cisco PIX防火墙做端口映射
cisco PIX防火墙做端口映射
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。
注意:2个接口的防火墙是没有停火区的。
由于PIX535在企业级别不具有普遍性,因此下面主要说明PIX525在企业网络中的应用。
PIX防火墙提供4种管理访问模式:
非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>
特权模式。输入enable进入特权模式,可以改变当前配置。显示为pixfirewall# 配置模式。输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>
配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route.
这些命令在配置PIX时是必须的。以下是配置的基本步骤:
1. 配置防火墙接口的名字,并指定安全级别(nameif)。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句可以这样写:
Pix525(config)#nameif pix/intf3 security40 (安全级别任取)
2. 配置以太口参数(interface)
Pix525(config)#interface ethernet0 auto (auto选项表明系统自适应网卡
类型)
Pix525(config)#interface ethernet1 100full (100full选项表示100Mbit/s 以太网全双工通信)
Pix525(config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown )
3. 配置内外网卡的IP地址(ip address)
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显,Pix525防火墙在外网的ip地址是61.144.51.42,内网ip地址是192.168.0.1
例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http 访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。
例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
例3. Pix525(config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static 静态映射:192.168.0.3->61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。
C. 配置fixup协议
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup 命令指定的端口是pix防火墙要侦听的服务。见下面例子:
例1. Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21
例2. Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。
例3. Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。
D. 设置telnet
telnet 有一个版本的变化。在pix OS 5.0(pix*作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0 及后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火
墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用 SSH client从外部telnet到PIX防火墙,PIX支持SSH1和SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下 cisco路由器的telnet 就做得不怎么样了。
telnet配置语法:telnet local_ip [netmask] local_ip
表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。
说了这么多,下面给出一个配置实例供大家参考。
Welcome to the PIX firewall
Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config :
Saved :
PIX Version 6.0(1) —— PIX当前的*作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ——显示目前pix只有2个接口Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted —— pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
Hostname PIX525 ——主机名称为PIX525
Domain-name https://www.360docs.net/doc/9613704800.html, ——本地的一个域名服务器https://www.360docs.net/doc/9613704800.html,,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ——当前启用的一些服务或协议,注意rsh服务是不能改变端口号的
names ——解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ——每24行一分页
interface ethernet0 auto
interface ethernet1 auto ——设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ——以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 —— pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm —— pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
pdm history enable —— PIX设备管理器可以图形化的监视
PIX arp timeout 14400 —— arp表的超时时间
global (outside) 1 61.144.51.46 ——如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask
255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any ——用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp
端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ——外部网关61.144.51.61 timeout xlate 3:00:00 ——某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute —— AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius —— AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location no snmp-server contact snmp-server community public ——由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人no snmp-server enable traps ——发送snmp陷阱 floodguard enable ——防止有人伪造大量认证请求,将pix的AAA资源用完
no sysopt route dnat telnet timeout 5 ssh timeout 5 ——使用ssh访问pix的超时时间
terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ——将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用, show interface 查看端口状态,show static查看静态地址映射,show ip查看接口ip地址, ping outside | inside ip_address确定连通性。
PIX上实现VPN步骤
在PIX上防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务:
一、为IPSec做准备
为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过;
步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略;
步骤2:确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;
步骤3:用"write terminal"、"show isakmp"、"show isakmp policy"、"show crypto map "命令及其他"show"命令来检查当前的配置;
步骤4:确认在没有使用加密前网络能够正常工作,用"ping"命令并在加密前运行测试数据流来排除基本的路由故障;
步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。
二、配置IKE 配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置;
步骤1:用"isakmp enable"命令来启用或关闭IKE;
步骤2:用"isakmp policy"命令创建IKE策略;
步骤3:用"isakmp key"命令和相关命令来配置预共享密钥;
步骤4:用"show isakmp [policy]"命令来验证IKE的配置。
三、配置IPSec
IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去;
步骤1:用access-list命令来配置加密用访问控制列表;例如: access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]]dest_addr dest_mask [operator prot [port]]
步骤2:用crypto ipsec transform-set 命令配置变换集;例如: crypto ipsec transform- set transform-set-name transform1 [transform2 [transform3]] 3. 步骤3:(任选)用crypto ipsec security-association lifetime命令来配置全局性的IPSec 安全关联的生存期;
步骤4:用crypto map 命令来配置加密图;
步骤5:用interface 命令和crypto map map-name interface应用到接口上;
6. 步骤6:用各种可用的show命令来验证IPSec的配置。
四、测试和验证IPSec
该任务涉及到使用"show " 、"debug"和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。
样例:
PIX 1的配置:
!configure the IP address for each PIX Firewall interface
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.3 255.255.255.0
ip address dmz 192.168.11.1 255.255.255.0
global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0 !creates a global pooll on the outside interface,enables NAT.
!windows NT server
static (inside,outside) 192.168.1.10 10.1.1.4 netmask 255.255.255.0 !Crypto access list specifiles between the global and the inside server beind PIX Firewalls is encrypted ,The source and destination IP address are the global IP addresses of the statics.
Access-list 101 permit ip host 192.168.1.10 host 192.168.2.10
!The conduit permit ICMP and web access for testing.
Conduit permit icmp any any Conduit permit tcp host 192.168.1.10 eq www any
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
!Enable IPSec to bypass access litst,access ,and confuit restrictions syspot connnection permit ipsec
!Defines a crypto map transform set to user esp-des
crypto ipsec transform-set pix2 esp-des
crypto map peer2 10 ipsec-isakmp!
完全配置: ip address outside 202.105.113.194 255.255.255.0 /*看电信给你的IP
ip address inside 192.168.1.1 255.255.255.0
!
global (outside) 1 202.105.113.195-202.105.113.200
global (outside) 1 202.105.113.201
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 202.105.113.203 192.168.1.10 netmask
255.255.255.255 0 0
static (inside,outside) 202.105.113.205 192.168.1.11netmask
255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 202.105.113.203 eq www any
conduit permit tcp host 202.105.113.203 eq ftp any
conduit permit tcp host 202.105.113.205 eq smtp any
conduit permit tcp host 202.105.113.205 eq pop3 any
!
route outside 0.0.0.0 0.0.0.0 202.105.113.193 1
route inside 0.0.0.0 0.0.0.0 192.168.1.1
4. 指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
nat命令配置语法:
nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside。Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例1.Pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。
5. 指定外部地址范围(global) global命令把内网的ip地址翻译成外网的ip 地址或一段地址范围。
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外网接口名字,例如outside.。Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address -ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表救謎p地址的网络掩码。
例1.Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用
61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2.Pix525(config)#global (outside) 1 61.144.51.42 表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip 地址。
例3. Pix525(config)#no global (outside) 1 61.144.51.42 表示删除这个全局表项。
6. 设置指向内网和外网的静态路由(route)定义一条静态路由。
route命令配置语法:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。
例1. Pix525(config)#route outside 0 0 61.144.51.168 1
表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
例2. Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一条路由器ip地址是172.16.0.1。
OK,这6个基本命令若理解了,就可以进入到pix防火墙的一些高级配置了。
A. 配置静态IP地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
static命令配置语法:
static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address
其中internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name为外部网络接口,安全级别较低,如outside等。
outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。
例1. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8 表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部
ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。
例2. Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3. Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注释同例1。
通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
B. 管道命令(conduit)
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡。
conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级
别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
conduit命令配置语法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask] permit | deny 允许 | 拒绝访问 global_ip 指的是先前由global或static
命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip 是一台主机,就用host命令参数。
port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,比如:TCP、UDP、ICMP等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http 访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。
例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
例3. Pix525(config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static 静态映射:192.168.0.3->61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。
C. 配置fixup协议
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup 命令指定的端口是pix防火墙要侦听的服务。见下面例子:
例1. Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21
例2. Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。
例3. Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。
D. 设置telnet
telnet 有一个版本的变化。在pix OS 5.0(pix*作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0 及后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用 SSH client从外部telnet到PIX防火墙,PIX支持SSH1和SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下 cisco路由器的telnet
就做得不怎么样了。
telnet配置语法:telnet local_ip [netmask] local_ip
表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。
说了这么多,下面给出一个配置实例供大家参考。
Welcome to the PIX firewall
Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config :
Saved :
PIX Version 6.0(1) —— PIX当前的*作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ——显示目前pix只有2个接口Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted —— pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
Hostname PIX525 ——主机名称为PIX525
Domain-name https://www.360docs.net/doc/9613704800.html, ——本地的一个域名服务器https://www.360docs.net/doc/9613704800.html,,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ——当前启用的一些服务或协议,注意rsh服务是不能改变端口号的
names ——解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ——每24行一分页
interface ethernet0 auto
interface ethernet1 auto ——设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ——以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 —— pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm —— pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信
号等动作,需另外配置。
pdm history enable —— PIX设备管理器可以图形化的监视
PIX arp timeout 14400 —— arp表的超时时间
global (outside) 1 61.144.51.46 ——如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask
255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any ——用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp
端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ——外部网关61.144.51.61 timeout xlate 3:00:00 ——某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute —— AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius —— AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location no snmp-server contact snmp-server community public ——由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人no snmp-server enable traps ——发送snmp陷阱 floodguard enable ——防止有人伪造大量认证请求,将pix的AAA资源用完
no sysopt route dnat telnet timeout 5 ssh timeout 5 ——使用ssh访问pix的超时时间
terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ——将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用, show interface 查看端口状态,show static查看静态地址映射,show ip查看接口ip地址, ping outside | inside ip_address确定连通性。
Cisco pix 525 vpdn +acs 用户验证
【内容摘要】系统环境:ciscopix525ciscoacsserver3.2实现功能:远程使用ciscoipsecvpnclient3.x 以上的vpnclient拨入企业网络;远程使用mspptpvpn拨入企业网络;所有远程vpdn用户通过acsserver做用户验证和记帐,便于管理和实现其他pix验证无法实现的功能,例如实现用户帐号尝试错误后锁定,访问时间等功能;pix525上的配置:jtpixfirewall#shrun:saved:pixversion6.3(3)interfaceethernet0autoin……
-----------------------------------------------------------------------------
系统环境:
cisco pix 525
cisco acs server 3.2
实现功能:
远程使用cisco ipsec vpn client 3.x以上的vpn client 拨入企业网络;
远程使用ms pptp vpn拨入企业网络;
所有远程vpdn用户通过acs server 做用户验证和记帐,便于管理和实现其他pix 验证无法实现的功能,例如实现用户帐号尝试错误后锁定,访问时间等功能;
pix 525 上的配置:
jtpixfirewall# sh run
: saved
:
pix version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 auto
interface ethernet4 auto
interface ethernet5 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 perimter1 security20
nameif ethernet3 perimter2 security30
nameif ethernet4 perimter3 security40
nameif ethernet5 perimter4 security50
enable password pavmekyodlghdoob7y encrypted passwd 1zowqt4vg2d3tbu69 encrypted hostname jtpixfirewall
domain-name https://www.360docs.net/doc/9613704800.html,
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.1.5.0 test
name 10.1.8.50 netmang
access-list inside_outbound_nat0_acl permit ip 10.1.8.0 255.255.255.0 10.1.58.0 255.255.255.0
access-list inside_outbound_nat0_acl permit ip test 255.255.255.0 10.1.58.0 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 10.0.0.0 255.252.0.0 10.1.58.0 255.255.255.0
access-list jt1_splittunnelacl permit ip tests 255.255.255.0 any
access-list jt1_splittunnelacl permit ip 10.1.2.0 255.255.255.0 any
access-list acl-out permit icmp any any
pager lines 24
logging on
logging timestamp
logging trap debugging
logging history debugging
logging facility 16
logging host inside netmang
mtu outside 1500
mtu inside 1500
mtu perimter1 1500
mtu perimter2 1500
mtu perimter3 1500
mtu perimter4 1500
ip address outside 222.121.48.75 255.255.255.224 ip address inside 10.1.8.12 255.255.255.0
ip address perimter1 127.0.0.1 255.255.255.255 no ip address perimter2
no ip address perimter3
no ip address perimter4
ip audit info action alarm
ip audit attack action alarm
ip local pool local_pool 10.1.58.50-10.1.58.100 no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address perimter1
no failover ip address perimter2
no failover ip address perimter3
no failover ip address perimter4
pdm location 10.1.9.50 255.255.255.255 inside
pdm location 10.1.9.0 255.255.255.0 inside
pdm location 10.1.9.0 255.255.255.0 perimter1
pdm location 10.1.1.253 255.255.255.255 inside
pdm location 10.1.0.0 255.255.0.0 inside
pdm location 10.1.1.253 255.255.255.255 perimter1
pdm location test 255.255.255.0 inside
pdm location 10.0.0.0 255.252.0.0 inside
pdm location 10.1.58.0 255.255.255.0 outside
pdm location netmang 255.255.255.255 inside
pdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 10.1.8.0 255.255.255.0 0 0
nat (inside) 0 10.0.0.0 255.252.0.0 0 0
access-group acl-out in interface inside
rip inside default version 2
route outside 0.0.0.0 0.0.0.0 222.121.48.65 1
route inside 10.1.0.0 255.255.0.0 10.1.8.253 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server tacacs+ protocol tacacs+
aaa-server radius protocol radius
aaa-server local protocol local
aaa-server jtacs protocol radius
#指定aaa采用radius
aaa-server jtacs (inside) host netmang ddjt2008 timeout 5
#指定radius server 的ip地址和口令(ddjt2008)
aaa proxy-limit disable
aaa accounting include tcp/0 inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 jtacs #对aaa group jtacs做radius account (记帐)
http server enable
http 10.1.9.50 255.255.255.255 inside
snmp-server host inside netmang
no snmp-server location
no snmp-server contact
snmp-server community en9fk5*37
snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
sysopt radius ignore-secret
service resetinbound
crypto ipsec transform-set esp-3des-md5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set esp-3des-md5 crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map client authentication jtacs
crypto map outside_map interface outside
isakmp enable outside
isakmp nat-traversal 20
#解决ipsec 穿透nat 问题;
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption 3des
isakmp policy 40 hash md5
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
vpngroup test1 address-pool local_pool
vpngroup test1 dns-server 10.1.2.1
vpngroup test1 wins-server 10.1.2.1
vpngroup test1 default-domain jt
vpngroup test1 split-tunnel jt1_splittunnelacl
vpngroup test1 idle-time 1800
vpngroup test1 secure-unit-authentication
vpngroup tset1 user-idle-timeout 18
vpngroup test1 device-pass-through
vpngroup test1 password ********
telnet 10.1.8.0 255.255.255.0 inside
telnet 10.1.9.0 255.255.255.0 inside
telnet 10.1.1.253 255.255.255.255 inside
telnet 10.1.1.253 255.255.255.255 perimter1
telnet 10.1.1.253 255.255.255.255 perimter2
telnet 10.1.1.253 255.255.255.255 perimter3
telnet 10.1.1.253 255.255.255.255 perimter4
telnet timeout 10
ssh 10.1.9.0 255.255.255.0 inside
ssh 10.1.9.0 255.255.255.0 perimter1
ssh 10.1.9.0 255.255.255.0 perimter2
ssh 10.1.9.0 255.255.255.0 perimter
本贴来自天极网群乐社区--https://www.360docs.net/doc/9613704800.html,/group/review-17677517.html
发表于2009-02-06 09:17 浏览量:462 楼主
PIX使用一个公网IP做PAT和Static NA T
【内容摘要】注:客户刚提出这个要求的时候,笔者建议他们使用两个公网的ip来做,这样笔者的麻烦就少了!但是客户只有这么一个可用的了,客户要求即可以让内部网用户访问互联网,还要把内部的ftp、web、mail服务器映射到外网对外网提供服务。没办法,想起有人曾经在路由器上用一个ip做过即可上网又映射web服务器,经过努力终于成功,现将配置总结如下。net120整理=======================……
-----------------------------------------------------------------------------
注:客户刚提出这个要求的时候,笔者建议他们使用两个公网的ip来做,这样笔者的麻烦就少了!但是客户只有这么一个可用的了,客户要求即可以让内部网用户访问互联网,还要把内部的ftp、web、mail服务器映射到外网对外网提供服务。没办法,想起有人曾经在路由器上用一个ip做过即可上网又映射web服务器,经过努力终于成功,现将配置总结如下。net120整理
======================================
nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 auto
interface ethernet1 auto
ip address outside 10.10.10.1 255.255.255.224
ip address inside 20.20.20.1 255.255.255.0
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp 10.10.1 pop3 20.20.20.20 pop3 netmask 255.255.255.255
static (inside,outside) tcp 10.10.1 smtp 20.20.20.20 smtp netmask 255.255.255.255
static (inside,outside) tcp 10.10.1 www 20.20.20.20 www netmask 255.255.255.255
static (inside,outside) tcp 10.10.1 ftp 20.20.20.20 ftp netmask 255.255.255.255
conduit permit tcp host 10.10.10.1 eq www any
conduit permit tcp host 10.10.10.1 eq ftp any
conduit permit tcp host 10.10.10.1 eq pop3 any
conduit permit tcp host 10.10.10.1 eq smtp any
route outside 0.0.0.0 0.0.0.0 10.10.10.254
本贴来自天极网群乐社区--https://www.360docs.net/doc/9613704800.html,/group/review-17677512.html
Cisco ASA配置
Cisco ASA配置 思科防火墙ASA5520配置 思科防火墙ASA5520配置: 目的:1、内网可以上网 2、内网可以访问DMZ区域的服务器 3、外网可以通过公网IP访问DMZ区域的服务器 要求:1、内网的网段192.168.10.0 2、DMZ的网段192.168.5.0 3、外网IP地址:200.200.200.82 200.200.200.83 网关255.255.255.248(这个地址一般是运营商提供) 4、外网路由:200.200.200.81 5、DMZ区域的服务器IP地址:192.168.5.2 步骤1:配置接口inside、outside和dmz interface g0/0 speed auto duplex auto nameif inside Security-level 100 ip address 192.168.10.1 255.255.255.0 no shut exit interface g0/1 speed auto duplex auto nameif outside Security-level 0 ip address 200.200.200.82 255.255.255.248 no shut exit interface g0/2 speed auto duplex auto nameif dmz Security-level 50 ip address 192.168.5.1 255.255.255.0 no shut exit 步骤2、添加外网路由 route outside 0 0 200.200.200.81
Cisco ASA 5500防火墙个人基本配置手册
Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区,Security-Level:0,接Router F0/0;ASA 防火墙eth1接口定义为insdie 区,Security-Level:100,接Switch 的上联口;ASA 防火墙Eth2接口定义为DMZ 区,Security-Level:60,接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ,即Switch 能够ping 通Router 的F0/0(202.100.10.2);dmz 区能够访问outside ,即Mail Server 能够ping 通Router 的F0/0(202.100.10.2); outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口(110)、smtp 端口(25). 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供
四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供
防火墙公网IP设置及端口映射方法
(一)防火墙初始配置 1.导入证书 打开目录“Admin Cert”,双击“SecGateAdmin.p12”,进行安装,密码是“123456”; 2.将电脑的网线与防火墙的WAN口相连,打开防火墙电源。 3.设置好电脑的IP地址为“10.50.10.44”后,用IE打开地址:https://10.50.10.45:8889。 输入用户名和密码进入管理界面。 防火墙的W AN口默认的IP是“10.50.10.45”, 防火墙默认的管理主机IP是:“10.50.10.44” 进入防火墙WEB界面用户名和密码是:“admin”-“firewall” 进入地址是:https://10.50.10.45:8889 4.导入“license许可证文件” 系统配置---升级许可,点如下图中的浏览 ,然后找到与防火墙相对应的lns许可文件,然后再“导入许可证”,导入许可文件后才能进行防火墙的管理。 5.增加管理主机(或改成“管理主机不受限制”) 管理配置—管理主机,增加管理主机的IP地址,或直接在“管理主机不受限制” 上打勾。记得“保存配置”。 6.增加LAN的接口地址:网络配置---接口IP,增加LAN的IP地址为:192.168.11.254, 子网掩码为:255.255.255.0 7.将硬盘录像机的IP改为”192.168.11.250”,子网掩码:”255.255.255.0”,网 关:”192.168.11.254” 8.记得在最上方点击”保存配置”,这样才会在重启后也生效。
(二)防火墙公网地址配置方法: 1.配置公网IP 网络配置---接口IP,增加WAN的IP地址为公网地址,子网掩码为电信或联通提供的子网掩码。 2.配置默认网关 网络配置---策略路由,点“添加”,然后选“路由”,只用在地址框里输入网关地址即可。 3.保存配置。
网御防火墙端口映射
网御防火墙端口映射 一、端口映射概念及用途 采用端口映射(Port Mapping)的方法,可以实现从Internet到局域网部机器的特定端口服务的访问。例如,你所使用的机子处于一个连接到Internet的局域网,你在机子上所开的所有服务(如FTP),默认情况下外界是访问不了的。这是因为你机子的IP是局域网部IP,而外界能访问的只有你所连接的服务器的IP,由于整个局域网在Internet上只有一个真正的IP地址,而这个IP地址是属于局域网中服务器独有的。所以,外部的Internet登录时只可以找到局域网中的服务器,那你提供的服务当然是不起作用的。所以可以通过应用端口映射技术来解决。 二、联想网域防火墙端口映射配置 单位使用的防火墙型号是联想网域power 3414,在防火墙上需要做设置的地方有三处: 1、资源定义>>地址>>服务器地址 2、资源定义>>服务>>基本服务 3、策略配置>>安全规则>>包过滤规则 4、策略配置>>安全规则>>端口映射规则 映射分为两种: 一种是将网服务器上相应服务的端口号映射的外网相同的端口号上; 另一种是将网服务器上相应服务的端口号映射到外网其他的端口号上; 两者相比,第二种方法更为安全,应为这种方法没有使用默认的端口号,相对提高了安全性。 三、端口映射配置实例 接下来我们就采用上述两种方法来做映射,将192.168.4.2上提供的FTP服务,映射到外网ip上,分别以FTP默认端口号21,和自行设置的端口号6789,来对外网映射FTP服务! 一、端口映射概念及用途 采用端口映射(Port Mapping)的方法,可以实现从Internet到局域网部机器的特定端口服务的访问。例如,你所使用的机子处于一个连接到Internet的局域网,你在机子上所开的所有服务(如FTP),默认情况下外界是访问不了的。这是因为你机子的IP是局域网部IP,而外界能访问的只有你所连接的服务器的IP,由于整个局域网在Internet上只有一个真正的IP地址,而这个IP地址是属于局域网中服务器独有的。所以,外部的Internet登录时只可以找到局域网中的服务器,那你提供的服务当然是不起作用的。所以可以通过应用端口映射技术来解决。 二、联想网域防火墙端口映射配置 单位使用的防火墙型号是联想网域power 3414,在防火墙上需要做设置的地方有三处:
CISCO+ASA+5520配置手册
CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能
各种路由器设置端口映射
各种路由器,内网映射外网大全 2009-04-04 18:06 各种ADSL MODEM端口影射 端口映射技术是建站过程中一项关键技术,本次我们通过在论坛征集来自众多建站高手提供的各种不同品牌ADSL MODEM端口映射设置方法和相关应用参数介绍。整理成一份完整的文档资料供更多需要建站的用户参考。在此特别鸣谢提供资料及信息的朋友们! 什么情况下需要做端口映射? 如果网络情况是下面这样的: internet<--->adsl router<--->hub<--->web server internet<--->adsl modem<--->gateway<--->hub<--->web server 那么internet用户想浏览你的web server,80的请求只能到adsl router或gateway,就过不去了。你就要做一个转发,让80请求到adsl router或gateway 后,达到web server,那web server才有可能回应,并返回给你正确内容。这就是端口转发,也叫端口映射。 以下为部分路由器基于Web管理界面的访问地址: 1. DLINK出厂定义的路由器地址是19 2.168.0.1 2. Linksys出厂定义的路由器地址是192.168.1.1 3. 3com出厂定义的路由器地址是192.168.2.1 4. 微软出厂定义的路由器地址是192.168.2.1 5. Netgear出厂定义的路由器地址是192.168.1.1 6. asus出厂定义的路由器地址是192.168.1.1 上面几个是厂家定义地址,如果是带有猫的路由,地址不一定一样。不同厂商的产品也有可能有些差别。例如speedtouch的出厂定义是10.0.0.138,更多型号设备管理界面访问地址,用户可参考产品说明书或者登陆相关产品官方网站了解。 以下为在本介绍文档中出现的设备:TP-LINK TD-8800 TP-Link TD8830 TP-LINK TL-R410 Cyrix686 D-Link DI-704P D-Link DSL-500 阿尔卡特(ALCATEL) S6307KH 合勤 642R GREENNET 1500c 腾达(TENDA)TED 8620
cisco防火墙配置的基本配置
cisco防火墙配置的基本配置 1、nameif 设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。 使用命令: PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态,常见状态有:auto、100full、shutdown。 auto:设置网卡工作在自适应状态。 100full:设置网卡工作在100Mbit/s,全双工状态。 shutdown:设置网卡接口关闭,否则为激活。 命令: PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围:定义地址池。 Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address:表示一段ip地址范围。 [netmarkglobal_mask]:表示全局ip地址的网络掩码。 5、nat 地址转换命令,将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法: route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译,使内部地址与外部地址一一对应。 语法: static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法: conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
小米路由器端口映射该怎么设置才好
小米路由器端口映射该怎么设置才好 路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。小米路由器上不了网,该怎么设置,在网上说要设置端口映射,但是不知道怎么设置,于是在学着设置的时候写了这篇文章,需要的朋友可以参考下 方法步骤 1、打开小米路由器的登陆界面,地址可以查看小米路由器背面的贴标。 2、查看IP地址:登陆进去之后,找到网络高级设置查看网络结构。一般就一级 3、找到上网设置---上网信息。查看公网地址是固定的还是动态的(动态的要借助花生壳做解析)
4、端口映射:点击高级设置---端口转发。添加规则开始设置映射 5、添加如图,端口信息和映射的端口(一般是11对应) 6、依次添加端口映射,比如邮件常见是25 110 143等端口。可以点击删除进行删除配置 7、应用规则:特别要注意提醒一下,设置好端口转发规则或者修改。都要点击一下【应用规则】 8、配置好端口映射之后,可以通过telnet或者站长工具扫描端口查看是否正常 相关阅读:路由器安全特性关键点 由于路由器是网络中比较关键的设备,针对网络存在的各种安全隐患,路由器必须具有如下的安全特性: (1)可靠性与线路安全可靠性要求是针对故障恢复和负载能力而提出来的。对于路由器来说,可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。
当主接口出现故障时,备份接口自动投入工作,保证网络的正常运行。当网络流量增大时,备份接口又可承当负载分担的任务。 (2)身份认证路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。 (3)访问控制对于路由器的访问控制,需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。 (4)信息隐藏与对端通信时,不一定需要用真实身份进行通信。通过地址转换,可以做到隐藏网内地址,只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。 (5)数据加密 为了避免因为数据窃听而造成的信息泄漏,有必要对所传输的信息进行加密,只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密,即使在Internet上进行传输,也能保证数据的私有性、完整性以及报文内容的真实性。 (6)攻击探测和防范
Cisco ASA5505防火墙详细配置教程及实际配置案例
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
思科ASA防火墙ASDM安装和配置
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.360docs.net/doc/9613704800.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
如何使用端口映射功能与 DMZ 主机设置
如何使用端口映射功能与 DMZ 主机设置 端口映射/触发 i. 当您希望向internet提供某些服务时,如FTP,IIS,POP3,将会用到端口映射。 ii. 若您是通过ADSL连接到internet的,某些应用在直接用电脑拨号时可以正常使用,如在线播放、网络游戏、财经软件等,而使用路由器后发现无法使用了,某些情形下,端口映射/触发也能解决。 您可以先咨询这些应用程序的开发商,让他们提供应用程序所使用的端口,然后在路由器上设置 相应端口的映射/触发。 『注』 ?设置端口映射即是使电脑的端口向internet开放,开放的端口越多,承担的安全风险越大,所以应当在有必要使用时才使用。 ?WGR614v5/WGR614v6可以设置20个端口映射服务,一般来说,这对于SOHO用户已足够了。 下面将以WGR614v5为例来陈述,且局域网网段没有使用WGR614v5的默认设置192.168.1.0,而是使用的192.168.6.0网段。 1. 登录路由器管理界面,找到并点击左边功能菜单中的端口映射/端口触发: 2. 此页面默认已选择了“端口映射”,在“服务名称”中列出了一些常用的服务,但下面我们以 建立一个此列表中没有的服务为例。点击页面下方的”添加自定义服务”:
3. 以eMule为例。当在局域网中使用eMule时,通常只能获得LowID,通过端口映射后即 可获得HighID了。在“服务名称”中添加您为此服务的命名,此处我们将其命名为eMule,“服务类型”选择TCP(或者TCP/UDP): 4. “起始端口”和“结束端口”都设置为eMule所使用的端口,如在eMule-0.46c-VeryCD0913 中,默认使用的TCP端口是4662,此参数是在eMule的选项→连接→客户端口中定义的:
防火墙怎么做端口映射
防火墙怎么做端口映射 出差订酒店就用趣出差,单单有返现,关注微信小程序或下载APP立即领取100元返现红包 防火墙做端口映射是怎么样的呢,.那么防火墙又是怎么做端口映射的?下面是我收集整理的,希望对大家有帮助~~ 防火墙做端口映射的方法 工具/原料 路由器 方法/步骤 知道要供给外网访问的端口号 做了某某游戏服务器、网站、监控或财务软件主机等以下把这台电脑称为主机,这些如果要访问都需要开放端口号。首先你要清楚知道软件要开放哪些端口号? 举例:如建了个网站默认需要开放80端口,由于80端口一般被宽带提供商屏蔽了,所以要到iis换个端口号如8282如图。 注,如果不知道端口号,可以做DMZ主机。DMZ主机相当于把整台主机暴露在网络上,端口映射只是开通一条通道。
固定主机的IP地址 如图192.168.1.88 IP地址要改为不属于DHCP分配地址范围没并且和网内其他联网设置的IP 一样,防止冲突。 如果不会可参见下方链接。 1如何固定手机电脑IP 关闭主机防火墙或在防火墙添加须开放端口 打开控制面板--windows防火墙--设置关闭防火墙 注,防火墙添加须开放端口适合高手使用,新手建议关闭也方便后续排查错误。 路由器做端口映射 一般在转发规则下的虚拟服务器,点击添加条目,输入需要开放的端口和对应的的主机ip,协议可选TCP或UDP,保存。需开放多个端口可继续添加。 注,不通路由器叫法,位置都可能不一样,原理一样。 如果有主机接在下级路由器参考下方链接设置。 如果不知道端口号,可以做DMZ主机。DMZ设置就比较简单,只要输入要开放主机的内网IP即可。建议做端口映射。
CISCO ASA5520配置手册
CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010
思科防火墙登陆及设置过程
一、防火墙登陆过程telnet 192.168.0.1 输入:123 用户名:en 密码:srmcisco
Conf t Show run 二、公网IP与内网IP映射: static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0
三、再打开端口:输入以下一笔命今如 access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端口) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端口) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端口)
四、登出防火墙:logout 五、增加上网电脑 1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0(上网电脑IP地址) 2、arp inside 192.168.0.188 000f.eafa.645d alias(绑定上网电脑网卡MAC地址)
端口映射详解
端口映射详解 一、端口映射的定义 端口映射又称端口转发。端口映射过程就如同你家在一个小区里B栋2410室,你朋友来找你,找到小区门口,不知道你住哪层哪号?就问守门的保安,保安很客气的告诉了他你家详细门牌号,这样你朋友很轻松的找到了你家。这个过程就是外网访问内网通过端口映射的形象说法。 二、为什么要进行端口映射 目前的网络接入主要有2种: 1.ADSL连接猫再直接连接主机,这种情况主机是直接进行ADSL宽带拨号,连接上网通过运行CMD执行ipconfig /all命令可以查看到,PPP拨号连接所获取到得是一个公网IP 地址,这种类型的网络是不需要做端口映射的(如下图所示) 2.ADSL通过路由器来进行拨号,主机通过路由器来进行共享上网,这种情况下主机获
取到得通常会是一个192.168.x.x类型的私有内网IP地址,这类情况下,是需要在路由器做端口映射,转发端口到对应的服务器上; 三、端口映射的设置方法 常见端口列表: 要进行端口映射,首先需要了解清楚服务程序所需要映射的端口是多少 以下列举了部分服务需要映射的默认服务端口号 turbomail邮件服务 SMTP TCP25 POP3 TCP110 turbomail (webmail)服务 HTTP 8080 以下讲解几款市面主流品牌路由器的端口映射 1)Tp-link R460+ 1、内网192.168.1.21是TurboMail服务器,TP-LINK系列路由器的默认管理地址为192.168.0.1,账号admin密码admin 登录到路由器的管理界面,点击路由器的转发规则—虚拟服务器—添加新条目(如图)。
思科ASA5505防火墙配置成功实例
配置要求: 1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。 2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。 3、Dmz服务器分别开放80、21、3389端口。 说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下:希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !
interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob
tp,link怎么设置端口映射
tp,link 怎么设置端口映射 篇一:Tp-link TL-WR841N 无线路由器端口映射到外网如何设置? 这里针对 TP-LINK 的无线路由器进行演示如何设置端口映射和访问控制,演示使用的具 体型号是 TP-LINK TL-WR841N 3G 无线路由器如何设置端口映射。 什么是端口映射? 端口映射又称端口转发,有的又称之为 NAT、虚拟服务器。端口映射过程就如同您家在 一个小区里 B 栋 2410 室,你朋友来找你,找到小区门口,不知道你住哪层哪号?就问守门的 保安,保安很客气的告诉了他您家详细门牌号码,这样你朋友很轻松的找到了你家。这个过程 就是外网访问内网通过端口映射的形象说法。 如我在内网架设了一台 WEB 服务器,对应的内 网 IP 为 192.168.1.101 是 WEB 服务器, TP-LINK 系列路由器的默认管理地址为 http://192.168.0.1, 账号 admin 密码 admin 登录到路由器的管理界面,点击路由器的转发规则—虚拟服务器—添 加新条目, 端口映射的功能是用的比较多的, 比如可以使用端口映射的功能将内网的 WEB 服务器发 布到互联网上。 要实现这种功能, 首先登入无线路由器管理界面, 找到“转发规则-虚拟服务器”, 然后在右侧点击“添加新条目”来添加一条新的映射。 一般的步骤是添加一条端口映射规则 服务端口号:就是在无线路由器 WAN 口上打开的端口,这里以 HTTP 服务的 80 端口为 例。 IP 地址:是指映射到内网的主机 IP。 协议:可以选择 TCP 或者 UDP,如果你不知道是哪个,就选择 ALL。 状态:可以选择生效或者失效,默认是生效。 常用服务端口号: 可以选择常用的服务, 然后在服务端口号和协议的地方就会自动填写。 可以参阅 WINDOWS 下常用的服务以及对应的端口这篇文章来了解常用服务与对应的端口号。 设置完成之后,点击保存,一条端口映射的设置就算完成了,如下图所示: 以下讲解几 款市面主流品牌路由器的端口映射: 1)Tp-link 路由器(以 Tp-link R460 为例) 内 网 IP : 192.168.1.101 是 WEB 服 务 器 , TP-LINK 系 列 路 由 器 的 默 认 管 理 地 址 为 http://192.168.0.1,账号 admin 密码 admin 登录到路由器的管理界面,点击路由器的转发规则 —虚拟服务器—添加新条目,如图 3: 端口映射设置如下:服务端口号填写 80,如果填写为 80-82 则代表映射 80、81、82 端 口,IP 地址填写内网 WEB 服务器的 IP 地址 192.168.1.101,协议设置为 TCP,若对端口协议类型 不了解可以设置选择为 ALL,代表所有(包括 TCP 和 UDP),状态必须设置为生效。 注意:常用服务端口号,是作为一种帮助提示的作用,不需要选择,然后单击保存,映射 成功,如图 4: 2)D-link 路由器(以 D-LINK DI624+A 为例) 1 / 7