完整版Cisco+Pix515E防火墙配置详解.docx
- 文档编号:23784152
- 上传时间:2023-05-20
- 格式:DOCX
- 页数:14
- 大小:27.85KB
完整版Cisco+Pix515E防火墙配置详解.docx
《完整版Cisco+Pix515E防火墙配置详解.docx》由会员分享,可在线阅读,更多相关《完整版Cisco+Pix515E防火墙配置详解.docx(14页珍藏版)》请在冰豆网上搜索。
完整版Cisco+Pix515E防火墙配置详解
一、PIX515分步配置
1.准备工作…………………………………………………………………………….2
4.配置VPNClient拨入组……………………………………………………………5
注释:
以!
开始,灰色
实际配置:
红色
用户填写参数:
斜体绿色
需修改:
斜体兰色带下划线
一、PIX515分步配置
1.准备工作
1)连接Console口的线缆一条,带有串行接口的笔记本一台
2)进入配置模式
配置对象
防火墙(CISCO-PIX515E)
操作步骤
命令
目的(注释)
Setp1
enable
进入特权模式
Setp2
configterminal
进入全局配置模式
Setp3
hostnamename
设置防火墙主机名
Setp4
enablepasswordpassword
设置进入特权模式的密码
实际配置:
pixfirewall>enable!
进入特权模式
pixfirewall#configterminal!
进入全局配置模式
pixfirewall(config)#hostnamepix515!
设置防火墙主机名为pix515
pix515(config)#enablepassword123456!
设置进入特权模式的密码为123456
2.启动接口与转换地址
工作内容:
1)开启接口与端口、为端口命名并设置安全级别
2)端口地址转换
【步骤1】:
开启接口与端口
Ø命令步骤:
配置对象
防火墙(CISCO-PIX515E)
操作步骤
命令
目的(注释)
Setp1
interfacephy-nameauto/10/100
启动接口
Setp2
Nameifethernet0outside/insidesecurity
为端口命名,并设安全级别
Setp3
ipaddressnamenetaddressmask
为接口分配IP
Setp4
fixupprotocolnameport
允许通过的端口
Ø实际配置:
interfaceethernet0auto!
启用以太网0口使用自适应模式
interfaceethernet1100full!
启用以太网1口并以100mbit/s全双工模式通信
nameifethernet0outsidesecurity0!
为以太网端口0命名,并设安全级别为0
nameifethernet1insidesecurity100!
为以太网端口1命名,并设安全级别为100
ipaddressoutside218.247.x.x255.255.255.128
!
设置(ethernet0端口)外网IP地址及掩码
ipaddressinside192.168.x.x255.255.255.0
!
设置(ethernet1端口)内网IP地址及掩码
fixupprotocolhttp80!
启用http协议,对应该商品80,用来上WEB网
fixupprotocolftp21!
启用ftp协议,对应端口21,文件传输协议
fixupprotocolsmtp25!
启用smtp协议,对应端口25,用于邮件发送
【步骤2】:
端口地址转换
Ø命令步骤:
配置对象
防火墙(CISCO-PIX515E)
操作步骤
命令
目的(注释)
Setp1
global(outside)numnetaddress
全局地址池
Setp2
nat(inside)numnet mask
允许进行nat的IP地址段
Step3
Routeoutside/insideipaddressmaskinterface/ipaddr
设置路由
Ø实际配置:
global(outside)1interface!
这里的interface用来指定外部端口上的IP地址用于PAT
nat(inside)10.0.0.00.0.0.0 !
允许局域网内所有网段的主机访问外网
routeoutside0.0.0.00.0.0.0121.13.x.x
!
(route命令为防火墙内网或处网端口定义一条静态路由),所有的内网数据从外网端口(outside口)离开并转发到下一跳路由器的IP地址121.13.x.x
3.配置IPSECVPN
工作内容:
1)配置IKE
2)配置IPSEC
【步骤1】:
配置IKE
Ø命令步骤:
配置对象
防火墙(CISCO-PIX515E)
操作步骤
命令
目的(注释)
Setp1
Isakmpenable
激活或关闭IKE
Setp2
Isakmppolicy
创建IKE策略
Setp3
Isakmpkey
配置预共享密钥
Step4
Showisakmppolicy
验证IKE配置
Ø实际配置:
isakmpenableoutside!
在外部接口上启用IKE协商
isakmpkey654321address0.0.0.0netmask0.0.0.0
!
设置预共享密钥和远端IP地址及子网掩码
isakmpidentityaddress!
将IKE身份设置成接口的IP地址
isakmpnat-traversal20!
缺省keepalives时间20秒
isakmppolicy10authenticationpre-share
!
使用预先共享密钥进行认证,配置基本的IKE策略
isakmppolicy10encryptiondes
!
指定56们的DES做为IKE策略的加密算法
isakmppolicy10hashmd5
!
指定MD5用于IKE策略加密算法
isakmppolicy10group2!
定义phase1进行IKE协商使用DH group2
isakmppolicy10lifetime86400!
每个安全关联的生存周期为86400秒(1天)
【步骤2】:
配置IPSEC
Ø命令步骤:
配置对象
防火墙(CISCO-PIX515E)
操作步骤
命令
目的(注释)
Setp1
Access-list
配置加密用访问控制列表
Setp2
Cryptoipsectransform-set
配置变换集套件
Setp3
Cryptoipsecsecurity-associationlifetime
配置全局ipsec安全关联生存时间
Step4
Cryptomap
配置加密图
Step5
Cryptomapmapnameinterface
将加密图应用到终止或起始接口
Step6
Showcryptoipsecoption
显示配置项
Ø实际配置:
sysoptconnectionpermit-ipsec !
对所有的IPSec流量不检测允许通过
cryptoipsectransform-sethj_setesp-desesp-md5-hmac
!
可以在一个保密图(cryptomap)中定义多个变换集。
如果没有使用IKE,那么只能定义一种变换集。
用户能够选择多达三种变换。
cryptodynamic-mapdynmap10settransform-sethj_set
!
使用动态安全关联--创建动态的保密图集
cryptomaphj_map10ipsec-isakmpdynamicdynmap
!
将动态保密图集加入到正规的图集中(将动态加密图与静态加密图绑定)
cryptomaphj_mapclientconfigurationaddressinitiate
!
配置给每个vpnclient分配IP地址
cryptomaphj_mapclientconfigurationaddressrespond
!
配置防火墙接受来自任何地址的请求
cryptomaphj_mapinterfaceoutside
!
绑定动态加密图到outside(ethernet0端口)接口
4.配置VPNClient拨入组
配置对象
防火墙(CISCO-PIX515E)
操作步骤
命令
目的(注释)
Setp1
Iplocalpoolpool_0210.1.1.1-10.1.1.100mask255.255.255.0
定义本地IP地址池分配给VPN客户端接入用户
Setp2
Vpngroupnameaddress-poolpool_02
创建地址vpn拨入组,使用
Pool_02的地址池
Setp3
Vpngroupnameidle-time1800
定义vpn客户端拨入的空闲时间
Step6
Vpngroupnamepasswork*******
创建VPN客户端拨入密码
Step7
writememory
将以上配置文件保存
注:
router#copyrunning-configstartup-config;保存配置
router#copyrunning-configtftp;保存配置到tftp
router#copystartup-configtftp;保存开机配置存到tftp
router#copytftpflash:
;下传文件到flash
router#copytftpstartup-config;下载配置文件
ROM状态:
Ctrl+Break;进入ROM监控状态
rommon>confreg0x2142;跳过配置文件
rommon>confreg0x2102;恢复配置文件
rommon>reset ;重新引导
rommon>copyxmodem:
flash:
;从console传输文件
rommon>IP_ADDRESS=10.65.1.2;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin;指定下载的文件
rommon>tftpdnld;从tftp下载
rommon>dirflash:
;查看闪存内容
rommon>boot;引导IOS
二、PIX515配置文件(SHOWRUN)
注释:
以!
开始,绿色
实际配置:
红色
用户填写参数:
斜体兰色
需修改:
斜体兰色带下划线
interfaceethernet0auto
interfaceethernet1auto
nameifethernet0outsidesecurity0
nameifethernet1insidesecurity100
!
配置特权模式密码、TELNET密码以及主机名域名
enablepasswordyw@#lyc45j
passwdyw@#lyc45j
hostnamepixfirewall
domain-namepix
fixupprotocoldnsmaximum-length512
fixupprotocolftp21
fixupprotocolh323h2251720
fixupprotocolh323ras1718-1719
fixupprotocolhttp80
fixupprotocolrsh514
fixupprotocolrtsp554
fixupprotocolsip5150
fixupprotocolsipudp5150
fixupprotocolskinny2000
fixupprotocolsmtp25
fixupprotocolsqlnet1521
fixupprotocoltftp69
!
解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表中为空
names
!
设置访问控制列表
access-list101permitip192.168.0.0255.255.0.0193.168.1.0255.255.255.0
access-listno-natpermitip192.168.0.0255.255.0.0193.168.1.0255.255.255.0
!
每页24行
pagerlines24
!
Mtu:
MaxTransUnit最大传输单元
mtuoutside1500
mtuinside1500
!
设置IP地址
ipaddressoutside218.247.52.232255.255.255.128
ipaddressinside192.168.6.226255.255.255.0
!
pix入侵检测的2个命令。
当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置
ipauditinfoactionalarm
ipauditattackactionalarm
!
定义本地IP地址池,以分配给用VPNClient拨入的用户
iplocalpoolpool1193.168.1.10-193.168.1.20mask255.255.255.0
!
PIX设备管理器可以图形化的监视PIX
pdmlogginginformational100
pdmhistoryenable
!
arp表的超时时间
arptimeout14400
!
NAT
global(outside)1interface
nat(inside)0access-listno-nat
nat(inside)10.0.0.00.0.0.000
routeinside192.168.1.0255.255.255.0192.168.2.2261
routeinside192.168.2.0255.255.255.0192.168.2.2261
routeinside192.168.3.0255.255.255.0192.168.2.2261
routeinside192.168.4.0255.255.255.0192.168.2.2261
routeinside192.168.5.0255.255.255.0192.168.2.2261
routeinside192.168.7.0255.255.255.0192.168.2.2261
!
超时限制
timeoutxlate0:
05:
00
timeoutconn1:
00:
00half-closed0:
10:
00udp0:
02:
00rpc0:
10:
00h2251:
00:
00
timeouth3230:
05:
00mgcp0:
05:
00sip0:
30:
00sip_media0:
02:
00
timeoutsip-disconnect0:
02:
00sip-invite0:
03:
00
timeoutuauth0:
05:
00absolute
!
AAA服务器的两种协议。
AAA是指认证,授权,审计。
Pix防火墙可以通过AAA服务器增加内部网络的安全
aaa-serverTACACS+protocoltacacs+
aaa-serverTACACS+max-failed-attempts3
aaa-serverTACACS+deadtime10
aaa-serverRADIUSprotocolradius
aaa-serverRADIUSmax-failed-attempts3
aaa-serverRADIUSdeadtime10
aaa-serverLOCALprotocollocal
!
用来通过web界面管理防火墙
httpserverenable
http192.168.0.0255.255.05.0inside
!
由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
nosnmp-serverlocation
nosnmp-servercontact
snmp-servercommunitypublic
nosnmp-serverenabletraps
!
防止有人伪造大量认证请求,将pix的AAA资源用完。
floodguardenable
nosysoptroutednat
!
配置IpsecVPN
!
不检查ipsec流量
sysoptconnectionpermit-ipsec
!
配置交换集
cryptoipsectransform-sethj_setesp-desesp-md5-hmac
!
配置加密图
cryptodynamic-maphj_dynamicmap10settransform-sethj_set
!
将动态加密图与静态加密图绑定
cryptomaphj_map10ipsec-isakmpdynamichj_dynamicmap
!
配置给每个vpnclient分配IP地址
cryptomaphj_mapclientconfigurationaddressinitiate
!
配置防火墙接受来自任何地址的请求
cryptomaphj_mapclientconfigurationaddressrespond
!
绑定动态加密图到outside接口
cryptomaphj_mapinterfaceoutside
!
outside接口启用isakmp
isakmpenableoutside
!
定义共享密钥,并接受来自任何地址的请求
isakmpkeyyw@#yc45jaddress0.0.0.0netmask0.0.0.0
!
以地址标识对端
isakmpidentityaddress
!
允许客户端把IPSEC数据打包通过TCP或UDP的一个端口(默认10000)进行传输
isakmpnat-traversal20
isakmppolicy10authenticationpre-share
isakmppolicy10encryptiondes
isakmppolicy10hashmd5
isakmppolicy10group2
isakmppolicy10lifetime86400
!
配置VPNCLIENT拨入组
vpngrouphj_vpdngroupaddress-poolpool1
!
定义VPNclient拨入使用的vpngroup所分配的IP地址池
vpngrouphj_vpdngroupdns-server218.247.52.1
!
定义VPN组默认DNS(可选)
vpngrouphj_vpdngroupdefault-domainhj
!
定义VPN组的默认域名(可选)
vpngrouphj_vpdngroupsplit-tunnel101
!
为VPNCLIENT启用隧道分离并符合访问控制列表101策略
vpngrouphj_vpdngroupidle-time1800
!
定义vpngroup的空闲时间
vpngrouphj_vpdngrouppassword654321
!
定义vpngroup的pre-sharedkey
!
telnet管理防火墙
telnet192.168.0.0255.255.0.0inside
telnettimeout60
ssh193.168.2.0255.255.255.0inside
sshtimeout60
consoletimeout0
!
web界面管理防火墙的用户名密码
usernamehj_userpasswordyw@#lyc45jprivilege15
terminalwidth80
注:
所有的配置均可通过no这个命令来取消.
如:
noipaddressinside192.168.1.1255.255.255.0
三、VPNClient配置
VPNClient应填参数
ConnectionEntry:
vpdngroup_name
Descirption:
test
HOST:
218.247.52.232(防火墙外网IP)
Authentication->GroupAuthentication里应填参数
Name:
vpdngroup_name
Password:
654321
ConfirmPassword:
654321
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 完整版 Cisco Pix515E 防火墙 配置 详解