cisco防火墙配置手册

一、CiscoPix日常维护常用命令1、Pix模式介绍“”用户模式firewallenable由用户模式进入到特权模式password:“#”特权模式firewall#configt由特权模式进入全局配置模式“（config）#”全局配置模式firewall(config)#防火墙的配置只要在全局模式下完成就可以了。1、基本配置介绍1、端口命名、设备命名、IP地址配置及端口激活nameifethernet0outsidesecurity0端口命名nameifgb-ethernet0insidesecurity100定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。firewall(config)#hostnamefirewall设备名称firewall（config）#ipaddressoutside1.1.1.1255.255.255.0内外口地址设置firewall（config）#ipaddressinside172.16.1.1255.255.255.0firewall（config）#interfaceethernet0100full激活外端口firewall（config）#interfacegb-ethernet01000auto激活内端口2、telnet、ssh、web登陆配置及密码配置防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。firewall（config）#telnet192.168.10.0255.255.255.0inside允许内网此网断内的机器Telnet到防火墙配置从外网远程登陆到防火墙Firewall（config）#domain-namecisco.comfirewall（config）#cryptokeygeneratersafirewall（config）#ssh0.0.0.00.0.0.0outside允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：firewall（config）#ssh218.240.6.81255.255.255.255outsidefirewall（config）#enablepasswordcisco由用户模式进入特权模式的口令firewall（config）#passrdciscossh远程登陆时用的口令firewall（config）#usernameCiscopasswordCiscoWeb登陆时用到的用户名firewall（config）#httpenable打开http允许内网10网断通过http访问防火墙firewall（config）#http192.168.10.0255.255.255.0insidefirewall（config）#pdmenablefirewall（config）#pdmlocation192.168.10.0255.255.255.0insideweb登陆方式：、保证防火墙能上网还要有以下的配置firewall（config）#nat（inside）100对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发firewall（config）#nat(inside)1192.168.10.0255.255.255.0fierwall(config)#nat(inside)1192.168.20.0255.255.255.0firewall(config)#global(outside)1interface对进行nat转换得地址转换为防火墙外接口地址firewall(config)#route0.0.0.00.0.0.01.1.1.2指一条默认路由器到ＩＳＰ做完上面的配置内网用户就可以上网了，内部有３层交换机且划分了Ｖｌａｎ，若要保证每个Ｖｌａｎ都能够上网，还要在防火墙上指回到其他ＶＬａｎ的路由，如：Firewall(config)#routeinside192.168.20.0255.255.255.0172.16.1.24、内网服务器映射如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。服务器映射可以是一对一的映射，也可以是端口映射，一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。下面以发布内网一台WEB服务器来举例说明：Firewall(config)#static(inside,outside)tcp222.128.124.180192.168.1.10080上述命令便将内部的web服务器放到了公网上面，但外面的用户并不能访问到，因为防火墙的外界口安全级别最低，从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开，如下：Firewall(config)#access-listoutsidepermittcpanyhost222.128.124.1eq80Firewall(config)#access-groupoutsideininterfaceoutside必须将用access-group命令将访问控制列表应用到外端口，上述完成后就可以从外网上来访问服务器了。5、防火墙上常用的show命令Firewall(config)#showinterface查看所有端口的状态，端口是否出于连接状态interfaceethernet0outsideisup,lineprotocolisup端口和协议都出于“ｕｐ”状态，正常。pixfirewall#shcpuusage查看ＣＰＵ的使用情况，如果ＣＰＵ的使用情况超过６０％是不正常的，说明内部有ＰＣ对外占用了设备大量资源CPUutilizationfor5seconds=1%;1minute:1%;5minutes:1%如果内部有终端中毒（或利用Ｐ２Ｐ下载）向网关送大量的数据包，会导致防火墙只能来处理病毒机器的请求，而无暇顾及正常流量，导致正常用户不能上网，要找到不正常终端可以利用showconn来查看Firewall(config)#showconn若用showconn查看到某个内部ＩＰ到互联网上的链接特别多，且都是ＵＤＰ高端口号的，可以断定此机器是在Ｐ２Ｐ下载，然后可以通过在防火墙上的showarp命令查看到此计算机的ＭＡＣ地址，在用上面交换机维护命令讲到的命令确认他连接在交换机的端口，然后将此端口shotdown，或通过机房点位直接找到用户要求其停止，否则会占用出口带宽和防火墙的资源。Firewall(config)#showconnlocal192.168.40.69查看具体一个ＩＰ地址的链接项：Firewall(config)#showversion查看防火墙的硬件信息Firewall(config)#showxlate查看内部地址时否转换成外端口地址来上网Fierwall(config)#cleararp清除ＡＲＰ表Firewall(config)#clearxlate清除内部所有地址的转换项，网络中断一下Firewall(config)#clearxlatelocal192.168.40.69清除内部具体一台机器的转换项Firewall(config)#showrunnint-config查看防火墙的当前配置文件二、防火墙配置简介1、以前的防火墙的系统版本是6.3以下，在这种版本里面不能用“tab”键补齐命令，而且用“？”来查询命令也很不方便；目前的ASA5500的系统版本为7.0以上，和路由器的命令相同，可以用“tab”键补齐命令，可以用“？”来查看参数、同样也可以在全局模式用show命令。防火墙的几种工作模式：用户模式：如果您看到那么现在代表是在用户模式下，在用户模式下只有简单的命令可以操作。由用户模式进入特权模式的命令为：enable特权模式：如果您看到当前的位置显示#那么您处于特权模式下，在特权模式下用户可以查看所有信息，而前可以进入全局配置模式对防火墙配置进行修改。由特权模式进入全局配置模式下的命令为：configt全局配置模式：当您看到（config）#时，表示现在处于全局配置模式，可以对防火墙的设置进行修改。在“”、“#”、“（config）#”左侧显示的为设备的名称。2、1）、防火墙接口配置Pix配置Pixenable进入特权模式Pix#configt进入全局配置模式Pix(config)#ipaddressoutside222.128.1.1255.255.255.0配置外接口地址Pix(config)#ipaddressinside1.1.1.1255.255.255.0配置内接口地址Pix(config)#interfaceethernet0auto激活外端口Pix(config)#interfaceethernet1auto激活内端口（默认端口是出于shutdown状态的）防火墙6.3以下系统默认将ethernet0端口做为外端口，默认安全级别为0，ethernet1作为内端口，默认安全级别为100，对于防火墙而言，高安全级别的用户可以访问到低安全级别，而由低安全级别主动发起的到高安全级别的链接是不允许的。Pix系列产品默认只有两个端口及0和1，DMZ端口都是另外添加的模块，DMZ端口的默认安全级别50，配置DMZ接口的地址和配置inside和outside类似Pix(config)#ipaddressdmz3.3.3.3255.255.255.0Pix(config)#interfacegb-ethernet01000auto激活DMZ端口，DMZ的端口号需要您用showrunning-config命令查看，如：Pix(config)#showrunning-configshrun:Saved:PIXVersion6.3(5)interfaceethernet0100fullinterfaceethernet1autointerfacegb-ethernet01000auto新添加的DMZ端口2）、防火墙nat设置2.1、内网用户要上网，我们必须对其进行地址转换，将其转换为在公网上可以路由的注册地址，防火墙的nat和global是同时工作的，nat定义了我们要进行转换的地址，而global定义了要被转换为的地址，这些配置都要在全局配置模式下完成，2.2、Nat配置如下：Pix(config)#nat(inside)100上面inside代表是要被转换得地址，1要和global后面的号对应，类似于访问控制列表号，也是从上往下执行，00代表全部匹配（第一个0代表地址，第二个0代表掩码），内部所有地址都回进行转换。2.3、Global配置Pix（config）#global（outside）1interfaceGobalb定义了内网将要被转换成的地址，Interface代表外端口的地址当然，如果您有更多的公网IP地址，您也可以设置一个地址池，上面一条也是必须的，地址转换首先会用地址池内地址，一旦地址被用完后会用到上面一条及外端口做ＰＡＴ转换上网。Pix（config）#global（outside）１222.128.1.100-222.128.1.254３）、防火墙路由设置3.1、因为我们为末节网络，所以对于我们来说路由比较简单，只要将从防火墙过来的所有流量全部导向ＩＳＰ就可以了，具体到各个网站的路由在ＩＳＰ那里会有。如果在我们的内部没有Ｖｌａｎ划分，那么我们之需要在防火墙上指一条向外出的路由就可以了，如下：Pix（config）#routeoutside0.0.0.00.0.0.0222.128.1.2Routeoutside代表是外出的路由0.0.0.0代表目的地址，及全部匹配0.0.0.0代表子网掩码，及全部匹配1.1.1.2代表下一跳，及和我们防火墙互联的ISP的地址3