思科防火墙基本配置67页PPT文档

第五章防火墙的具体应用远键实业公司是一个典型的中小企业。

大概100 人左右。

是一家科技企业，主要从事计算机系统集成服务，大约有100 人左右，分为市场部、财务部、销售部、人力资源部、办公室、网络管理部、工程部，网络分成内网、外网。

内网经常感染病毒，蠕虫，而且某些员工使用工具进行大数据量下载也影响网络正常工作，有时也发现来自外网黑客攻击现象，同时公司随着业务的发展也将扩大宣传，考虑建立一个Web 服务器用来对外发布信息。

公司领导和网络部经过仔细讨论，决定在公司现有网络基础上部署一台防火墙。

防火墙有很多种，国外和国内有很多防火墙。

经过选型后公司选择一款Cisco PIX 515 防火墙。

公司拓扑结构如下：公司网络要求一、配置公司PIX划分内网、外网及DMZ区域：远键实业公司的规模并不是很大，网络拓扑结构如上图，分为内网、外网。

在满足内网用户快速访问INTERNET 的同时有效防止来自外网黑客攻击；此外，公司随着业务的发展也需要扩大宣传，市场部考虑建立电子营销，所以希望建立一个Web 服务器用来对外发布业务信息。

公司网络管理部门决定在公司的防火墙上部署在内网和外网之间配置PIX划分内网、外网及DMZ区域。

pixfirewall>enapixfirewall##进入全局配置模式pixfirewall# conf t#配置防火墙接口的名字，并指定安全级别（nameif）。

pixfirewall(config)#int e0pixfirewall(config-if)# nameif insidepixfirewall(config-if)# security-level 100pixfirewall(config)#int e1pixfirewall(config-if)# nameif dmzpixfirewall(config-if)# security-level 50pixfirewall(config)#int e2pixfirewall(config-if)# nameif outsidepixfirewall(config-if)# security-level 0security-leve 0 是外部端口outside 的安全级别（0 安全级别最高）security-leve 100 是内部端口inside 的安全级别,如果中间还有以太口，则security-leve 10，security-leve 20 等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz security-leve 50 是停火区dmz 的安全级别。

cisco防火墙配置的基本配置1、nameif设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

使用命令：PIX525(config)#nameifethernet0outsidesecurity0PIX525(config)#nameifethernet1insidesecurity100PIX525(config)#nameifethernet2dmzsecurity502、interface配置以太口工作状态，常见状态有：auto、100full、shutdown。

auto：设置网卡工作在自适应状态。

100full：设置网卡工作在100Mbit/s，全双工状态。

shutdown：设置网卡接口关闭，否则为激活。

命令：PIX525(config)#interfaceethernet0autoPIX525(config)#interfaceethernet1100fullPIX525(config)#interfaceethernet1100fullshutdown3、ipaddress配置网络接口的IP地址4、global指定公网地址范围：定义地址池。

Global命令的配置语法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmarkglobal_mask]：表示全局ip地址的网络掩码。

5、nat地址转换命令，将内网的私有ip转换为外网公网ip。

6、routeroute命令定义静态路由。

语法：route(if_name)00gateway_ip[metric]7、static配置静态IP地址翻译，使内部地址与外部地址一一对应。

cisco防火墙配置手册一、Cisco Pix日常维护常用命令1、Pix模式介绍“>”用户模式firewall>enable由用户模式进入到特权模式password:“#”特权模式firewall#config t由特权模式进入全局配置模式“（config）#”全局配置模式firewall(config)#防火墙的配置只要在全局模式下完成就可以了。

1、基本配置介绍1、端口命名、设备命名、IP地址配置及端口激活nameif ethernet0 outside security0端口命名nameif gb-ethernet0 inside security100定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。

firewall(config)#hostname firewall设备名称firewall（config）#ip address outside 1.1.1.1 255.255.255.0内外口地址设置firewall（config）#ip address inside 172.16.1.1 255.255.255.0firewall（config）# interface ethernet0 100full激活外端口firewall（config）# interface gb-ethernet0 1000auto激活内端口2、telnet、ssh、web登陆配置及密码配置防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。

firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet到防火墙配置从外网远程登陆到防火墙Firewall（config）#domain-name /doc/6b8163665.html,firewall（config）# crypto key generate rsafirewall（config）#ssh 0.0.0.0 0.0.0.0 outside允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：firewall（config）#ssh 218.240.6.81 255.255.255.255 outside firewall（config）#enable password cisco由用户模式进入特权模式的口令firewall（config）#passrd ciscossh远程登陆时用的口令firewall（config）#username Cisco password CiscoWeb登陆时用到的用户名firewall（config）#http enable打开http允许内网10网断通过http访问防火墙firewall（config）#http 192.168.10.0 255.255.255.0 insidefirewall（config）#pdm enablefirewall（config）#pdm location 192.168.10.0 255.255.255.0 insideweb登陆方式：https://172.16.1.13、保证防火墙能上网还要有以下的配置firewall（config）#nat （inside）1 0 0对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发firewall（config）#nat(inside)1 192.168.10.0 255.255.255.0fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0firewall (config) # global(outside) 1 interface对进行nat转换得地址转换为防火墙外接口地址firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2 指一条默认路由器到ＩＳＰ做完上面的配置内网用户就可以上网了，内部有３层交换机且划分了Ｖｌａｎ，若要保证每个Ｖｌａｎ都能够上网，还要在防火墙上指回到其他ＶＬａｎ的路由，如：Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.24、内网服务器映射如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。

增加一台服务器具体要求。

新增一台服务器地址：10.165.127.15/255.255.255.128。

需要nat 转换成公网地址16.152.91.223 映射出去，并对外开通这台服务器的80端口。

在对外pix525上面增加如下：access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223可是为什么转换后，不能访问16.52.91.223的网页，但确可以ping通16.52.91.223，但是访问10.165.127.15的主页是正常的？？具体配置如下：pix-525> enablePassword: *****pix-525# sh run: Saved:PIX Version 6.3(5)interface ethernet0 100fullinterface ethernet1 100fullnameif ethernet0 outside security0nameif ethernet1 inside security100enable password FVHQD7n.FuCW78fS level 7 encryptedenable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname wgqpix-525fixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69namesaccess-list acl_out permit tcp any host 16.152.91.221 eq wwwaccess-list acl_out permit icmp any anyaccess-list acl_out permit tcp any host 16.152.91.220 eq httpsaccess-list acl_out permit tcp any host 16.152.91.223 eq wwwaccess-list outbound permit icmp any anyaccess-list outbound permit ip any anypager lines 24mtu outside 1500mtu inside 1500ip address outside 16.152.91.222 255.255.255.128ip address inside 10.165.127.254 255.255.255.252ip audit info action alarmip audit attack action alarmno failoverfailover timeout 0:00:00failover poll 15no failover ip address outsideno failover ip address insideno pdm history enablearp timeout 14400static (inside,outside) 16.152.91.221 10.165.127.11 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.220 10.165.127.23 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 access-group acl_out in interface outsideaccess-group outbound in interface insideroute outside 0.0.0.0 0.0.0.0 16.152.91.129 1route inside 10.165.0.0 255.255.0.0 10.165.127.253 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout sip-disconnect 0:02:00 sip-invite 0:03:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server TACACS+ max-failed-attempts 3aaa-server TACACS+ deadtime 10aaa-server RADIUS protocol radiusaaa-server RADIUS max-failed-attempts 3aaa-server RADIUS deadtime 10aaa-server LOCAL protocol localhttp server enableno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable trapsfloodguard enabletelnet 10.165.6.225 255.255.255.255 insidetelnet 10.165.127.12 255.255.255.255 insidetelnet 10.165.127.250 255.255.255.255 insidetelnet 10.165.6.15 255.255.255.255 insidetelnet 10.165.6.16 255.255.255.255 insidetelnet timeout 5ssh timeout 5console timeout 0username admin password iuQeTKNaNbruxBKd encrypted privilege 2terminal width 80Cryptochecksum:b2e1195d144f48f01fe66606cd31d0f2: endwgqpix-525#最佳答案( 回答者: xintao800 )PIX防火墙提供4种管理访问模式：²非特权模式。

思科ASA和PIX防火墙配置手册根据思科教学资料整理2013 年12 月 19 日目录第一章配置基础 (1)1.1 用户接口 (1)1.2 防火墙许可介绍 (2)1.3 初始配置................................................................................................................................2 第二章配置连接性.. (3)2.1 配置接口 (3)2.2 配置路由 (5)2.3 DHCP (6)2.4 组播的支持 (7)第三章防火墙的管理 (8)3.1 使用Security Context建立虚拟防火墙（7.x特性） (8)3.2 管理Flash文件系统 (9)3.3 管理配置文件 (10)3.4 管理管理会话 (10)3.5 系统重启和崩溃 (11)3.6 SNMP支持............................................................................................................................12 第四章用户管理. (13)4.1 一般用户管理 (13)4.2 本地数据库管理用户 (13)4.3 使用AAA服务器来管理用户 (14)4.4 配置AAA管理用户 (14)4.5 配置AAA支持用户Cut-Through代理 (15)4.6 密码恢复 (15)第五章防火墙的访问控制 (16)5.1 防火墙的透明模式 (16)5.2 防火墙的路由模式和地址翻译 (17)5.3 使用ACL进行访问控制......................................................................................................20 第六章配置Failover增加可用性.. (23)6.1 配置Failover (23)6.2 管理Failover (25)6.3 升级Failover模式防火墙的OS镜像 (25)第七章配置负载均衡 (26)7.1 配置软件实现 (只在6500 native ios模式下) (26)7.2 配置硬件实现 (27)7.3 配置CSS实现.......................................................................................................................29 第八章日志管理. (30)8.1 时钟管理 (30)8.2 日志配置 (30)8.3 日志消息输出的微调 (32)8.4 日志分析..............................................................................................................................33 第九章防火墙工作状态验证.. (34)9.1 防火墙健康检查 (34)9.2 流经防火墙数据的监控 (34)9.3 验证防火墙的连接性 (35)第一章配置基础1.1 用户接口思科防火墙支持下列用户配置方式：Console，Telnet，SSH（1.x 或者2.0，2.0 为7.x 新特性，PDM 的http 方式（7 .x 以后称为ASDM）和VMS 的Firewall Management Center。

增加一台服务器具体要求。

新增一台服务器地址：10.165.127.15/255.255.255.128。

需要nat 转换成公网地址16.152.91.223 映射出去，并对外开通这台服务器的80端口。

在对外pix525上面增加如下：access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223可是为什么转换后，不能访问16.52.91.223的网页，但确可以ping通16.52.91.223，但是访问10.165.127.15的主页是正常的？？具体配置如下：pix-525> enablePassword: *****pix-525# sh run: Saved:PIX Version 6.3(5)interface ethernet0 100fullinterface ethernet1 100fullnameif ethernet0 outside security0nameif ethernet1 inside security100enable password FVHQD7n.FuCW78fS level 7 encryptedenable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname wgqpix-525fixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69namesaccess-list acl_out permit tcp any host 16.152.91.221 eq wwwaccess-list acl_out permit icmp any anyaccess-list acl_out permit tcp any host 16.152.91.220 eq httpsaccess-list acl_out permit tcp any host 16.152.91.223 eq wwwaccess-list outbound permit icmp any anyaccess-list outbound permit ip any anypager lines 24mtu outside 1500mtu inside 1500ip address outside 16.152.91.222 255.255.255.128ip address inside 10.165.127.254 255.255.255.252ip audit info action alarmip audit attack action alarmno failoverfailover timeout 0:00:00failover poll 15no failover ip address outsideno failover ip address insideno pdm history enablearp timeout 14400static (inside,outside) 16.152.91.221 10.165.127.11 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.220 10.165.127.23 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 access-group acl_out in interface outsideaccess-group outbound in interface insideroute outside 0.0.0.0 0.0.0.0 16.152.91.129 1route inside 10.165.0.0 255.255.0.0 10.165.127.253 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout sip-disconnect 0:02:00 sip-invite 0:03:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server TACACS+ max-failed-attempts 3aaa-server TACACS+ deadtime 10aaa-server RADIUS protocol radiusaaa-server RADIUS max-failed-attempts 3aaa-server RADIUS deadtime 10aaa-server LOCAL protocol localhttp server enableno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable trapsfloodguard enabletelnet 10.165.6.225 255.255.255.255 insidetelnet 10.165.127.12 255.255.255.255 insidetelnet 10.165.127.250 255.255.255.255 insidetelnet 10.165.6.15 255.255.255.255 insidetelnet 10.165.6.16 255.255.255.255 insidetelnet timeout 5ssh timeout 5console timeout 0username admin password iuQeTKNaNbruxBKd encrypted privilege 2terminal width 80Cryptochecksum:b2e1195d144f48f01fe66606cd31d0f2: endwgqpix-525#最佳答案( 回答者: xintao800 )PIX防火墙提供4种管理访问模式：²非特权模式。