cisco防火墙配置手册.docx
《cisco防火墙配置手册.docx》由会员分享,可在线阅读,更多相关《cisco防火墙配置手册.docx(14页珍藏版)》请在冰点文库上搜索。
cisco防火墙配置手册
TTAstandardizationoffice【TTA5AB-TTAK08-TTA2C】
cisco防火墙配置手册
一、CiscoPix日常维护常用命令
1、Pix模式介绍
“>”用户模式
firewall>enable
由用户模式进入到特权模式
password:
“#”特权模式
firewall#configt
由特权模式进入全局配置模式
“(config)#”全局配置模式
firewall(config)#
防火墙的配置只要在全局模式下完成就可以了。
1、
基本配置介绍
1、端口命名、设备命名、IP地址配置及端口激活
nameifethernet0outsidesecurity0
端口命名
nameifgb-ethernet0insidesecurity100
定义端口的名字以及安全级别,“outside”的安全级别默认为0,“inside”安全级别默认为100,及高安全级别的可以访问低安全级别的,但低安全级别不能主动地到高安全级别。
firewall(config)#hostnamefirewall
设备名称
firewall(config)#ipaddressoutside1.1.1.1255.255.255.0
内外口地址设置
firewall(config)#ipaddressinside172.16.1.1255.255.255.0
firewall(config)#interfaceethernet0100full
激活外端口
firewall(config)#interfacegb-ethernet01000auto
激活内端口
2、telnet、ssh、web登陆配置及密码配置
防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的,需要相应得开启功能。
firewall(config)#telnet192.168.10.0255.255.255.0inside允许内网此网断内的机器Telnet到防火墙
配置从外网远程登陆到防火墙
Firewall(config)#domain-name
firewall(config)#cryptokeygeneratersa
firewall(config)#ssh0.0.0.00.0.0.0outside
允许外网所有地址可以远程登录防火墙,也可以定义一格具体的地址可以从外网登陆到防火墙上,如:
firewall(config)#ssh218.240.6.81255.255.255.255outside
firewall(config)#enablepasswordcisco
由用户模式进入特权模式的口令
firewall(config)#passrdcisco
ssh远程登陆时用的口令
firewall(config)#usernameCiscopasswordCisco
Web登陆时用到的用户名
firewall(config)#httpenable
打开http允许内网10网断通过http访问防火墙
firewall(config)#http192.168.10.0255.255.255.0inside
firewall(config)#pdmenable
firewall(config)#pdmlocation192.168.10.0255.255.255.0inside
web登陆方式:
https:
//172.16.1.1
3、保证防火墙能上网还要有以下的配置
firewall(config)#nat(inside)100
对内部所有地址进行NAT转换,或如下配置,对内部固定配置的地址进行NAT转化,未指定的不予转发
firewall(config)#nat
(inside)
1192.168.10.0255.255.255.0
fierwall(config)#nat(inside)1192.168.20.0255.255.255.0
firewall(config)#global
(outside)1interface
对进行nat转换得地址转换为防火墙外接口地址
firewall(config)#route0.0.0.00.0.0.01.1.1.2 指一条默认路由器到ISP
做完上面的配置内网用户就可以上网了,内部有3层交换机且划分了Vlan,若要保证每个Vlan都能够上网,还要在防火墙上指回到其他VLan的路由,如:
Firewall(config)#routeinside192.168.20.0255.255.255.0172.16.1.2
4、内网服务器映射
如果在局域网内有服务器要发布到互联网上,需要在PIX对内网服务器进行映射。
服务器映射可以是一对一的映射,也可以是端口映射,一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。
下面以发布内网一台WEB服务器来举例说明:
Firewall(config)#static(inside,outside)tcp222.128.124.180192.168.1.10080
上述命令便将内部的web服务器放到了公网上面,但外面的用户并不能访问到,因为防火墙的外界口安全级别最低,从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开,如下:
Firewall(config)#access-listoutsidepermittcpanyhost222.128.124.1eq80
Firewall(config)#access-groupoutsideininterfaceoutside
必须将用access-group命令将访问控制列表应用到外端口,上述完成后就可以从外网上来访问服务器了。
5、防火墙上常用的show命令
Firewall(config)#showinterface查看所有端口的状态,端口是否出于连接状态
interfaceethernet0"outside"isup,lineprotocolisup 端口和协议都出于“up”状态,正常。
pixfirewall#shcpuusage
查看CPU的使用情况,如果CPU的使用情况超过60%是不正常的,说明内部有PC对外占用了设备大量资源
CPUutilizationfor5seconds=1%;1minute:
1%;5minutes:
1%
如果内部有终端中毒(或利用P2P下载)向网关送大量的数据包,会导致防火墙只能来处理病毒机器的请求,而无暇顾及正常流量,导致正常用户不能上网,要找到不正常终端可以利用showconn来查看
Firewall(config)#showconn
若用showconn查看到某个内部IP到互联网上的链接特别多,且都是UDP高端口号的,可以断定此机器是在P2P下载,然后可以通过在防火墙上的showarp命令查看到此计算机的MAC地址,在用上面交换机维护命令讲到的命令确认他连接在交换机的端口,然后将此端口shotdown,或通过机房点位直接找到用户要求其停止,否则会占用出口带宽和防火墙的资源。
Firewall(config)#showconnlocal192.168.40.69
查看具体一个IP地址的链接项:
Firewall(config)#showversion 查看防火墙的硬件信息
Firewall(config)#showxlate
查看内部地址时否转换成外端口地址来上网
Fierwall(config)#cleararp
清除ARP表
Firewall(config)#clearxlate
清除内部所有地址的转换项,网络中断一下
Firewall(config)#clearxlatelocal192.168.40.69
清除内部具体一台机器的转换项
Firewall(config)#showrunnint-config
查看防火墙的当前配置文件
二、防火墙配置简介
1、以前的防火墙的系统版本是6.3以下,在这种版本里面不能用“tab”键补齐命令,而且用“”来查询命令也很不方便;
目前的ASA5500的系统版本为7.0以上,和路由器的命令相同,可以用“tab”键补齐命令,可以用“”来查看参数、同样也可以在全局模式用show命令。
防火墙的几种工作模式:
用户模式:
如果您看到>那么现在代表是在用户模式下,在用户模式下只有简单的命令可以操作。
由用户模式进入特权模式的命令为:
enable
特权模式:
如果您看到当前的位置显示#那么您处于特权模式下,在特权模式下用户可以查看所有信息,而前可以进入全局配置模式对防火墙配置进行修改。
由特权模式进入全局配置模式下的命令为:
config
t
全局配置模式:
当您看到(config)#时,表示现在处于全局配置模式,可以对防火墙的设置进行修改。
在“>”、“#”、“(config)#”左侧显示的为设备的名称。
2、
1)、防火墙接口配置
Pix配置
Pix>enable
进入特权模式
Pix#config
t
进入全局配置模式
Pix(config)#ipaddressoutside222.128.1.1255.255.255.0
配置外接口地址
Pix(config)#ipaddressinside1.1.1.1255.255.255.0
配置内接口地址
Pix(config)#interfaceethernet0auto
激活外端口
Pix(config)#interfaceethernet1auto
激活内端口(默认端口是出于shutdown状态的)
防火墙6.3以下系统默认将ethernet0端口做为外端口,默认安全级别为0,ethernet1作为内端口,默认安全级别为100,对于防火墙而言,高安全级别的用户可以访问到低安全级别,而由低安全级别主动发起的到高安全级别的链接是不允许的。
Pix系列产品默认只有两个端口及0和1,DMZ端口都是另外添加的模块,DMZ端口的默认安全级别50,配置DMZ接口的地址和配置inside和outside类似
Pix(config)#ipaddressdmz3.3.3.3255.255.255.0
Pix(config)#interfacegb-ethernet01000auto激活DMZ端口,DMZ的端口号需要您用show
running-config命令查看,如:
Pix(config)#showrunning-config
shrun
:
Saved
:
PIXVersion6.3(5)
interfaceethernet0100full
interfaceethernet1auto
interfacegb-ethernet01000auto
新添加的DMZ端口
2)、防火墙nat设置
2.1、内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址,
防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址,这些配置都要在全局配置模式下完成,
2.2、Nat配置如下:
Pix(config)#nat(inside)100
上面inside代表是要被转换得地址,
1要和global后面的号对应,类似于访问控制列表号,也是从上往下执行,
00代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。
2.3、Global配置
Pix(config)#global(outside)1interface
Gobalb定义了内网将要被转换成的地址,
Interface代表外端口的地址
当然,如果您有更多的公网IP地址,您也可以设置一个地址池,上面一条也是必须的,地址转换首先会用地址池内地址,一旦地址被用完后会用到上面一条及外端口做PAT转换上网。
Pix(config)#global(outside)1222.128.1.100-222.128.1.254
3)、防火墙路由设置
3.1、因为我们为末节网络,所以对于我们来说路由比较简单,只要将从防火墙过来的所有流量全部导向ISP就可以了,具体到各个网站的路由在ISP那里会有。
如果在我们的内部没有Vlan划分,那么我们之需要在防火墙上指一条向外出的路由就可以了,如下:
Pix(config)#routeoutside0.0.0.00.0.0.0222.128.1.2
Routeoutside代表是外出的路由
0.0.0.0代表目的地址,及全部匹配
0.0.0.0代表子网掩码,及全部匹配
1.1.1.2代表下一跳,及和我们防火墙互联的ISP的地址
3.2、如果在我们的内部有好多VLAN划分,那么我们需要往回指到各个Vlan的路由,下一跳需要指向和我们防火墙直接相连的内网的地址,比如在我们的内部有VLAN2:
1.1.1.0/24;VLAN3:
3.3.3.0/24;如果VLAN2是和防火墙直接相连的,那么我们不需要对VLAN2回指路由,因为他和防火墙在同一网段,而VLAN3没有和防火墙直接相连,如果想让vlan3也能上网我们就需要在防火墙上回指一条到vlan3的路由,如下:
Pix(config)#routeinside3.3.3.0255.255.255.01.1.1.2
3.3.3.0255.255.255.0目的网络及掩码
1.1.1.2下一跳及和防火墙相连的同一网段的vlaninterface地址,
4)、服务器映射配置
4.1、如果在内网有一台web服务器需要向外提供服务,那么需要在防火墙上映射,公网地址多的情况下可以做一对一的映射,如下
Pix(config)#static(inside,outside)222.128.100.1001.1.1.50
如果只有一个公网地址,那么可以做端口映射,如下
Pix(config)#static(inside,outside)tcp222.128.100.100801.1.1.5080
4.2、映射完毕后还必须配置访问控制列表,允许外部来访问映射的WEB服务器,如下:
Pix(config)#access-listoutsidepertcpanyhost222.128.100.100eq80
Pix(config)#access-groupoutsideininterfaceoutside
其中“access-list”和“access-group”后面的outside为防问控制列表的名字,“access-group”最后的outside为端口名。
允许外面任意一台主机通过TCP的80端口访问到222.128.100.100这台主机,下面还要把此条访问控制列表应用到outside接口上,这样互联网上的用户才能访问到WEB服务器。
如果有多条地址映射请重复上述操作。
5)、图形界面登陆设置和用户名密码添加
Pix(config)#pdmhistoryenable
Pix(config)#pdmlocation1.1.1.0255.255.255.0inside
Pix(config)#httpserverenable
Pix(config)#http1.1.1.1255.255.255.0inside
Pix(config)#usernameciscopasswordcisco
cisco为用户名和密码
上述配置完毕后您就可以通过图形界面来登陆,登陆方式:
https:
//1.1.1.1
如果要打开外网图形界面配置,如下:
Pix(config)#httplocation0.0.0.00.0.0.0outside
外网所有的地址都可以通过图形界面来登陆防火墙如果知道用户名和密码。
当然我们也可以定义特定的一台多多台可以通过图形界面登陆防火墙,只要将网段改为特定的地址就可以了。
6)、防火墙密码
Pix(config)#enablepasswordcisco
设置进入enable的密码
Pix(config)#passwdcisco
ssh登陆是第一次输入的密码
7)、防火墙内网Telnet和外网SSH登陆设置
TelnetConfiguration
Pix(config)#telnet1.1.1.0255.255.255.0inside允许内网1.1.1.0telnet防火墙
Pix(config)#telnettimeout1
1分钟未作任何操作后超时退出
SSHConfiguration
通过外网不能用Telnet防火墙,必须用SSH加密方式,在配置SSH之前要先定义一个domain-name,然后再生成一个key,如下:
Pix(config)#domain-name
Pix(config)#cageneratersakey800
Pix(config)#casaveall
Pix(config)#ssh0.0.0.00.0.0.0outside
SSH也可以定义外网特定的一台主机或固定的一段地址可以来远程登陆。
8)、防火墙DHCP配置
Pix(config)#dhcpdaddress1.1.1.200-1.1.1.254inside定义地址池并在inside接口开启DHCP功能
Pix(config)#dhcpddns202.106.196.115202.106.0.20
定义给客户分发的DNS
Pix(config)#dhcpdenableinside打开DHCP功能
9)、如何修改已存在的访问控制列表
比如,我们在内接口上定义了一些访问控制列表,如下:
Pix(config)#access-listinsidedenyiphost1.1.1.100any
Pix(config)#access-listinsidepermittcpanyanyrange11024
Pix(config)#access-listinsidepermitucpanyanyrange1.1024
Pix(config)#access-listinsidepermittcpanyanyeq1863
Pix(config)#access-groupinsideininterfaceinside
上面是我已经在内接口存在的访问控制列表,我拒绝了1.1.1.100到外面所有,而其他的用户只能访问外面的TCP和UDP的1—1024的端口以及TCP的1863端口(msn),如果我还希望在拒绝IP地址为1.1.1.101的主机到外面所有的,那么我必须将deny1.1.1.101的访问控制列表写到access-listinsidepermittcpanyanyrange11024列表的上面,因为访问控制列表是从上往下执行,如果将deny1.1.1.101的访问控制列表放在access-listinsidepermittcpanyanyeq1863下面,那么对于1.1.1.101的限制将不能生效,可以按照下面步骤操作:
1、先用showaccess-list命令查看访问控制列表
Pix(config)#showaccess-list
access-listinsideline1denyiphost1.1.1.100any
(hitcnt=100000)
access-listinsideline2permittcpanyanyrange11024
(hitcnt=8000000)
access-listinsideline3permitudpanyanyrange11024
(hitcnt=100000)
access-listinsideline4permitudpanyanyeq1863
(hitcnt=8000)
2、将deny1.1.1.101的列表插入,格式如下:
Pix(config)#access-listinsideline1denyiphost1.1.1.101any
做完后,在用showrunning-config可以看到在访问控制列表位置第一行已经多了一条,显示结果如下:
Pix(config)#showrun
access-listinsidedenyiphost1.1.1.101any
access-listinsidedenyiphost1.1.1.100any
access-listinsidepermittcpanyanyrange11024
access-listinsidepermitucpanyanyrange1.1024
access-listinsidepermittcpanyanyeq1863
三、ASA5500端口配置
对于ASA5500系列来说,您定义的参数要多一些,以ASA5520来举例。
(asa5500系列中asa5505有8个端口,全部是二层接口,需要划分Vlan然后再vlan接口下配置地址及端口名,其他配置都一样):
ASA5520默认就有4个GigabitEthernet(0-4)和1个百兆的带外管理接口(此接口下默认有有IP地址,并在此接口下有DHCP功能开启),一个扩展插槽可以可安装IPS模块或防病毒模块。
1)、端口配置
ASA5520的4个端口默认没有定义端口名,您需要手动的添加,我们还以0端口为外接口,1为内接口,2为DMZ口说明
Asa5520>enable
进入特权模式
Passwrod:
默认情况下这里会提示让您输入密码,其实没有密码,直接回车就可以。
Asa5520#configt进入全局配置模式
Asa5520(config)#interfaceGigabitEthernet0/0
Asa5520(config-if)#name-ifoutside定义端口名字,您将此端口设置为外端口是他的安全级别会自动为0
Asa5520(config-if)#ipaddress222.128.1.1255.255.255.0定义地址
Asa5520(config)#interfacegigabitethernet0/1
Asa5520(config-if)#name-ifinside
定义端口名字,您将此端口设置为内端口是他的安全级别会自动为100
Asa5520(config-if)#ipaddress1.1.1.1255.255.255.0定义地址
2)、图形界面登陆设置
Asa5500系列配置图形界面与pix有一点不同,pix图形界面管理调用的PDM,而asa是调用ASDM。
Asa5520(conf
升级会员 