的偏方向发展。
二、对消防设施配置进行研究
消防设施配置是建筑防火监督的一项重要工作, 完善建筑防火监督, 能够实际地促进消防设施配置完善化, 消防设施配置合理科学化, 以及消防设施配置实用化。消防设施配置过程中需要考虑的因素包括建筑结构、建筑楼层高度、建筑关联性、建筑住户人数等, 通过对建筑全面的探究, 确定建筑中最容易引发火灾的部位, 然后将所有的信息进行整合, 确定需要安装的消防设施种类, 各种消防设施种类需要安装的部位, 在此过程中最佳方案为能够有效抑制火灾, 预防火灾, 确保人身安全, 并且保证所使用的成本最为合理。
三、结语
建筑防火监督及消防设施配置两者之间存在较大的联系, 能够相互影响相互促进彼此发展, 将两者结合研究能够更好地完善建筑防火建设的发展。
参考文献
[1]张星景.建筑防火监督及配置消防设施探讨[J].低碳世界, 2014, (21) .
[2]纪洪奎.建筑防火监督及配置消防设施探讨[J].科技致富向导, 2012, (04) .
[3]郭蕊.试论建筑防火监督及配置消防设施[J].城市建设理论研究 (电子版) , 2013, (19) .
【防火墙配置案例】推荐阅读:
防火墙的知识介绍防火墙技术07-25
打造更安全的防火墙WEB安全07-22
被动防火措施05-25
防火安全经验06-08
防火常识教案06-24
防火作文09-12
防火责任书05-26
防火安全知识宣讲06-03
冬季防火安全自查06-16
消防防火施工方案06-26
