思思科防火墙服务器配置

思思科防火墙服务器配置详解
思思科防火墙服务器配置

一、引言

随着信息技术的快速发展,网络安全问题日益突出,防火墙作为网络安全的重要防线,其配置与管理显得尤为重要。

思思科(Cisco)防火墙是业界领先的网络安全设备,广泛应用于企业网络、数据中心等场景。

本文将详细介绍思思科防火墙服务器的配置过程,帮助读者了解如何正确设置和优化防火墙,以确保网络安全。

二、硬件配置

1. 设备选型

在选择思思科防火墙设备时,需要根据实际需求进行选择,包括设备性能、端口数量、扩展能力等方面。

常见的思思科防火墙设备有Cisco ASA系列、Cisco Firepower系列等。

2. 设备连接

将防火墙设备连接到网络,确保设备与网络之间的物理连接正确无误。

通常,防火墙设备会连接到内部网络、外部网络以及管理网络。

三、软件配置

1. 操作系统安装与配置

安装思思科防火墙操作系统,并进行基本配置,包括设置设备名称、时间、登录方式等。

2. 网卡配置

配置防火墙设备的网卡,包括内部网卡、外部网卡和管理网卡的IP地址、子网掩码等参数。

确保每个网卡的配置正确无误。

3. 路由配置

根据实际需求配置路由表,确保数据包能够正确地在防火墙设备内部和外部网络之间传输。

四、安全配置

1. 访问控制策略

制定访问控制策略,控制网络之间的数据传输。

访问控制策略应包括允许和拒绝的规则,以及特定应用的协议和端口。

常见的访问控制策略包括允许内部网络访问外部网络、拒绝非法访问等。

2. 防火墙规则配置

根据访问控制策略,配置防火墙规则。

在思思科防火墙中,可以通过命令行或图形界面进行配置。

常见的防火墙规则包括允许特定IP地址访问、限制访问时间、设置访问权限等。

3. 安全区域划分

将网络划分为不同的安全区域,例如内部网络、外部网络、DMZ等。

根据安全需求,设置不同安全区域之间的通信规则,提高网络安全防护能力。

五、服务配置与应用层配置详解实例分析介绍步骤小结重要知识点提示常见错误解决思路扩展知识等部分详细介绍步骤实例分析介绍步骤小结重要知识点提示常见错误解决思路扩展知识等部分介绍如下:服务配置与应用层配置是防火墙的重要功能之一。

思思科防火墙支持各种服务配置和应用层控制,如HTTP、HTTPS、FTP等协议的过滤和控制。

下面以HTTP服务为例,详细介绍配置步骤和实例分析。

步骤一:启用HTTP服务在思思科防火墙中启用HTTP服务非常简单。

首先进入命令行界面或图形界面,找到HTTP服务配置选项并启用该服务。

步骤二:配置HTTP规则在启用HTTP服务后,需要配置HTTP规则来控制网络之间的HTTP数据传输。

可以根据实际需求配置允许或拒绝特定IP地址的HTTP访问请求等规则。

步骤三:实例分析假设企业内部网络需要通过防火墙访问外部网站的HTTP服务。

在这种情况下可以设置一个允许内部网络访问外部网站HTTP服务的规则同时设置一个拒绝所有来自外部网站向内部网络发起HTTP请求的规则以确保网络安全在配置完成后可以通过测试工具或实际访问来验证配置的规则是否正确生效实例分析完成后需要注意总结配置过程中的重要知识点如正确设置服务端口过滤规则等同时要了解常见错误解决思路如规则配置错误端口号错误等问题在扩展知识方面可以了解更高级的应用层控制功能如应用识别协议识别等这些功能可以提高防火墙对应用层攻击的防护能力六总结本文对思思科防火墙服务器配置的硬件配置软件配置安全配置及服务配置与应用层配置进行了详细介绍通过详细的步骤实例分析和小结帮助读者了解和掌握如何正确设置和优化防火墙以确保网络安全读者在实际操作过程中遇到问题可通过查阅资料咨询专业人士等方式寻求解决思路同时建议读者不断学习和掌握网络安全领域的最新技术和趋势以应对日益复杂的网络安全挑战本文仅提供了基本的防火墙配置方法和思路实际网络环境可能更加复杂需要读者根据具体情况进行分析和配置以实现最佳的网络安全防护效果思思科防火墙作为业界领先的网络安全设备在实际应用中有着广泛的应用前景希望通过本文的介绍读者能够对思思科防火墙的配置有更深入的了解并能够在实际工作中运用自如。

, 关键词: 思思科防火墙, 配置, 网络安全}思思科防火墙服务器配置详解(全网最详细!)一、引言随着信息技术的迅猛发展,网络安全问题逐渐成为人们关注的焦点之一。

在这种情况下,防火墙作为网络安全的第一道防线显得尤为重要。

本文将详细介绍思思科(Cisco)防火墙服务器的配置过程,帮助读者了解如何正确设置和优化防火墙,以确保网络安全。

二、硬件配置1. 设备选型在选择思思科防火墙设备时,需要根据实际需求进行选择,包括设备性能、端口数量等方面。

常见的思思科防火墙设备有Cisco ASA系列等。

2. 设备连接将防火墙设备连接到网络环境中,确保设备与网络之间的物理连接正确无误。

三、软件配置安装操作系统并进行基本配置,包括设置设备名称等参数设置网卡IP地址等参数四、安全配置制定访问控制策略根据策略进行规则设置划分安全区域提高安全防护能力五、服务配置与应用层配置详解服务配置与应用层控制是防火墙的重要功能之一以HTTP服务为例详细介绍步骤实例分析假设企业内部网络需要通过防火墙访问外部网站的HTTP服务可以设置允许内部访问外部网站的规则同时拒绝外部网站向内部发起的请求测试验证配置的规则是否正确生效总结重要知识点了解常见错误解决思路扩展知识了解更高级的应用层控制功能提高应用层攻击的防护能力六、总结总结本文主要对思思科防火墙服务器的硬件配置软件配置安全配置及服务与应用层进行详细介绍通过详细的步骤实例分析和小结帮助读者了解和掌握如何正确设置和优化防火墙以确保网络安全同时建议读者不断学习和掌握网络安全领域的最新技术和趋势应对日益复杂的网络安全挑战总的来说正确合理设置和应用思思科防火墙能为企业和数据中心的网络安全提供强有力的保障在实际应用中有着广泛的应用前景希望读者通过本文的介绍能对思思科防火墙的配置有更深入的了解并能够在实际工作中运用自如。

, 关键词: 思思科防火墙服务器配置详解网络安全设置应用趋势安全领域基本防护网络环境终端设备连接方式]}思思科防火墙服务器配置详解

一、引言

随着信息技术的快速发展,网络安全问题逐渐成为企业面临的重要挑战之一。

在这种背景下,防火墙作为网络安全的第一道防线发挥着至关重要的作用。

本文将详细介绍思思科(Cisco)防火墙服务器的配置过程,包括硬件配置、软件配置、安全配置以及服务配置与应用层配置等方面,帮助读者了解如何正确设置和优化防火墙以确保网络安全。

二、硬件配置

1. 设备选型与购买:在选择思思科防火墙设备时,需要根据实际需求进行选择,包括设备性能、端口数量等参数。购买正规渠道的思思科防火墙设备,确保设备的品质与性能。

2. 设备连接:将防火墙设备连接到网络中,确保设备与网络之间的物理连接正确无误。连接方式包括有线连接和无线连接等。

三、软件配置

1. 操作系统安装与基本配置:安装思思科防火墙操作系统并进行基本配置,包括设置设备名称、时间等参数。确保操作系统的稳定运行和安全性。

2. 网卡与路由配置:配置防火墙设备的网卡和路由表,确保数据包能够在防火墙设备之间正确传输。这包括内部网卡、外部网卡和管理网卡的IP地址配置以及路由表的设置等。这涉及的网络知识较为复杂需对网络有一定了解以便灵活处理网络设备之间数据通信时的相关操作;详细来说通过设置路由表可以保证数据的正常传输并能对网络进行优化进而实现内外网通信的需求对于特定需求的场景还有更加灵活的连接方式可以保障数据的顺畅与安全在此基础上甚至能实现特殊的路由分配因此在实际的互联网使用中必须做到根据实际情况来进行网络设备之间灵活多变的链接设计这也是当下的互联网技术发展现状和特点确保稳定有效与安全的具体工作内容只有理解了相应的专业知识才能进行具体的有效设计和实际操作在本小节的实际操作中往往由于需要兼容各种不同的应用场景因而会产生一定的工作难点和实践复杂性具体操作的细节可以参考相关书籍或者专业人员的指导以便更好的完成工作进而提升个人职业技能和素养 。在路由器配置上还应注意网关的设定和接口的适配性问题只有正确合理的设置这些问题才能确保网络通信的顺畅无阻才能保障网络的可用性进一步提升网络的运行效率进而提升企业的运营效率并保障企业的数据安全这也是当下互联网发展中对技术人员提出的新要求和新挑战;在具体操作中还应注重理论与实践相结合的原则以便更好的完成工作任务并提升个人专业素养和能力进而为企业的稳定发展做出贡献 。在进行网卡及路由的配置时还需要注意对网络环境进行全面的了解和考察包括对当前的网络状况进行分析了解使用状况以此确保科学的合理的设定满足实际需求的网络链接和网络使用方式在当下的互联网环境中往往还需要处理一些特殊的网络环境问题和状况例如远程网络的接入局域网之间的互访问题网络的负载均衡问题等这些问题都需要在具体的操作中灵活处理以满足实际的工作需求进一步提升工作效率和工作质量 。在进行软件配置的整个过程中还需要注意对相关的软件和程序进行及时的更新和升级以保障系统的安全性和稳定性这也是当下互联网环境下保障数据安全的重要措施之一在具体的操作中还需要注重数据的备份工作以避免数据丢失带来的损失 。 综上在进行软件配置的整个过程中都需要注重理论知识的学习和实践经验的积累以保障工作的顺利进行并逐步提升自己的专业素养和能力为企业的稳定发展做出贡献 。总之这一部分主要学习如何合理分配管理网络设备应对互联网应用的不同场景具体如何分配如何操作将在后续的部分展开说明 。总的来说其需要结合多种学科知识和技能因此在工作中遇到的难点和挑战较多也需要不断地学习和实践以满足日益增长的市场需求 。在完成这部分内容的学习后对网络设备的连接方式有了更深入的了解也具备了应对复杂网络环境的能力对于后续的深入学习打下基础 。同时在实际工作中还需要注重团队协作和沟通能力的提升以保障工作的顺利进行 。

四、安全配置

在制定安全策略时需要根据实际需求进行设定常见的安全策略包括允许内部网络访问外部网络资源同时禁止外部未经授权的访问以及划分不同的安全区域提高安全防护能力在具体设定过程中还需要考虑如何防止非法入侵和恶意攻击等问题这也是当下互联网环境下保障数据安全的重要环节之一在具体操作中还需要注重及时更新安全策略以适应不断变化的安全环境这也是保障网络安全的重要环节之一

五 、服务配置与应用层 配置

这是防火墙的重要功能之一 思思科 防火墙 支持各种 服务 配置 和 应用 层 控制 思思科 防火墙作为企业级应用 部署在各种网络场景中 来 介绍了如何通过http服务的 实例 来详细了解 思思科 防 火墙的配置流程 具体包括启用http服务 配置http规则 实例分析等环节 在实际部署过程中需要注意保证规则设置的合理性和安全性以避免潜在的安全风险 同时也需要不断学习新的技术不断提升自身专业能力以应对日益复杂的网络环境

六 、总结

本文对 思 思科 防 火墙 服务器 配置 进行 了 详细


防火墙配置中必备的六个主要命令

防火墙的基本功能,是通过六个命令来完成的。

一般情况下,除非有特殊的安全需求,这个六个命令基本上可以搞定防火墙的配置。

下面笔者就结合CISCO的防火墙,来谈谈防火墙的基本配置,希望能够给大家一点参考。

第一个命令:interfaceInterface是防火墙配置中最基本的命令之一,他主要的功能就是开启关闭接口、配置接口的速度、对接口进行命名等等。

在买来防火墙的时候,防火墙的各个端都都是关闭的,所以,防火墙买来后,若不进行任何的配置,防止在企业的网络上,则防火墙根本无法工作,而且,还会导致企业网络不同。

1、 配置接口速度在防火墙中,配置接口速度的方法有两种,一种是手工配置,另外一种是自动配置。

手工配置就是需要用户手工的指定防火墙接口的通信速度;而自动配置的话,则是指防火墙接口会自动根据所连接的设备,来决定所需要的通信速度。

如:interface ethernet0 auto --为接口配置“自动设置连接速度”Interface ethernet2 100ful --为接口2手工指定连接速度,100MBIT/S。

这里,参数ethernet0或者etnernet2则表示防火墙的接口,而后面的参数表示具体的速度。

笔者建议在配置接口速度的时候,要注意两个问题。

一是若采用手工指定接口速度的话,则指定的速度必须跟他所连接的设备的速度相同,否则的话,会出现一些意外的错误。

如在防火墙上,若连接了一个交换机的话,则交换机的端口速度必须跟防火墙这里设置的速度相匹配。

二是虽然防火墙提供了自动设置接口速度的功能,不过,在实际工作中,作者还是不建议大家采用这个功能。

因为这个自动配置接口速度,会影响防火墙的性能。

而且,其有时候也会判断失误,给网络造成通信故障。

所以,在一般情况下,无论是笔者,还是思科的官方资料,都建议大家采用手工配置接口速度。

2、 关闭与开启接口防火墙上有多个接口,为了安全起见,打开的接口不用的话,则需要及时的进行关闭。

一般可用shutdown命令来关闭防火墙的接口。

但是这里跟思科的IOS软件有一个不同,就是如果要打开这个接口的话,则不用采用no shutdown命令。

在防火墙的配置命令中,没有这一条。

而应该采用不带参数的shutdown命令,来把一个接口设置为管理模式。

笔者建议在防火墙配置的时候,不要把所有的接口都打开,需要用到几个接口,就打开几个接口。

若把所有的接口都打开的话,会影响防火墙的运行效率,而且,对企业网络的安全也会有影响。

或者说,他会降低防火墙对于企业网络的控制强度。

第二个命令:nameif一般防火墙出厂的时候,思科也会为防火墙配置名字,如ethernet0等等,也就是说,防火墙的物理位置跟接口的名字是相同的。

但是,很明显,这对于我们的管理是不利的,我们不能够从名字直观的看到,这个接口到底是用来做什么的,是连接企业的内部网络接口,还是连接企业的外部网络接口。

所以,网络管理员,希望能够重命令这个接口的名字,利用比较直观的名字来描述接口的用途,如利用outside命令来表示这个接口是用来连接外部网络;而利用inside命令来描述这个接口是用来连接内部网络。

同时,在给端口进行命名的时候,还可以指定这个接口的安全等级。

Nameif命令基本格式如下Nameif hardware-id if-name security-level其中,hardware-id表示防火墙上接口的具体位置,如ethernet0或者ethernet1等等。

这些是思科防火墙在出厂的时候就已经设置好的,不能够进行更改。

若在没有对接口进行重新命名的时候,我们只能够通过这个接口位置名称,来配置对应的接口参数。

而if-name 则是我们为这个接口指定的具体名字。

一般来说,这个名字希望能够反映出这个接口的用途,就好象给这个接口取绰号一样,要能够反映能出这个接口的实际用途。

另外,这个命名的话,我们网络管理员也必须遵守一定的规则。

如这个名字中间不能用空格,不同用数字或者其他特殊字符(这不利于后续的操作),在长度上也不能够超过48个字符。

security-level表示这个接口的安全等级。

一般情况下,可以把企业内部接口的安全等级可以设置的高一点,而企业外部接口的安全等级则可以设置的低一点。

如此的话,根据防火墙的访问规则,安全级别高的接口可以防卫安全级别低的接口。

也就是说,不需要经过特殊的设置,企业内部网络就可以访问企业外部网络。

而如果外部网络访问内部网络,由于是安全级别低的接口访问安全级别高的接口,则必须要要进行一些特殊的设置,如需要访问控制列表的支持,等等。

笔者建议在给接口配置安全等级的时候,一般不需要设置很复杂的安全等级。

在安全要求一般的企业,只需要把接口的安全登记分为两级(一般只用两个接口,一个连接外部网络,一个连接内部网络),如此的话,防火墙的安全级别管理,会方便许多。

另外,就是企业内部网络的安全级别要高于外部网络的安全级别。

因为从企业安全方面考虑,我们的基本原则是内部网络访问外部网络可以放开,而外部网络访问内部网络的话,就要有所限制,则主要是出于限制病毒、木马等给企业网络所造成的危害的目的。

不过,若企业内部对外部访问也有限制的话,如不允许访问FTP服务器,等等,则可以借助访问控制列表或者其他技术手段来实现。

在对接口进行命名的时候,要能够反映这个接口的用途,否则的话,对其进行命名也就没有什么意思了。

一般的话,如可以利用inside或者 outside来表示连接内网与外网的接口。

如此的话在,网络管理员在一看到这个接口名字,就知道这个接口的用途。

这几可以提高我们防火墙维护的效率。

对于我们按照这个名字来对接口进行配置的时候,就比较容易实现,而不需要再去想我需要配置的接口名字是什么。

若我们真的忘记了接口名字的话,则可以利用 show nameif命令来检验接口名字的配置。

第三个命令:IP address在防火墙管理中,要为每个启用的防火墙接口配置IP地址。

一般来说,防火墙的IP地址支持两种取得方式,一是通过自动获得,如可以通过企业内网的DHCP服务器取得IP地址;二是用户通过手工指定IP地址。

这个命令的具体格式为Ip adress if-name IP [NETMASK]若我们用上面的IF-NAME命令,给防火墙的接口配置好别名之后,则在后续的其他命令中,如这个配置IP地址的命令,则就不需要采用接口的位置名,而直接可以利用这个别名为具体的接口设置相关的参数。

若我们通过手工指定IP地址的时候,需要注意几个问题。

一是若企业中还有DHCP服务器的话,则要注意这个网络地址冲突的问题。

这个防火墙上的接口IP地址,在企业的整个网络中,也必须保持唯一,否则的话,就会造成IP地址冲突的错误。

所以,若企业中还有DHCP服务器的话,则在DHCP服务器配置的时候,需要注意,这个防火墙接口所用的IP地址不应该在DHCP服务器的自动分配IP的地址池中,否则的话,很容易造成IP地址的冲突。

另外,在给他手工配置IP地址的时候,为了管理上的方便,最好能够指定连续的IP地址。

也就是说,防火墙各个接口的IP地址为连续的。

笔者在企业的IP地址规划中,特意为防火墙的接口预留了4个IP地址。

即使,现在没有使用到这个接口,为了避免以后用到时,IP地址不连续,所以,在整个网络的 IP地址规划中,还是为其预留了足够多的IP地址。

这里的网络掩码不是必须的。

若网络管理员在配置防火墙的时候,没有配置这个网络掩码的话,则防火墙会自动根据企业内部网络的结构,则防火墙会自动给其设置一个网络掩码。

所以,在一般的情况下,这个网络掩码可以不用设置,免得填写错误的话,还造成不必要的损失。

笔者建议若是采用DHCP方式取得接口的IP地址的,则在DHCP服务器配置的时候,最好能够给防火墙的各个接口配置连续的IP地址。

如此的话,可以方便我们对防火墙的接口进行管理。

若企业的网络规模比较大,安全级别比较高的话,则一般建议不要采用DHCP的方式,而需要给防火墙的各个接口手工指定 IP地址。

第四个命令:NAT 与GLOBAL、STATIC命令使用NAT(网络地址转换)命令,网络管理员可以将内部的一组IP地址转换成为外部的公网地址;而global命令则用于定义用网络地址转换命令NAT转换成的地址或者地址的范围。

简单的说,利用NAT命令与GLOBAL命令,能够实现IP地址之间的转换,还可以实现IP地址到端口的映射。

这个网络地址转换命令在实际工作中非常的有用。

我们都知道,现在公网IP地址非常的缺乏,基本上,一家企业只有一到两个公网地址。

而对于企业来说,他们的文件服务器、OA系统、邮件服务器等等可能都需要外部访问,而如果没有NAT技术的话 ,则在公网中要进行访问的话,必须具有公网的IP地址。

这就大大限制了企业内部信息化系统的外部访问,家庭办公、出差时访问企业内部网络等等,变的无法实现。

而现在网络地址转换技术,就是为解决这个问题而产生的。

在网络地址转换技术的帮助下,可以把企业内部的IP地址跟端口唯一的映射到外部公网的IP地址。

如此的话,内网的IP地址就有了一个合法的公网IP地址,则在公司外面的员工就可以通过互联网访问企业内部的信息化系统。

在实际工作中,用的最多的就是将本地地址转换为一个担搁的全局地址,而不是一个地址范围。

如公司内部的ERP服务器IP地址为 192.168.0.6,此时,若我们希望,外部的员工,如在其他城市的一个销售办事处,他们能够利用202.96.96.240这个公网地址访问这台服务器。

若要实现这个需求,该如何配置呢?Static (inside,outside) 192.168.0.6 202.96.96.236此时,外部用户就可以利用这个202.96.96.236公网IP地址,来访问企业内部的ERP系统。

其实,配置了这条命令之后,在防火墙服务器中,就有了这个一一对应的关系。

当外部网络通过访问202.96.96.236这个IP地址时,在防火墙服务器中,就会把这个IP地址转换为192.268.0.6,如此就实现了外部网络访问企业的内部信息化系统。

不过,此时若不止这么一个信息化系统,现在OA系统(192.168.0.5)与ERP系统(192.168.0.6),在家办公的人或者出差在外的人都需要能够访问这两个服务器,此时,该如何处理呢?如企业有两个公网IP地址,那也好办,只需要把OA系统与ERP系统分别对应到一个公网IP地址即可。

但是,现在的问题是,企业只有一个IP 地址,此时,该如何处理呢?为此,我们可以利用static命令,实现端口的重定向。

简单的说,端口重定向,允许外部的用户连接一个内部特定的IP地址与端口,并且让防火墙将这个数据流量重定向到合适的内部地址中去。

作者提醒1、 应该有足够的全局IP地址去匹配NAT命令指定的本机IP地址。

否则的话,可以结合使用PAT(根据端口对应IP地址)来解决全局地址的短缺问题。

而对于绝大部分中国企业来说,基本上地址都是不够的,要采用PAT技术来解决地址短缺问题。

PAT技术,最多允许个客户端(内部IP地址)使用同一个公网的IP地址。

2、 网络地址转换除了可以解决公网ID地址短缺问题的话,还有一个很好的副作用。

就是可以把内部的主机隐藏起来,从而实现内部主机的安全性。

如上面的例子中,如外面的用户需要访问企业内部的ERP服务器的话,则他们只需要知道公网地址就可以了,不需要知道到底他们访问的是内部的那台服务器,这台服务器的IP地址是多少。

如此的话,就可以最大限度的保护企业内部服务器的安全。

第五个命令:ICMP命令当我们做好相关的配置之后,接下去的工作我们就需要利用测试命令,来判断我们所配置的准确性。

最基本的两个测试命令,就是PING与DEBUG命令。

Ping 命令我们网络管理员都是很熟悉的了。

但是,在防火墙中有一个比较特殊的地方,就是在默认情况下,防火墙会拒绝所有来自于外部接口的ICMP输入流量。

当我们PING 一个外网的IP地址时,若跟对方连接通畅的话,则对方会返回一个ICMP响应的回答。

而防火墙默认的情况下,是会拒绝这个ICMP流量的。

这主要是出于安全方面的考虑。

但是,在我们进行测试的时候,我们不喜欢防火墙禁止接收这个ICMP响应回答,不然的话,我们就无法进行测试工作了。

所以,在防火墙刚刚开始配置的时候,我们往往需要让防火墙允许接收这个流量,我们需要利用permit命令来让防火墙通过这个流量。

我们可以利用这条命令来实现这个需求:icmp permit any any outside。

这个命令的意识就是允许ICMP协议在防火墙上畅通无阻的运行,允许防火墙接收来自外部的ICMP流量。

笔者提醒不过,在测试完以后,最好还是能够还原原先的设置,即让防火墙拒绝接收这个来自外部接口ICMP流量,这对于提高企业内部的安全性,非常有帮助,如可以很好的防止DOS攻击,等等。

第六个命令:write memory.一般来说,我们在对防火墙配置所做的更改,是不会直接写入当防火墙的闪存中的。

防火墙如此的设计,是为了防止网络管理员万一不小心,做了一些难以恢复的设置时,只需要重新启动一下防火墙,就可以恢复以前的设置了。

也就是说在,对防火墙的更新配置,在没有应该命令把他写入到闪存中,防火墙一般都是先把它存放在RAM 中。

而RAM中的数据,当防火墙重新启动后,都会丢失。

所以,当配置测试完成之后,千万要记住,要利用write memory命令,把相关的更改配置写入到闪存中。

如此的话,才能够在防火墙重新启动后,这些相关的配置仍然能够起作用。

笔者提醒在没有测试之前,最好不要把更改配置写入到闪存中。

因为一旦写入到闪存中,你若做了一些难以恢复的配置,而在测试的时候出现了问题,此时,你只能够重置防火墙,以前的配置将会全部丢失,回复到出厂状态,那对于我们网络管理员来说,是个很大的打击。

所以,一般需要对相关的配置测试无误后,才能够利用这个命令,永久的保存配置。

不过,在防火墙配置的时候,要注意不要断电,否则的话,你做的配置将会全功尽弃。

不过,若在防火墙一端,接上UPS电源,是一个比较明智的做法。

CISCO防火墙配置及详细介绍

在众多的企业级主流防火墙中,cisco pix防火墙是所有同类产品性能最好的一种。

cisco pix系列防火墙目前有5种型号pix506,515,520,525,535。

其中pix535是pix 500系列中最新,功能也是最强大的一款。

它可以提供运营商级别的处理能力,适用于大型的isp等服务提供商。

但是pix特有的os操作系统,使得大多数管理是通过命令行来实现的,不象其他同类的防火墙通过web管理界面来进行网络管理,这样会给初学者带来不便。

本文将通过实例介绍如何配置cisco pix防火墙。

在配置pix防火墙之前,先来介绍一下防火墙的物理特性。

防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: �0�3 内部区域(内网)。

内部区域通常就是指企业内部网络或者是企业内部网络的一部分。

它是互连网络的信任区域,即受到了防火墙的保护。

�0�3 外部区域(外网)。

外部区域通常指internet或者非企业内部网络。

它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。

�0�3 停火区(dmz)。

停火区是一个隔离的网络,或几个网络。

位于停火区中的主机或服务器被称为堡垒主机。

一般在停火区内可以放置web服务器,mail服务器等。

停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。

注意:2个接口的防火墙是没有停火区的。

由于pix535在企业级别不具有普遍性,因此下面主要说明pix525在企业网络中的应用。

pix防火墙提供4种管理访问模式: 非特权模式。

pix防火墙开机自检后,就是处于这种模式。

系统显示为pixfirewall> 特权模式。

输入enable进入特权模式,可以改变当前配置。

显示为pixfirewall# 配置模式。

输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。

显示为pixfirewall(config)# 监视模式。

pix防火墙在开机或重启过程中,按住escape键或发送一个“break”字符,进入监视模式。

这里可以更新操作系统映象和口令恢复。

显示为monitor> 配置pix防火墙有6个基本命令:nameif,interface,ip address,nat,global,route. 这些命令在配置pix是必须的。

以下是配置的基本步骤: 1. 配置防火墙接口的名字,并指定安全级别(nameif)。

pix525(config)#nameif ethernet0 outside security0 pix525(config)#nameif ethernet1 inside security100 pix525(config)#nameif dmz security50 提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。

若添加新的接口,语句可以这样写: pix525(config)#nameif pix/intf3 security40 (安全级别任取) 2. 配置以太口参数(interface) pix525(config)#interface ethernet0 auto(auto选项表明系统自适应网卡类型 ) pix525(config)#interface ethernet1 100full(100full选项表示100mbit/s以太网全双工通信 ) pix525(config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown ) 3. 配置内外网卡的ip地址(ip address) pix525(config)#ip address outside 61.144.51.42 255.255.255.248 pix525(config)#ip address inside 192.168.0.1 255.255.255.0 很明显,pix525防火墙在外网的ip地址是61.144.51.42,内网ip地址是192.168.0.1 4. 指定要进行转换的内部地址(nat) 网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。

nat命令配置语法:nat (if_name) nat_id local_ip [netmark] 其中(if_name)表示内网接口名字,例如inside. nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。

例如0.0.0.0表示内网所有主机可以对外访问。

[netmark]表示内网ip地址的子网掩码。

例1.pix525(config)#nat (inside) 1 0 0 表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0 例2.pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 表示只有172.16.5.0这个网段内的主机可以访问外网。

5. 指定外部地址范围(global) global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。

global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中(if_name)表示外网接口名字,例如outside.。

nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。

[netmark global_mask]表示全局ip地址的网络掩码。

例1. pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。

例2. pix525(config)#global (outside) 1 61.144.51.42 表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。

例3. pix525(config)#no global (outside) 1 61.144.51.42 表示删除这个全局表项。

6. 设置指向内网和外网的静态路由(route) 定义一条静态路由。

route命令配置语法:route (if_name) 0 0 gateway_ip [metric] 其中(if_name)表示接口名字,例如inside,outside。

gateway_ip表示网关路由器的ip地址。

[metric]表示到gateway_ip的跳数。

通常缺省是1。

例1. pix525(config)#route outside 0 0 61.144.51.168 1 表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。

例2. pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。

上面那条命令表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一条路由器ip地址是172.16.0.1 这6个基本命令若理解了,就可以进入到pix防火墙的一些高级配置了。

a. 配置静态ip地址翻译(static) 如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。

static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口,安全级别较高。

如inside. external_if_name为外部网络接口,安全级别较低。

如outside等。

outside_ip_address为正在访问的较低安全级别的接口上的ip地址。

inside_ ip_address为内部网络的本地ip地址。

例1. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8 表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。

例2. pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3 例3. pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8 注释同例1。

通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。

这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。

b. 管道命令(conduit) 前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到dmz或内部接口的入方向的会话。

对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。

conduit命令配置语法: conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask] permit | deny 允许 | 拒绝访问 global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。

port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。

protocol 指的是连接协议,比如:tcp、udp、icmp等。

foreign_ip 表示可访问global_ip的外部ip。

对于任意主机,可以用any表示。

如果foreign_ip是一台主机,就用host命令参数。

例1. pix525(config)#conduit permit tcp host 192.168.0.8 eq www any 这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。

其中使用eq和一个端口来允许或拒绝对这个端口的访问。

eq ftp 就是指允许或拒绝只对ftp的访问。

例2. pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89 表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

例3. pix525(config)#conduit permit icmp any any 表示允许icmp消息向内部和外部通过。

例4. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 pix525(config)#conduit permit tcp host 61.144.51.62 eq www any 这个例子说明static和conduit的关系。

192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。

所以先做static静态映射:192.168.0.3->61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

c. 配置fixup协议 fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。

见下面例子: 例1. pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21 例2. pix525(config)#fixup protocol http 80 pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。

例3. pix525(config)#no fixup protocol smtp 80 禁用smtp协议。

d. 设置telnet telnet有一个版本的变化。

在pix os 5.0(pix操作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。

在pix os 5.0及后续版本中,可以在所有的接口上启用telnet到pix的访问。

当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。

另外就是在pix上配置ssh,然后用ssh client从外部telnet到pix防火墙,pix支持ssh1和ssh2,不过ssh1是免费软件,ssh2是商业软件。

相比之下cisco路由器的telnet就作的不怎么样了。

telnet配置语法:telnet local_ip [netmask] local_ip 表示被授权通过telnet访问到pix的ip地址。

如果不设此项,pix的配置方式只能由console进行。

说了这么多,下面给出一个配置实例供大家参考。

welcome to the pix firewall type help or ’?’ for a list of available commands. pix525> en password: pix525#sh config : saved : pix version 6.0(1) ------ pix当前的操作系统版本为6.0 nameif ethernet0 outside security0 nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口 enable password 7y051hhccoirtsqz encrypted passed 7y051hhccoirtsqz encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco hostname pix525 ------ 主机名称为pix525 domain-name ------ 本地的一个域名服务器,通常用作为外部访问 fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号 names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空 pager lines 24 ------ 每24行一分页 interface ethernet0 auto interface ethernet1 auto ------ 设置两个网卡的类型为自适应 mtu outside 1500 mtu inside 1500 ------ 以太网标准的mtu长度为1500字节 ip address outside 61.144.51.42 255.255.255.248 ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1 ip audit info action alarm ip audit attack action alarm ------ pix入侵检测的2个命令。

当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。

pdm history enable ------ pix设备管理器可以图形化的监视pix arp timeout ------ arp表的超时时间 global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用qq聊天等等,上面显示的ip就是这个 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0 conduit permit icmp any any conduit permit tcp host 61.144.51.43 eq www any conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口 route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61 timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute ------ aaa认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证 aaa-server tacacs+ protocol tacacs+ aaa-server radius protocol radius ------ aaa服务器的两种协议。

aaa是指认证,授权,审计。

pix防火墙可以通过aaa服务器增加内部网络的安全 no snmp-server location no snmp-server contact snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人 no snmp-server enable traps ------ 发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pix的aaa资源用完 no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh访问pix的超时时间 terminal width 80 cryptochecksum:a9f03ba4ddb72e1ae6add4f5e7 pix525# pix525#write memory ------ 将配置保存 上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。

另外有几个维护命令也很有用,show interface查看端口状态,show static查看静态地址映射,show ip查看接口ip地址,ping outside | inside ip_address确定连通性。

思科防火墙asa5505路由配置

第一,设置路由a的wan口状态设置为pppoe拨号状态,然后填入adsl拨号的账号和密码。

第二,设置路由a的lan口ip为192.168.1.1lan口的ip段为192.168.1.x网段掩码255.255.255.0。

第三,设置路由b的lan口ip为192.168.2.1lan口ip段为192.168.2.x网段掩码255.255.255.0

第四,设置路由b的wan口状态为静态ip,ip地址设置为192.168.1.2掩码255.255.255.0网关为192.168.1.1。

第五,将路由b的wan口和路由a的任意一个lan口用网线连接。

通过这种方法,就可以实现路由器下接路由器,达到局域网扩充路由器连接端口的目的。

© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容