cisco防火墙配置手册.docx

1、cisco防火墙配置手册 It was last revised on January 2, 2021cisco防火墙配置手册一、Cisco Pix日常维护常用命令1、Pix模式介绍“”用户模式firewallenable由用户模式进入到特权模式password:“#”特权模式firewall#config t由特权模式进入全局配置模式“（config）#”全局配置模式firewall(config)#防火墙的配置只要在全局模式下完成就可以了。1、基本配置介绍1、端口命名、设备命名、IP地址配置及端口激活nameif ethernet0 outside security0端口命名nameif

2、gb-ethernet0 inside security100定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。firewall(config)#hostname firewall设备名称firewall（config）#ip address outside 1.1.1.1 255.255.255.0内外口地址设置firewall（config）#ip address inside 172.16.1.1 255.255.255.0firewall（config）# in

3、terface ethernet0 100full激活外端口firewall（config）# interface gb-ethernet0 1000auto激活内端口2、telnet、ssh、web登陆配置及密码配置防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet到防火墙配置从外网远程登陆到防火墙Firewall（config）#domain-name firewall（config）# crypto key ge

4、nerate rsafirewall（config）#ssh 0.0.0.0 0.0.0.0 outside允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：firewall（config）#ssh 218.240.6.81 255.255.255.255 outsidefirewall（config）#enable password cisco由用户模式进入特权模式的口令firewall（config）#passrd ciscossh远程登陆时用的口令firewall（config）#username Cisco password CiscoWeb登陆

5、时用到的用户名firewall（config）#http enable打开http允许内网10网断通过http访问防火墙firewall（config）#http 192.168.10.0 255.255.255.0 insidefirewall（config）#pdm enablefirewall（config）#pdm location 192.168.10.0 255.255.255.0 insideweb登陆方式：https:/172.16.1.1 3、保证防火墙能上网还要有以下的配置firewall（config）#nat （inside）1 0 0对内部所有地址进行转换，或如下配置

6、，对内部固定配置的地址进行转化，未指定的不予转发firewall（config）#nat(inside)1 192.168.10.0 255.255.255.0fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0firewall (config) # global(outside) 1 interface对进行nat转换得地址转换为防火墙外接口地址firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2指一条默认路由器到做完上面的配置内网用户就可以上网了，内部有层交换机且划分了，若要保证每

7、个都能够上网，还要在防火墙上指回到其他的路由，如：Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.2 4、内网服务器映射如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。服务器映射可以是一对一的映射，也可以是端口映射，一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。下面以发布内网一台WEB服务器来举例说明：Firewall(config)#static (inside,outside) tcp 222.128.124.1 80 192.168.1.100 80上述命令

8、便将内部的web服务器放到了公网上面，但外面的用户并不能访问到，因为防火墙的外界口安全级别最低，从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开，如下：Firewall(config)#access-list outside permit tcp any host 222.128.124.1 eq 80Firewall(config)#access-group outside in interface outside必须将用access-group命令将访问控制列表应用到外端口，上述完成后就可以从外网上来访问服务器了。5、防火墙上常用的show命令Firew

9、all (config) #show interface 查看所有端口的状态，端口是否出于连接状态interface ethernet0 outside is up, line protocol is up端口和协议都出于“”状态，正常。pixfirewall# sh cpu usage查看的使用情况，如果的使用情况超过是不正常的，说明内部有对外占用了设备大量资源CPU utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1%如果内部有终端中毒（或利用下载）向网关送大量的数据包，会导致防火墙只能来处理病毒机器的请求，而无暇顾及正常流

10、量，导致正常用户不能上网，要找到不正常终端可以利用show conn来查看Firewall(config)#show conn若用show conn查看到某个内部到互联网上的链接特别多，且都是高端口号的，可以断定此机器是在下载，然后可以通过在防火墙上的show arp命令查看到此计算机的地址，在用上面交换机维护命令讲到的命令确认他连接在交换机的端口，然后将此端口shotdown，或通过机房点位直接找到用户要求其停止，否则会占用出口带宽和防火墙的资源。Firewall(config)#show conn local 192.168.40.69查看具体一个地址的链接项：Firewall(confi

11、g)#show version 查看防火墙的硬件信息Firewall(config)#show xlate查看内部地址时否转换成外端口地址来上网Fierwall(config)#clear arp 清除表Firewall(config)#clear xlate清除内部所有地址的转换项，网络中断一下Firewall(config)#clear xlate local 192.168.40.69清除内部具体一台机器的转换项Firewall(config)#show runnint-config查看防火墙的当前配置文件二、防火墙配置简介1、以前的防火墙的系统版本是6.3以下，在这种版本里面不能用“t

12、ab”键补齐命令，而且用“”来查询命令也很不方便； 目前的ASA5500的系统版本为7.0以上，和路由器的命令相同，可以用“tab”键补齐命令，可以用“”来查看参数、同样也可以在全局模式用show命令。 防火墙的几种工作模式： 用户模式：如果您看到那么现在代表是在用户模式下，在用户模式下只有简单的命令可以操作。由用户模式进入特权模式的命令为：enable 特权模式：如果您看到当前的位置显示#那么您处于特权模式下，在特权模式下用户可以查看所有信息，而前可以进入全局配置模式对防火墙配置进行修改。由特权模式进入全局配置模式下的命令为：configt 全局配置模式：当您看到（config）#时，表示现

13、在处于全局配置模式，可以对防火墙的设置进行修改。在“”、“#”、“（config）#”左侧显示的为设备的名称。2、1）、防火墙接口配置Pix配置Pixenable进入特权模式Pix#configt进入全局配置模式Pix(config)#ip address outside 222.128.1.1 255.255.255.0配置外接口地址Pix(config)#ip address inside 1.1.1.1 255.255.255.0配置内接口地址Pix(config)#interface ethernet0 auto激活外端口Pix(config)#interface ethernet1

14、auto激活内端口 （默认端口是出于shutdown状态的）防火墙6.3以下系统默认将ethernet0端口做为外端口，默认安全级别为0，ethernet1作为内端口，默认安全级别为100，对于防火墙而言，高安全级别的用户可以访问到低安全级别，而由低安全级别主动发起的到高安全级别的链接是不允许的。Pix系列产品默认只有两个端口及0和1，DMZ端口都是另外添加的模块，DMZ端口的默认安全级别50，配置DMZ接口的地址和配置inside和outside类似Pix(config)#ip address dmz 3.3.3.3 255.255.255.0Pix(config)# interface g

15、b-ethernet0 1000auto 激活DMZ端口，DMZ的端口号需要您用show running-config命令查看，如：Pix(config)#show running-configsh run: Saved:PIX Version 6.3(5)interface ethernet0 100fullinterface ethernet1 autointerface gb-ethernet0 1000auto新添加的DMZ端口2）、防火墙nat设置2.1、内网用户要上网，我们必须对其进行地址转换，将其转换为在公网上可以路由的注册地址，防火墙的nat和global是同时工作的，nat定

16、义了我们要进行转换的地址，而global定义了要被转换为的地址，这些配置都要在全局配置模式下完成，2.2、Nat配置如下：Pix(config)#nat (inside) 1 0 0上面inside代表是要被转换得地址，1要和global 后面的号对应，类似于访问控制列表号，也是从上往下执行，0 0 代表全部匹配（第一个0代表地址，第二个0代表掩码），内部所有地址都回进行转换。2.3、Global配置Pix（config）#global （outside）1 interfaceGobalb定义了内网将要被转换成的地址，Interface 代表外端口的地址当然，如果您有更多的公网IP地址，您也可

17、以设置一个地址池，上面一条也是必须的，地址转换首先会用地址池内地址，一旦地址被用完后会用到上面一条及外端口做转换上网。Pix（config）#global （outside） 222.128.1.100-222.128.1.254）、防火墙路由设置3.1、因为我们为末节网络，所以对于我们来说路由比较简单，只要将从防火墙过来的所有流量全部导向就可以了，具体到各个网站的路由在那里会有。如果在我们的内部没有划分，那么我们之需要在防火墙上指一条向外出的路由就可以了，如下：Pix（config）#route outside 0.0.0.0 0.0.0.0 222.128.1.2Route outside

18、代表是外出的路由0.0.0.0 代表目的地址，及全部匹配0.0.0.0 代表子网掩码，及全部匹配1.1.1.2代表下一跳，及和我们防火墙互联的ISP的地址 3.2、如果在我们的内部有好多VLAN划分，那么我们需要往回指到各个Vlan的路由，下一跳需要指向和我们防火墙直接相连的内网的地址，比如在我们的内部有VLAN 2：1.1.1.0/24；VLAN 3：3.3.3.0/24；如果VLAN 2是和防火墙直接相连的，那么我们不需要对VLAN 2回指路由，因为他和防火墙在同一网段，而VLAN 3没有和防火墙直接相连，如果想让vlan 3 也能上网我们就需要在防火墙上回指一条到vlan 3 的路由，如

19、下：Pix（config）#route inside 3.3.3.0 255.255.255.0 1.1.1.23.3.3.0 255.255.255.0 目的网络及掩码1.1.1.2下一跳及和防火墙相连的同一网段的vlan interface地址，4）、服务器映射配置4.1、如果在内网有一台web服务器需要向外提供服务，那么需要在防火墙上映射，公网地址多的情况下可以做一对一的映射，如下Pix（config）#static （inside，outside）222.128.100.100 1.1.1.50如果只有一个公网地址，那么可以做端口映射，如下Pix（config）#static （ins

20、ide，outside）tcp 222.128.100.100 80 1.1.1.50 804.2、映射完毕后还必须配置访问控制列表，允许外部来访问映射的WEB服务器，如下：Pix（config）#access-list outside per tcp any host 222.128.100.100 eq 80Pix（config）#access-group outside in interface outside其中“access-list”和“access-group”后面的outside为防问控制列表的名字，“access-group”最后的outside为端口名。允许外面任意一台主机

21、通过TCP的80端口访问到222.128.100.100这台主机，下面还要把此条访问控制列表应用到outside接口上，这样互联网上的用户才能访问到WEB服务器。如果有多条地址映射请重复上述操作。5）、图形界面登陆设置和用户名密码添加Pix（config）#pdm history enablePix(config)#pdm location 1.1.1.0 255.255.255.0 insidePix(config)#http server enablePix(config)#http 1.1.1.1 255.255.255.0 insidePix(config)#username cisc

22、o password ciscocisco为用户名和密码上述配置完毕后您就可以通过图形界面来登陆，登陆方式：https:/1.1.1.1 如果要打开外网图形界面配置，如下：Pix（config）#http location 0.0.0.0 0.0.0.0 outside外网所有的地址都可以通过图形界面来登陆防火墙如果知道用户名和密码。当然我们也可以定义特定的一台多多台可以通过图形界面登陆防火墙，只要将网段改为特定的地址就可以了。6）、防火墙密码Pix（config）#enable password cisco设置进入enable的密码Pix（config）#passwd ciscossh登陆是

23、第一次输入的密码7）、防火墙内网Telnet和外网SSH登陆设置Telnet ConfigurationPix（config）#telnet 1.1.1.0 255.255.255.0 inside 允许内网1.1.1.0telnet防火墙Pix(config)#telnet timeout 1 1分钟未作任何操作后超时退出SSH Configuration通过外网不能用Telnet防火墙，必须用SSH加密方式，在配置SSH之前要先定义一个domain-name，然后再生成一个key，如下：Pix（config）#domain-name Pix（config）# ca generate rsa

24、 key 800Pix（config）#ca save allPix（config）#ssh 0.0.0.0 0.0.0.0 outsideSSH也可以定义外网特定的一台主机或固定的一段地址可以来远程登陆。8）、防火墙DHCP配置Pix（config）#dhcpd address 1.1.1.200-1.1.1.254 inside 定义地址池并在inside接口开启DHCP功能Pix（config）# dhcpd dns 202.106.196.115 202.106.0.20定义给客户分发的DNSPix（config）# dhcpd enable inside 打开DHCP功能9）、如何修

25、改已存在的访问控制列表比如，我们在内接口上定义了一些访问控制列表，如下：Pix（config）#access-list inside deny ip host 1.1.1.100 anyPix（config）#access-list inside permit tcp any any range 1 1024Pix（config）#access-list inside permit ucp any any range 1.1024 Pix（config）#access-list inside permit tcp any any eq 1863Pix（config）#access-group

26、inside in interface inside上面是我已经在内接口存在的访问控制列表，我拒绝了1.1.1.100到外面所有，而其他的用户只能访问外面的TCP和UDP的11024 的端口以及TCP的1863端口（msn），如果我还希望在拒绝IP地址为1.1.1.101的主机到外面所有的，那么我必须将deny 1.1.1.101 的访问控制列表写到access-list inside permit tcp any any range 1 1024列表的上面，因为访问控制列表是从上往下执行，如果将deny 1.1.1.101的访问控制列表放在access-list inside permit

27、tcp any any eq 1863下面，那么对于1.1.1.101 的限制将不能生效，可以按照下面步骤操作：1、先用show access-list命令查看访问控制列表Pix(config)#show access-listaccess-list inside line 1 deny ip host 1.1.1.100 any (hitcnt=100000) access-list inside line 2 permit tcp any any range 1 1024 (hitcnt=8000000)access-list inside line 3 permit udp any an

28、y range 1 1024 (hitcnt=100000)access-list inside line 4 permit udp any any eq 1863 (hitcnt=8000)2、将deny 1.1.1.101的列表插入，格式如下：Pix(config)#access-list inside line 1 deny ip host 1.1.1.101 any做完后，在用show running-config可以看到在访问控制列表位置第一行已经多了一条，显示结果如下： Pix（config）#show runaccess-list inside deny ip host 1.1.

29、1.101 anyaccess-list inside deny ip host 1.1.1.100 anyaccess-list inside permit tcp any any range 1 1024access-list inside permit ucp any any range 1.1024 access-list inside permit tcp any any eq 1863三、ASA5500端口配置对于ASA5500系列来说，您定义的参数要多一些，以ASA5520来举例。（asa5500系列中asa5505有8个端口，全部是二层接口，需要划分Vlan然后再vlan接口下

30、配置地址及端口名，其他配置都一样）：ASA5520默认就有4个Gigabit Ethernet（0-4）和1个百兆的带外管理接口（此接口下默认有有IP地址，并在此接口下有DHCP功能开启），一个扩展插槽可以可安装IPS模块或防病毒模块。1）、端口配置ASA5520的4个端口默认没有定义端口名，您需要手动的添加，我们还以0端口为外接口，1为内接口，2为DMZ口说明Asa5520enable进入特权模式Passwrod:默认情况下这里会提示让您输入密码，其实没有密码，直接回车就可以。Asa5520#config t 进入全局配置模式Asa5520(config)#interface Gigabit

31、Ethernet0/0Asa5520(config-if)#name-if outside 定义端口名字，您将此端口设置为外端口是他的安全级别会自动为Asa5520(config-if)#ip address 222.128.1.1 255.255.255.0 定义地址Asa5520(config)#interface gigabitethernet0/1Asa5520(config-if)#name-if inside定义端口名字，您将此端口设置为内端口是他的安全级别会自动为100Asa5520(config-if)#ip address 1.1.1.1 255.255.255.0 定义地址2）、图形界面登陆设置Asa5500系列配置图形界面与pix有一点不同，pix图形界面管理调用的PDM，而asa是调用ASDM。Asa5520（config）# asdm image