思科ASA和PIX防火墙配置Word文档格式.docx
- 文档编号:21392499
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:41
- 大小:44.02KB
思科ASA和PIX防火墙配置Word文档格式.docx
《思科ASA和PIX防火墙配置Word文档格式.docx》由会员分享,可在线阅读,更多相关《思科ASA和PIX防火墙配置Word文档格式.docx(41页珍藏版)》请在冰豆网上搜索。
五、防火墙的访问控制12
5.1防火墙的透明模式12
5.2防火墙的路由模式和地址翻译13
5.3使用ACL进行访问控制15
六、配置Failover增加可用性17
6.1配置Failover17
6.2管理Failover19
七、配置负载均衡19
7.1配置软件实现(只在6500nativeios模式下)19
7.2配置硬件实现20
7.3配置CSS实现22
八、日志管理22
8.1时钟管理22
8.2日志配置23
8.3日志消息输出的微调24
8.4日志分析25
九、防火墙工作状态验证25
9.1防火墙健康检查25
9.2流经防火墙数据的监控26
9.3验证防火墙的连接性26
十、Syslog服务28
Syslog简介28
Syslog服务器的部署29
10.1内置syslogd的配置29
10.2配置基于linux的syslog-ng服务器29
10.3配置基于Windows的syslog服务器30
10.4路由器下syslog支持的配置30
10.5交换机下syslog支持的配置31
10.6PIX防火墙下syslog支持的配置32
10.7VPNConcentrator下syslog支持的配置33
十一、CiscoPIX防火墙的问题集锦33
11.1如何允许外网用户Telnet至PIX的outside?
33
11.2我想通过在pix515e上进行设置使某些内网用户只能上一个特定的网站34
11.3请教pix515acl如何屏蔽一个网段?
35
11.4在515E中配置DHCP网关的命令是什么36
11.5pix能不能实现dmz和inside透明模式呢?
36
11.6如何配置PIX透明模式?
37
11.7为什么ping不通515E的outside地址?
11.8pix515的问题40
一、配置基础
一.1用户接口
思科防火墙支持下列用户配置方式:
Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性,PDM的http方式(7.x以后称为ASDM)和VMS的FirewallManagementCenter。
支持进入RomMonitor模式,权限分为用户模式和特权模式,支持Help,History和命令输出的搜索和过滤。
注:
Catalyst6500的FWSM没有物理接口接入,通过下面CLI命令进入:
Switch#sessionslotslotprocessor1(FWSM所在slot号)
用户模式:
Firewall>
为用户模式,输入enable进入特权模式Firewall#。
特权模式下可以进入配置模式,在6.x所有的配置都在一个全局模式下进行,7.x以后改成和IOS类似的全局配置模式和相应的子模式。
通过exit,ctrl-z退回上级模式。
配置特性:
在原有命令前加no可以取消该命令。
Showrunning-config或者writeterminal显示当前配置,7.x后可以对showrun的命令输出进行搜索和过滤。
Showrunning-configall显示所有配置,包含缺省配置。
Tab可以用于命令补全,ctrl-l可以用于重新显示输入的命令(适用于还没有输入完命令被系统输出打乱的情况),help和history相同于IOS命令集。
Show命令支持begin,include,exclude,grep加正则表达式的方式对输出进行过滤和搜索。
Terminalwidth命令用于修改终端屏幕显示宽度,缺省为80个字符,pager命令用于修改终端显示屏幕显示行数,缺省为24行,pagerlines0命令什么效果可以自己试试。
一.2防火墙许可介绍
防火墙具有下列几种许可形式,通过使用showversion命令可以看设备所支持的特性:
Unrestricted(UR)所有的限制仅限于设备自身的性能,也支持Failover
Restricted(R)防火墙的内存和允许使用的最多端口数有限制,不支持Failover
Failover(FO)不能单独使用的防火墙,只能用于Failover
Failover-Active/Active(FO-AA)只能和UR类型的防火墙一起使用,支持active/activefailover
FWSM内置UR许可。
activation-key命令用于升级设备的许可,该许可和设备的serialnumber有关(showversion输出可以看到),6.x为16字节,7.x为20字节。
一.3初始配置
跟路由器一样可以使用setup进行对话式的基本配置。
二、配置连接性
二.1配置接口
接口基础:
防火墙的接口都必须配置接口名称,接口IP地址和掩码(7.x开始支持IPv6)和安全等级。
接口可以是物理接口也可以是逻辑接口(vlan),从6.3贾С?
lt;
/SPAN>
trunk,但只支持802.1Q封装,不支持DTP协商。
接口基本配置:
对于FWSM所有的接口都为逻辑接口,名字也是vlan后面加上vlanid。
例如FWSM位于6500的第三槽,配置三个接口,分别属于vlan100,200,300.
Switch(config)#firewallvlan-group1100,200,300
Switch(config)#firewallmodule3vlan-group1
Switch(config)#exit
Switch#sessionslot3processor1
经过此配置后形成三个端口vlan100.vlan200,vlan300
PIX6.x
Firewall(config)#interfacehardware-id[hardware-speed][shutdown](Hardware-id可以用showversion命令看到)
PIX7.x
Firewall(config)#interfacehardware-id
Firewall(config-if)#speed{auto|10|100|nonegotiate}
Firewall(config-if)#duplex{auto|full|half}
Firewall(config-if)#[no]shutdown
命名接口
FWSM2.x
Firewall(config)#nameifvlan-idif_namesecuritylevel
Firewall(config)#nameif{hardware-id|vlan-id}if_namesecuritylevel
Firewall(config)#interfacehardware_id[.subinterface]
Firewall(config-if)#nameifif_name
Firewall(config-if)#security-levellevel
Pix7.x和FWSM2.x开始支持不同接口有相同的securitylevel,前提是全局配置模式下使用same-security-trafficpermitinter-interface命令。
配置IP地址
静态地址:
Firewall(config)#ipaddressif_nameip_address[netmask]
动态地址:
Firewall(config)#ipaddressoutsidedhcp[setroute][retryretry_cnt]
setroute参数可以同时获得来自DHCP服务器的缺省路由,再次输入此命令可以renew地址。
PPPOE:
Firewall(config)#vpdnusernameJohnDoepasswordJDsecret
Firewall(config)#vpdngroupISP1localnameJohnDoe
Firewall(config)#vpdngroupISP1pppauthenticationchap
Firewall(config)#vpdngroupISP1requestdialoutpppoe
Firewall(config)#ipaddressoutsidepppoesetroute
验证接口
Firewall#showip
IPv6地址配置(7.x新特性)
暂略
ARP配置
配置一个静态的ARP条目:
Firewall(config)#arpif_nameip_addressmac_address[alias]
配置timeout时间:
Firewall(config)#arptimeoutseconds缺省为4小时
一般情况下使用cleararp会清除所有的ARP缓存,不能针对单个的条目,但是可以通过以下变通方法:
配置一个静态的条目,映射有问题的ip为一个假的mac地址,然后no掉该命令就会重新建立一个arp条目。
MTU和分段
配置MTU:
Firewall(config)#mtuif_namebytes使用showmtu(6.3)或者showrunning-configmtu(7.x)来验证
分段(fragment)的几个命令:
限制等待重组的分段数Firewall(config)#fragmentsizedatabase-limit[if_name]
限制每个包的分段数Firewall(config)#fragmentchainchain-limit[if_name]
限制一个数据包分段到达的时间Firewall(config)#fragmenttimeoutseconds[if_name]
配置接口的优先队列(7.x新特性)
二.2配置路由
启用PRF防止地址欺骗Firewall(config)#ipverifyreverse-pathinterfaceif_name
配置静态路由Firewall(config)#routeif_nameip_addressnetmaskgateway_ip[metric]
配置RIP
被动听RIP更新(v1,v2)Firewall(config)#ripif_namepassive[version1](Firewall(config)#ripif_namepassiveversion2[authentication[text|md5key(key_id)]])
宣告该接口为缺省路由Firewall(config)#ripif_namedefaultversion[1|2[authentication[text|md5keykey_id]]
配置OSPF
定义OSPF进程Firewall(config)#routerospfpid
指定相应网络到OSPF区域Firewall(config-router)#networkip_addressnetmaskareaarea_id
可选:
定义RouterIDFirewall(config-router)#router-idip_address
记录OSPF邻居状态更新Firewall(config-router)#log-adj-changes[detail]
启用OSPF更新认证Firewall(config-router)#areaarea_idauthentication[message-digest]宣告缺省路由Firewall(config-router)#default-informationoriginate[always][metricvalue][metric-type{1|2}][route-mapname]调节OSPF参数Firewall(config-router)#timers{spfspf_delayspf_holdtime|lsa-group-pacingseconds}
二.3DHCP
配置成为DHCPServer:
配置地址池Firewall(config)#dhcpdaddressip1[-ip2]if_name(最多256个客户端)
配置DHCP参数Firewall(config)#dhcpddnsdns1[dns2]Firewall(config)#dhcpdwinswins1[wins2]Firewall(config)#dhcpddomaindomain_nameFirewall(config)#dhcpdleaselease_lengthFirewall(config)#dhcpdping_timeouttimeout
启用DHCP服务Firewall(config)#dhcpdenableif_name
验证:
showdhcdp,showdhcpdbindings,showdhcpdstatistics
配置DHCP中继:
定义真实DHCPServerFirewall(config)#dhcprelayserverdhcp_server_ipserver_ifc(最多4个)
中继参数Firewall(config)#dhcprelaytimeoutsecondsFirewall(config)#dhcprelaysetrouteclient_ifc
启用中继Firewall(config)#dhcprelayenableclient_ifc
验证showdhcprelaystatistics
二.4组播的支持
三、防火墙的管理
三.1使用SecurityContext建立虚拟防火墙(7.x特性)
特性介绍:
从PIX7.0和FWSM2.2
(1)开始,可以把物理的一个防火墙配置出多个虚拟的防火墙,每个防火墙称为context,这样一个防火墙就支持两种工作模式:
single-context和multiple-context,处于后者工作模式的防火墙被分为三个功能模块:
systemexecutionspace(虽然没有context的功能,但是是所有的基础),administrativecontext(被用来管理物理的防火墙)和usercontexts(虚拟出来的防火墙,所有配置防火墙的命令都适用)
配置:
首先使用showactivation-key来验证是否有multiple-context的许可,然后通过modemultiple和modesingle命令在这两个模式之间进行切换,当然也可以用showmode来验证现在工作在什么模式下。
在不同context下进行切换使用Firewall#changeto{system|contextname},由于所有的context的定义都必须在systemexecutionspace下,所以要首先使用changetosystem转入该模式,Firewall(config)#contextname接着要把物理接口映射到context中只要这样才能在相应的context下显示出物理接口,从而配置其属性Firewall(config-ctx)#allocate-interfacephysical-interface[map-name]最后定义context的startup-config的存放位置Firewall(config-ctx)#config-urlurl
通过showcontext验证
当防火墙工作在multiple-context模式下,admincontext就自动生成。
(showcontext来验证)
由于所有的context都共享设备的资源,所以要限制各个context的资源分配
首先定义classFirewall(config)#classname然后Firewall(config-class)#limit-resourceallnumber%Firewall(config-class)#limit-resource[rate]resource_namenumber[%]最后在相应的context配置下Firewall(config-ctx)#memberclass
通过以下命令验证showclass,showresourceallocation,showresourceusage等
缺省telnet,ssh,IPsec5sessions,MACaddress65535条目
三.2管理Flash文件系统
6.x文件系统
只有六种文件可以保存到Flash,没有文件名只有代号,没有目录结构
0OS镜像1启动文件2VPN和密匙证书3PDM镜像4崩溃信息50的文件大小
showflashfs显示flash文件
7.x和FWSM文件系统
7.x和FWSM更像IOS的文件系统,具有层级目录,要被格式化后才可以使用,7.x使用flash:
/代表Flash文件系统,FWSM分别使用flash:
/(系统镜像)和disk:
/(配置文件)
由于该系统使用类Unix的指令,所以可以使用下列常用命令来对该文件系统操作:
dirpwdcdmoredeletecopyrenamemkdirrmdirformaterasefsck(检查文件系统完整性)
6.x在Flash里面只能保存一个系统镜像,7.x则废除了此种限制通过使用Firewall(config)#bootsystemflash:
filename来选取不同的系统镜像,showbootvar进行验证
OS升级见附录
三.3管理配置文件
7.0以后可以使用多个启动配置文件Firewall(config)#bootconfigurl
显示启动配置文件Firewall#showstartup-configFirewall#showconfiguration(6.x为showconfigure)
保存当前配置文件writememory,copyrunning-configstartup-config,writenet[[server-ip-address]:
[filename]](7.x也支持copy至tftp)
强制standby同步当前配置文件writestandby删除启动配置文件writeerase
合并启动配置文件为当前配置文件configurememory从Web导入配置文件configurehttp[s]:
//[user:
password@]location[:
port]/http-pathname
(7.x支持copy自以上源)
合并配置文件自自动更新服务器
Firewall(config)#auto-updatedevice-id{hardware-serial|hostname|
ipaddress[if_name]|mac-address[if_name]|stringtext}
Firewall(config)#auto-updateserverhttp[s]:
//[username:
password@]
AUSserver-IP-address[:
port]/autoupdate/AutoUpdateServlet
[verify-certificate]
三.4管理管理会话
Firewall(config)#consoletimeoutminutes配置console登录的超时(缺省0不超时)
禁止来自outside端口的telnet,启用telnetFirewall(config)#telnetip_addressnetmaskif_name
Firewall(config)#telnettimeoutminutes
配置telnet超时
启用SSH配置
首先生成RSA密匙对Firewall(config)#domain-namenameFirewall(config)#cageneratersakey[modulus](7.x使用cryptokeygeneratersageneral-keys[modulusmodulus])Firewall(config)#casaveall(7.x自动保存)
使用showcamypubkeyrsa来验证(7.xshowcryptokeymypubkeyrsa)cazeroizersa作废原有密匙对(7.xcryptokeyzeroizersadefault)
最后允许ssh会话Firewall(config)#sship_addressnetmaskif_name
sshversion命令可以选择ssh的版本,sshtimeout定义超时时间
PDM/ASDM配置
由于PDM存放位置固定,所以不需要指定镜像的位置,ASDM使用Firewall(config)#asdmimagedevice:
/path来指定镜像位置,如果没有可以使用copy命令来安装。
然后配置访问许可Firewall#httpip_addresssubnet_maskif_name启用HTTP进程Firewall#httpserverenable使用https:
//ip-address/admin来访问。
Banner配置Firewall(config)#banner{exec|login|motd}text
对banner不能修改,只能用no来删除,或者clearbanner来清除所有的banner(7
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 思科 ASA PIX 防火墙 配置