【网络安全与防护】-实训指导3.3-2PT实现基于思科路由器的IOS防火墙防护功能配置(ZPF)

CiscoIOS思科路由器交换机防火墙命令解析你知道CiscoIOS思科路由器交换机防火墙是怎么解析的吗，他的命令解析如阿呢?下面是店铺跟大家分享的是CiscoIOS思科路由器交换机防火墙命令解析，欢迎大家来阅读学习。

CiscoIOS思科路由器交换机防火墙命令解析路由交换机防火墙路由器路由协议主命令和子命令示例route>enable 进入route>disable 退出show running-config 当前工作信息show ip routeshow versionroute(config)#enable password 123456router(config)#hostname bingheroute (config-if)# no shutdown 启动全局命令Route#config terminal 全局配置模式Router(config)#config f0/0进入配置接口Router(config)#interface fastethernet0/0 配置主命令Route(config-if) ip address 10.0.0.1 255.255.255.0Route(config-if)#exit返回配置模式Route (config) # exit返回特权模式Route#保存配置RA#copy running-config start-config 保存配置RA#copy startup-config config-start 恢复配置允许telnetR2(config)#line vty 0 ? 查看有多少telnet接口R2(config-line)#line vty 0 700R2(config-line)#no login telnet 不允许密码启用域名解析R2(config)#ip domain-lookupR2(config)#ip name-server 8.8.8.8思科路由配置模式简介用户模式 Router>特权模式 Router#全局配置模式Router(config)#接口配置模式 Router(config-if)#自接口配置模式Router(config-subif)#Line模式 Router (config-Line)#路由模式Router(config-router)#路由模式切换从用户模式到特权模式 Router>enable从特权模式返回用户模式Router#disable退出控制台 Router>logout(eixt)进入全局模式配置 Router#configure terminal进入接口模式配置 Router(config)# interface Port#进入子接口配置模式 Router(config)#interface Subport#Line配置模式Router(config)#line Type#路由模式 Router(config) # router rip指定主机名Router(config)#hostname 25002500 (config)#路由基本配置命令更改休止超时默认情况下，10分钟之后路由将自动用户退出，可以利用exec-timeout命令改变这个时间Router(config) # Line line_type_#Router(config-line)#exec-timeout minutes seconds如果想让某调线路永远不超时，可以将分钟和秒钟的值设为0Router(config)#lineconsole 0Router(config-line)#exec-timeout 0 0配置路由器接口Router(config)#interface type [slot#]/port#Router(config-if)#Router(config-line)l type 同步串口serial async串行，ISDN bri和pri atm fddi tokenring ethernet faseternet gigabitrthnetl 在没有额外插槽的情况可以省略插槽号。

思科路由器命令大全(完整版)思科路由器命令大全(完整版)本文档旨在提供思科路由器命令的详细说明和使用指南，包括路由器配置、网络管理、安全性设置等内容。

每个章节都详细介绍了不同的命令和参数，以帮助用户更好地理解和使用思科路由器。

1：路由器基本配置1.1 主机名设置1.2 用户名和密码设置1.3 IP 地址和子网掩码配置1.4 默认网关配置2：接口配置2.1 以太网接口配置2.2 串行接口配置2.3 子接口配置2.4 虚拟局域网 (VLAN) 配置3：路由协议配置3.1 静态路由配置3.2 动态路由配置3.2.1 RIP 配置3.2.2 OSPF 配置3.2.3 BGP 配置4：网络管理4.1 SNMP 配置4.2 NetFlow 配置4.3 Syslog 配置4.4 路由器时间设置5：安全性配置5.1 访问控制列表 (ACL) 配置5.2 VPN 配置5.3 防火墙配置5.4 AAA 配置附件：本文档附带的附件包括示例配置文件、命令输出示例等，以帮助读者更好地理解和应用文档中的内容。

法律名词及注释：本文档所涉及的法律名词及其注释如下：1：主机名：指路由器的主机标识名称，用于在网络中识别路由器。

2：用户名和密码：用于登录和管理路由器的凭证信息。

3： IP 地址：网络协议中用于唯一标识设备的数字地址。

4：子网掩码：用于标识 IP 地址中网络部分和主机部分的分界线。

5：默认网关：用于转发网络流量的下一跳路由器。

6：以太网接口：用于连接局域网设备的物理接口。

7：串行接口：用于连接广域网设备的物理接口。

8：子接口：在一个物理接口上创建多个逻辑接口，用于实现VLAN 分隔等功能。

9：虚拟局域网 (VLAN)：用于将局域网划分成多个逻辑网络的技术。

10：静态路由：手动配置的路由表项，用于指定数据包传输的路径。

11：动态路由：根据路由协议动态学习和更新的路由表项，用于自动路由选择。

12： RIP：路由信息协议，一种距离向量路由协议。

第五章防火墙的具体应用远键实业公司是一个典型的中小企业。

大概100 人左右。

是一家科技企业，主要从事计算机系统集成服务，大约有100 人左右，分为市场部、财务部、销售部、人力资源部、办公室、网络管理部、工程部，网络分成内网、外网。

内网经常感染病毒，蠕虫，而且某些员工使用工具进行大数据量下载也影响网络正常工作，有时也发现来自外网黑客攻击现象，同时公司随着业务的发展也将扩大宣传，考虑建立一个Web 服务器用来对外发布信息。

公司领导和网络部经过仔细讨论，决定在公司现有网络基础上部署一台防火墙。

防火墙有很多种，国外和国内有很多防火墙。

经过选型后公司选择一款Cisco PIX 515 防火墙。

公司拓扑结构如下：公司网络要求一、配置公司PIX划分内网、外网及DMZ区域：远键实业公司的规模并不是很大，网络拓扑结构如上图，分为内网、外网。

在满足内网用户快速访问INTERNET 的同时有效防止来自外网黑客攻击；此外，公司随着业务的发展也需要扩大宣传，市场部考虑建立电子营销，所以希望建立一个Web 服务器用来对外发布业务信息。

公司网络管理部门决定在公司的防火墙上部署在内网和外网之间配置PIX划分内网、外网及DMZ区域。

pixfirewall>enapixfirewall##进入全局配置模式pixfirewall# conf t#配置防火墙接口的名字，并指定安全级别（nameif）。

pixfirewall(config)#int e0pixfirewall(config-if)# nameif insidepixfirewall(config-if)# security-level 100pixfirewall(config)#int e1pixfirewall(config-if)# nameif dmzpixfirewall(config-if)# security-level 50pixfirewall(config)#int e2pixfirewall(config-if)# nameif outsidepixfirewall(config-if)# security-level 0security-leve 0 是外部端口outside 的安全级别（0 安全级别最高）security-leve 100 是内部端口inside 的安全级别,如果中间还有以太口，则security-leve 10，security-leve 20 等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz security-leve 50 是停火区dmz 的安全级别。

Cisco IOS防火墙CBAC如何配置思科公司过去20多年，思科几乎成为了“互联网、网络应用、生产力”的同义词，思科公司在其进入的每一个领域都成为市场的领导者，那么你知道Cisco IOS防火墙CBAC如何配置吗?下面是店铺整理的一些关于Cisco IOS防火墙CBAC如何配置的相关资料，供你参考。

CBAC是什么?CBAC 是Cisco IOS防火墙特性集一个高级防火墙模块：(context-based access control)即基于上下文的访问控制，它不同于ACL(访问控制列表),并不能用来过滤每一种TCP/IP协议，但它对于运行TCP、UDP应用或某些多媒体应用(如Microsoft的NetShow或Real Audio)的网络来说是一个较好的安全解决方案。

除此之外，CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面表现卓越。

在大多数情况下，我们只需在单个接口的一个方向上配置CBAC，即可实现只允许属于现有会话的数据流进入内部网络。

可以说，ACL与CBAC是互补的，它们的组合可实现网络安全的最大化。

CISCO路由器的 access-list只能检查网络层或者传输层的数据包，而CBAC能够智能过滤基于应用层的(如FTP连接信息)TCP和UDP的session;CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接，同时检查内外两个方向的sessions。

CBAC可提供如下服务：(1)状态包过滤：对企业内部网络、企业和合作伙伴互连以及企业连接internet提供完备的安全性和强制政策。

(2)Dos检测和抵御：CBAC通过检查数据报头、丢弃可疑数据包来预防和保护路由器受到攻击。

(3)实时报警和跟踪：可配置基于应用层的连接，跟踪经过防火墙的数据包，提供详细过程信息并报告可疑行为。

Cisco IOS防火墙CBAC配置的方法：先建立如图1的拓扑并使之互相可以访问通信Router(config)#access-list 101 permit tcp any host 192.168.0.1 eq www 定义任何人都可以访问内网web服务Router(config)#access-list 101 deny ip any any 拒绝其他IP通信Router(config)#int f0/0Router(config-if)#ip access-group 101 out 应用到F0/0端口相对于ACL来说是出方向Router(config-if)#exitCBAC的检测规则可以指定所有网络层以上的协议，通过ACL检查的数据包由CBAC检查来记录包连接状态信息，这个信息被记录于一个新产生的状态列表中Router(config)#ip inspect name asha httpRouter(config)#ip inspect name asha icmpRouter(config)#ip inspect name asha tcpRouter(config)#ip inspect name asha udpRouter(config)#int f0/0Router(config-if)#ip inspect asha in 应用到CBAC相对应的进方向Router(config-if)#exitCBAC使用超时值和阈值确定会话的状态及其持续的时间.可清除不完全会话和闲置会话,用以对Dos进行检测和防护.Router(config)#ip inspect max-incomplete high 500 当半开会话数超过500时开始删除Router(config)#ip inspect max-incomplete low 400 当半开会话数低于400时停止删除Router(config)#ip inspect one-minute high 500 设置当开始删除半开会话数时接受的会话数的速率Router(config)#ip inspect one-minute low 400 设置当停止开始删除半开会话数时接受的会话数的速率之后发现，外网的主机ping不同内网主机(如图2，3)，按理来说就不可能访问外网web服务器了，如图4内网主机依然可以访问外网web服务器。

Cisco⽹络防⽕墙配置⽅法由于⽹络防⽕墙默认禁⽌所有的通信，因为，只有对其进⾏适当配置后，才能实现正常的⽹络通信。

1.进⼊全局配置模式ciscoasa# configure terminal2.选择欲作为⽹络防⽕墙外部接⼝的⽹络接⼝ciscoasa(config)# interface interface-id3.为该接⼝指定IP地址和⽹掩码ciscoasa（config-if）#4.将该接⼝指定IP地址和⽹掩码ciscoasa(config-if)# nameif outsideINFO：Security level for "outside" set to 0 by default5.激活该外部接⼝ciscoasa(config-if)# no shutdown6.返回⾄全局配置模式ciscoasa(config-if)# exit7.选择欲作为⽹络防⽕墙内部接⼝的⽹络接⼝ciscoasa(config-if)# interface interface-id8.为了该接⼝指定为内部接⼝。

ciscoasa(config-if)# ip address ip-address subnet-mask9.将该接⼝指定为内容接⼝ciscoasa(config-if)# nameif insideINFO:Security level for "outside" set to 100 by default10.激活该外部接⼝ciscoasa(config-if)# no shutdown11.返回⾄全局配置模式ciscoasa(config-if)# exit12.启动Web VPNciscoasa(config)# webvpn13.允许VPN对外访问ciscoasa(config-webvpn)#enable outside14.指定SSL VPN客户端（SSL VPN Clinet,SVC）⽂件位置。

Cisco网络防火墙配置方法是什么用哪些命令防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。

这篇文章主要介绍了Cisco网络防火墙配置方法,需要的朋友可以参考下方法步骤由于网络防火墙默认禁止所有的通信，因为，只有对其进行适当配置后，才能实现正常的网络通信。

如何配置Cisco网络防火墙1.进入全局配置模式ciscoasa# configure terminal2.选择欲作为网络防火墙外部接口的网络接口ciscoasa(config)# interface interface-id3.为该接口指定IP地址和网掩码ciscoasa(config-if)#4.将该接口指定IP地址和网掩码ciscoasa(config-if)# nameif outsideINFO：Security level for "outside" set to 0 by default5.激活该外部接口ciscoasa(config-if)# no shutdown6.返回至全局配置模式ciscoasa(config-if)# exit7.选择欲作为网络防火墙内部接口的网络接口ciscoasa(config-if)# interface interface-id8.为了该接口指定为内部接口。

ciscoasa(config-if)# ip address ip-address subnet-mask9.将该接口指定为内容接口ciscoasa(config-if)# nameif insideINFO:Security level for "outside" set to 100 by default10.激活该外部接口ciscoasa(config-if)# no shutdown11.返回至全局配置模式ciscoasa(config-if)# exit12.启动Web___ciscoasa(config)# web___13.允许___对外访问ciscoasa(config-web___)#enable outside14.指定SSL ___客户端(SSL VP___linet,SVC)文件位置。

教你如何设置Cisco路由器安全思科(Cisco)路由器是一个集成多业务路由器，福利综合服务网络路由器，以及获得回报的网络路由器，其设备功能也很强大，那么你知道如何设置Cisco路由器安全吗？下面是店铺整理的一些关于教你设置Cisco路由器安全的方法，供您参考！设置Cisco路由器安全的方法一、路由器审核安全配置,路由器其他安全配置1,及时的升级IOS软件，并且要迅速的为IOS安装补丁。

2,要严格认真的为IOS作安全备份。

3,要为路由器的配置文件作安全备份。

4,购买UPS设备，或者至少要有冗余电源。

5,要有完备的路由器的安全访问和维护记录日志。

6,要严格设置登录Banner。

必须包含非授权用户禁止登录的字样。

7,IP欺骗得简单防护。

如过滤非公有地址访问内部网络。

过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。

Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any logRouter(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any logRouter(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any logRouter(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any logRouter(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any logRouter(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 anyRouter(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any logRouter(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log8,建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。

图解思科路由器配置教程图解思科路由器配置教程第一章：介绍思科路由器1.1 路由器的概念和作用1.2 思科路由器的特点和优势1.3 路由器的基本组成部分第二章：思科路由器的硬件配置2.1 路由器的接口类型和数量2.2 路由器的功能模块2.3 路由器的内存和存储器配置2.4 路由器的电源和供电方式第三章：思科路由器的软件配置3.1 路由器的操作系统和版本3.2 路由器的启动过程和配置文件3.3 路由器的基本配置命令3.4 路由器的网络接口配置3.5 路由器的路由协议配置3.6 路由器的安全配置第四章：思科路由器的网络连接与管理4.1 路由器与局域网的连接配置4.2 路由器与广域网的连接配置4.3 路由器的远程管理与监控第五章：思科路由器的网络故障排除5.1 路由器故障的诊断与定位5.2 路由器故障的常见解决方法5.3 路由器故障排除的工具和命令第六章：思科路由器的高级配置与扩展6.1 路由器的高级功能配置6.2 路由器的扩展模块和接口配置6.3 路由器的QoS配置6.4 路由器的安全配置与防火墙第七章：附件本文档涉及附件：- 示例配置文件（示例路由器配置文件的详细说明）第八章：法律名词及注释本文所涉及的法律名词及注释：- 路由器：一种用于将数据包从一个网络传输到另一个网络的设备。

- 思科路由器：思科公司（Cisco）生产的路由器产品。

- 接口：路由器上的物理或逻辑端口，用于与其他设备进行通信。

- 配置文件：路由器上保存的配置信息，包括路由协议、接口配置等。

- 路由协议：路由器用来学习和选择最佳路径的协议，如静态路由、RIP、OSPF等。

- QoS：Quality of Service（服务质量），用于优化网络流量和提供更好的用户体验。

- 防火墙：用于保护网络安全的设备或软件，可以控制网络流量和过滤恶意数据。

思科防火墙设置增加一台服务器具体要求。

新增一台服务器地址：10.165.127.15/255.255.255.128。

需要nat转换成公网地址16.152.91.223 映射出去，并对外开通这台服务器的80端口。

在对外pix525上面增加如下： access-list acl_out permit tcp any host16.52.91.223 eq www //开放外网对新服务器 80端口static (inside,outside) 16.152.91.223 10.165.127.15 netmask255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223可是为什么转换后，不能访问16.52.91.223的网页，但确可以ping通16.52.91.223，但是访问10.165.127.15的主页是正常的？？具体配置如下： pix-525> enable Password: ***** pix-525# sh run : Saved :PIX Version 6.3(5)interface ethernet0 100full interface ethernet1 100fullnameif ethernet0 outside security0 nameif ethernet1 inside security100enable password FVHQD7n.FuCW78fS level 7 encrypted enable password2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname wgqpix-525fixup protocol dns maximum-length 512 fixup protocol ftp 21fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 namesaccess-list acl_out permit tcp any host 16.152.91.221 eq www access-list acl_out permit icmp any anyaccess-list acl_out permit tcp any host 16.152.91.220 eq https access-list acl_out permit tcp any host 16.152.91.223 eq wwwaccess-list outbound permit icmp any any access-list outbound permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500ip address outside 16.152.91.222 255.255.255.128 ip address inside10.165.127.254 255.255.255.252 ip audit info action alarm ip audit attackaction alarm no failoverfailover timeout 0:00:00 failover poll 15no failover ip address outside no failover ip address inside no pdm history enable arp timeout 14400static (inside,outside) 16.152.91.221 10.165.127.11 netmask255.255.255.255 0 0 static (inside,outside) 16.152.91.220 10.165.127.23 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.22310.165.127.15 netmask 255.255.255.255 0 0 access-group acl_out in interface outside access-group outbound in interface inside route outside 0.0.0.00.0.0.0 16.152.91.129 1route inside 10.165.0.0 255.255.0.0 10.165.127.253 1 timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h2251:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radiusaaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enableno snmp-server location no snmp-server contactsnmp-server community public no snmp-server enable traps floodguard enabletelnet 10.165.6.225 255.255.255.255 inside telnet 10.165.127.12255.255.255.255 inside telnet 10.165.127.250 255.255.255.255 insidetelnet 10.165.6.15 255.255.255.255 inside telnet 10.165.6.16255.255.255.255 inside telnet timeout 5 ssh timeout 5 console timeout 0username admin password iuQeTKNaNbruxBKd encrypted privilege 2 terminal width 80Cryptochecksum:b2e1195d144f48f01fe66606cd31d0f2 : endwgqpix-525#最佳答案 ( 回答者: xintao800 ) PIX防火墙提供4种管理访问模式：2非特权模式。