思科ASA和PIX防火墻配置手册.docx
《思科ASA和PIX防火墻配置手册.docx》由会员分享,可在线阅读,更多相关《思科ASA和PIX防火墻配置手册.docx(39页珍藏版)》请在冰豆网上搜索。
思科ASA和PIX防火墻配置手册
思科ASA和PIX防火墙配置手册
北京九瑞网络科技有限公司
2011-3
一、配置基础5
1.用户接口5
2.防火墙许可介绍6
3.初始配置6
二、配置连接性7
1.配置接口7
2.配置路由8
3.DHCP8
4.组播的支持8
三、防火墙的管理8
1.使用SecurityContext建立虚拟防火墙(7.x特性)8
2.管理Flash文件系统8
3.管理配置文件8
4.管理管理会话8
5.系统重启和崩溃8
四、用户管理8
1.一般用户管理8
2.本地数据库管理用户8
3.使用AAA服务器来管理用户8
4.配置AAA管理用户8
5.配置AAA支持用户Cut-Through代理8
6.密码恢复8
五、防火墙的访问控制8
1.防火墙的透明模式8
2.防火墙的路由模式和地址翻译8
3.使用ACL进行访问控制8
六、配置Failover增加可用性8
1.配置Failover8
2.管理Failover8
3.升级Failover模式防火墙的OS镜像8
七、配置负载均衡8
1.配置软件实现(只在6500nativeios模式下)8
2.配置硬件实现8
3.配置CSS实现8
八、日志管理8
1.时钟管理8
2.日志配置8
3.日志消息输出的微调8
4.日志分析8
九、防火墙工作状态验证8
1.防火墙健康检查8
2.流经防火墙数据的监控8
3.验证防火墙的连接性8
一、配置基础
1.用户接口
思科防火墙支持下列用户配置方式:
Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性,PDM的http方式(7.x以后称为ASDM)和VMS的FirewallManagementCenter。
支持进入RomMonitor模式,权限分为用户模式和特权模式,支持Help,History和命令输出的搜索和过滤。
注:
Catalyst6500的FWSM没有物理接口接入,通过下面CLI命令进入:
Switch#sessionslotslotprocessor1(FWSM所在slot号)
用户模式:
Firewall>为用户模式,输入enable进入特权模式Firewall#。
特权模式下可以进入配置模式,在6.x所有的配置都在一个全局模式下进行,7.x以后改成和IOS类似的全局配置模式和相应的子模式。
通过exit,ctrl-z退回上级模式。
配置特性:
在原有命令前加no可以取消该命令。
Showrunning-config或者writeterminal显示当前配置,7.x后可以对showrun的命令输出进行搜索和过滤。
Showrunning-configall显示所有配置,包含缺省配置。
Tab可以用于命令补全,ctrl-l可以用于重新显示输入的命令(适用于还没有输入完命令被系统输出打乱的情况),help和history相同于IOS命令集。
Show命令支持begin,include,exclude,grep加正则表达式的方式对输出进行过滤和搜索。
Terminalwidth命令用于修改终端屏幕显示宽度,缺省为80个字符,pager命令用于修改终端显示屏幕显示行数,缺省为24行,pagerlines0命令什么效果可以自己试试。
2.防火墙许可介绍
防火墙具有下列几种许可形式,通过使用showversion命令可以看设备所支持的特性:
Unrestricted(UR)所有的限制仅限于设备自身的性能,也支持Failover
Restricted(R)防火墙的内存和允许使用的最多端口数有限制,不支持Failover
Failover(FO)不能单独使用的防火墙,只能用于Failover
Failover-Active/Active(FO-AA)只能和UR类型的防火墙一起使用,支持active/activefailover
注:
FWSM内置UR许可。
activation-key命令用于升级设备的许可,该许可和设备的serialnumber有关(showversion输出可以看到),6.x为16字节,7.x为20字节。
3.初始配置
跟路由器一样可以使用setup进行对话式的基本配置。
二、配置连接性
1.配置接口
接口基础:
防火墙的接口都必须配置接口名称,接口IP地址和掩码(7.x开始支持IPv6)和安全等级。
接口可以是物理接口也可以是逻辑接口(vlan),从6.3开始trunk只支持802.1Q封装,不支持DTP协商。
接口基本配置:
注:
对于FWSM所有的接口都为逻辑接口,名字也是vlan后面加上vlanid。
例如FWSM位于6500的第三槽,配置三个接口,分别属于vlan100,200,300.
Switch(config)#firewallvlan-group1100,200,300
Switch(config)#firewallmodule3vlan-group1
Switch(config)#exit
Switch#sessionslot3processor1
经过此配置后形成三个端口vlan100.vlan200,vlan300
PIX6.x
Firewall(config)#interfacehardware-id[hardware-speed][shutdown](Hardware-id可以用showversion命令看到)
PIX7.x
Firewall(config)#interfacehardware-id
Firewall(config-if)#speed{auto|10|100|nonegotiate}
Firewall(config-if)#duplex{auto|full|half}
Firewall(config-if)#[no]shutdown
命名接口
FWSM2.x
Firewall(config)#nameifvlan-idif_namesecuritylevel
PIX6.x
Firewall(config)#nameif{hardware-id|vlan-id}if_namesecuritylevel
PIX7.x
Firewall(config)#interfacehardware_id[.subinterface]
Firewall(config-if)#nameifif_name
Firewall(config-if)#security-levellevel
注:
Pix7.x和FWSM2.x开始支持不同接口有相同的securitylevel,前提是全局配置模式下使用same-security-trafficpermitinter-interface命令。
配置IP地址
静态地址:
Firewall(config)#ipaddressif_nameip_address[netmask]
动态地址:
Firewall(config)#ipaddressoutsidedhcp[setroute][retryretry_cnt]
注:
setroute参数可以同时获得来自DHCP服务器的缺省路由,再次输入此命令可以renew地址。
PPPOE:
Firewall(config)#vpdnusernameJohnDoepasswordJDsecret
Firewall(config)#vpdngroupISP1localnameJohnDoe
Firewall(config)#vpdngroupISP1pppauthenticationchap
Firewall(config)#vpdngroupISP1requestdialoutpppoe
Firewall(config)#ipaddressoutsidepppoesetroute
验证接口
Firewall#showip
IPv6地址配置(7.x新特性)
暂略
ARP配置
配置一个静态的ARP条目:
Firewall(config)#arpif_nameip_addressmac_address[alias]
配置timeout时间:
Firewall(config)#arptimeoutseconds缺省为4小时
注:
一般情况下使用cleararp会清除所有的ARP缓存,不能针对单个的条目,但是可以通过以下变通方法:
配置一个静态的条目,映射有问题的ip为一个假的mac地址,然后no掉该命令就会重新建立一个arp条目。
MTU和分段
配置MTU:
Firewall(config)#mtuif_namebytes使用showmtu(6.3)或者showrunning-configmtu(7.x)来验证
分段(fragment)的几个命令:
限制等待重组的分段数Firewall(config)#fragmentsizedatabase-limit[if_name]
限制每个包的分段数Firewall(config)#fragmentchainchain-limit[if_name]
限制一个数据包分段到达的时间Firewall(config)#fragmenttimeoutseconds[if_name]
配置接口的优先队列(7.x新特性)
暂略
2.配置路由
启用PRF防止地址欺骗
Firewall(config)#ipverifyreverse-pathinterfaceif_name
配置静态路由
Firewall(config)#routeif_nameip_addressnetmaskgateway_ip[metric]
配置RIP
被动听RIP更新(v1,v2)
Firewall(config)#ripif_namepassive[version1](Firewall(config)#ripif_namepassiveversion2[authentication[text|md5key(key_id)]])
宣告该接口为缺省路由
Firewall(config)#ripif_namedefaultversion[1|2[authentication[text|md5keykey_id]]
配置OSPF
定义OSPF进程
Firewall(config)#routerospfpid
指定相应网络到OSPF区域
Firewall(config-router)#networkip_addressnetmaskareaarea_id
可选:
定义RouterIDFirewall(config-router)#router-idip_address
记录OSPF邻居状态更新
Firewall(config-router)#log-adj-changes[detail]
启用OSPF更新认证
Firewall(config-router)#areaarea_idauthentication[message-digest]
宣告缺省路由
Firewall(config-router)#default-informationoriginate[always][metricvalue][metric-type{1|2}][route-mapname]
调节OSPF参数
Firewall(config-router)#timers{spfspf_delayspf_holdtime|lsa-group-pacingseconds}
3.DHCP
配置成为DHCPServer:
配置地址池
Firewall(config)#dhcpdaddressip1[-ip2]if_name (最多256个客户端)
配置DHCP参数
Firewall(config)#dhcpddnsdns1[dns2]
Firewall(config)#dhcpdwinswins1[wins2]
Firewall(config)#dhcpddomaindomain_name
Firewall(config)#dhcpdleaselease_length
Firewall(config)#dhcpdping_timeouttimeout
启用DHCP服务
Firewall(config)#dhcpdenableif_name
验证:
showdhcdp,showdhcpdbindings,showdhcpdstatistics
配置DHCP中继:
定义真实DHCPServer
Firewall(config)#dhcprelayserverdhcp_server_ipserver_ifc(最多4个)
中继参数
Firewall(config)#dhcprelaytimeoutseconds
Firewall(config)#dhcprelaysetrouteclient_ifc
启用中继
Firewall(config)#dhcprelayenableclient_ifc
验证showdhcprelaystatistics
4.组播的支持
暂略
三、防火墙的管理
1.使用SecurityContext建立虚拟防火墙(7.x特性)
特性介绍:
从PIX7.0和FWSM2.2
(1)开始,可以把物理的一个防火墙配置出多个虚拟的防火墙,每个防火墙称为context,这样一个防火墙就支持两种工作模式:
single-context和multiple-context,处于后者工作模式的防火墙被分为三个功能模块:
systemexecutionspace(虽然没有context的功能,但是是所有的基础),administrativecontext(被用来管理物理的防火墙)和usercontexts(虚拟出来的防火墙,所有配置防火墙的命令都适用)
配置:
首先使用showactivation-key来验证是否有multiple-context的许可,然后通过modemultiple和modesingle命令在这两个模式之间进行切换,当然也可以用showmode来验证现在工作在什么模式下。
在不同context下进行切换使用Firewall#changeto{system|contextname},由于所有的context的定义都必须在systemexecutionspace下,所以要首先使用changetosystem转入该模式,Firewall(config)#contextname接着要把物理接口映射到context中。
只要这样才能在相应的context下显示出物理接口,从而配置其属性Firewall(config-ctx)#allocate-interfacephysical-interface[map-name]最后定义context的startup-config的存放位置Firewall(config-ctx)#config-urlurl 通过showcontext验证。
注:
当防火墙工作在multiple-context模式下,admincontext就自动生成。
(showcontext来验证)
由于所有的context都共享设备的资源,所以要限制各个context的资源分配:
首先定义classFirewall(config)#classname
然后Firewall(config-class)#limit-resourceallnumber%
Firewall(config-class)#limit-resource[rate]resource_namenumber[%]
最后在相应的context配置下Firewall(config-ctx)#memberclass
通过以下命令验证showclass,showresourceallocation,showresourceusage
注:
缺省telnet,ssh,IPsec5sessions,MACaddress65535条目
2.管理Flash文件系统
6.x文件系统
只有六种文件可以保存到Flash,没有文件名只有代号,没有目录结构
0
1
2
3
4
5
OS镜像
启动文件
VPN和密匙证书
PDM镜像
崩溃信息
0的文件大小
显示flash文件
#showflashfs
7.x和FWSM文件系统
7.x和FWSM更像IOS的文件系统,具有层级目录,要被格式化后才可以使用,7.x使用flash:
/代表Flash文件系统,FWSM分别使用flash:
/(系统镜像)和disk:
/(配置文件),由于该系统使用类Unix的指令,所以可以使用下列常用命令来对该文件系统操作:
dirpwdcdmoredeletecopyrenamemkdirrmdirformaterasefsck(检查文件系统完整性)
6.x在Flash里面只能保存一个系统镜像,7.x则废除了此种限制通过使用Firewall(config)#bootsystemflash:
filename来选取不同的系统镜像,showbootvar进行验证
OS升级见附录
3.管理配置文件
7.0以后可以使用多个启动配置文件
Firewall(config)#bootconfigurl
显示启动配置文件
Firewall#showstartup-configFirewall#showconfiguration(6.x为showconfigure)
保存当前配置文件
writememory
copyrunning-configstartup-config
writenet[[server-ip-address]:
[filename]](7.x也支持copy至tftp)
强制standby同步当前配置文件
writestandby
删除启动配置文件
writeerase
合并启动配置文件为当前配置文件
configurememory
从Web导入配置文件
configurehttp[s]:
//[user:
password@]location[:
port]/http-pathname (7.x支持copy自以上源)
合并配置文件自自动更新服务器
Firewall(config)#auto-updatedevice-id{hardware-serial|hostname|
ipaddress[if_name]|mac-address[if_name]|stringtext}
Firewall(config)#auto-updateserverhttp[s]:
//[username:
password@]
AUSserver-IP-address[:
port]/autoupdate/AutoUpdateServlet
[verify-certificate]
4.管理管理会话
配置console登录的超时
Firewall(config)#consoletimeoutminutes(缺省0不超时)
禁止来自outside端口的telnet,启用telnet
Firewall(config)#telnetip_addressnetmaskif_name
配置telnet超时
Firewall(config)#telnettimeoutminutes
启用SSH配置
首先生成RSA密匙对
Firewall(config)#domain-namename
Firewall(config)#cageneratersakey[modulus](7.x使用cryptokeygeneratersageneral-keys[modulusmodulus])
Firewall(config)#casaveall(7.x自动保存)
使用showcamypubkeyrsa来验证(7.xshowcryptokeymypubkeyrsa)cazeroizersa作废原有密匙对(7.xcryptokeyzeroizersadefault)
最后允许ssh会话Firewall(config)#sship_addressnetmaskif_name
sshversion命令可以选择ssh的版本,sshtimeout定义超时时间
PDM/ASDM配置
由于PDM存放位置固定,所以不需要指定镜像的位置,ASDM使用Firewall(config)#asdmimagedevice:
/path来指定镜像位置,如果没有可以使用copy命令来安装。
然后配置访问许可
Firewall#httpip_addresssubnet_maskif_name
启用HTTP进程Firewall#httpserverenable使用https:
//ip-address/admin来访问。
Banner配置Firewall(config)#banner{exec|login|motd}text 对banner不能修改,只能用no来删除,或者clearbanner来清除所有的banner(7.0clearconfigurebanner)
监控管理会话who监控telnet会话killtelnet-id来清除会话,showsshsessions监控ssh会话,sshdisconnectsession-id清除ssh会话,showpdmsessions监控pdm会话,pdmdisconnectsession-id清除pdm会话
5.系统重启和崩溃
通常使用reload命令重启系统,从7.0以后支持在特定的时间重启系统
Firewall#reloadathh:
mm[monthday|daymonth][max-hold-time{minutes|hhh:
mm}][noconfirm][quick][save-config][reasontext]
或者经过一定的时间间隔后重启
Firewall#reloadin{minutes|hh:
mm}[max-hold-time{minutes|hhh:
mm}][noconfirm][quick]
升级会员 