收藏 分销(赏)
立即下载 开通VIP

思科ASA和PIX防火墙配置手册.doc

上传人:xrp****65 文档编号:7031669 上传时间:2024-12-25 格式:DOC 页数:43 大小:312.50KB
下载 相关 举报
思科ASA和PIX防火墙配置手册.doc_第1页
第1页 / 共43页
思科ASA和PIX防火墙配置手册.doc_第2页
第2页 / 共43页
点击查看更多>>
资源描述
思科ASA和PIX防火墙配置手册 一、 配置基础 2 1.1 用户接口 2 1.2 防火墙许可介绍 3 1.3 初始配置 3 二、 配置连接性 4 2.1 配置接口 4 2.2 配置路由 6 2.3 DHCP 7 2.4 组播的支持 7 三、 防火墙的管理 7 3.1 使用Security Context建立虚拟防火墙(7.x特性) 7 3.2 管理Flash文件系统 8 3.3 管理配置文件 9 3.4 管理管理会话 9 3.5 系统重启和崩溃 10 3.6 SNMP支持 10 四、 用户管理 11 4.1 一般用户管理 11 4.2 本地数据库管理用户 11 4.3 使用AAA服务器来管理用户 11 4.4 配置AAA管理用户 12 4.5 配置AAA支持用户Cut-Through代理 12 4.6 密码恢复 12 五、 防火墙的访问控制 12 5.1 防火墙的透明模式 12 5.2 防火墙的路由模式和地址翻译 13 5.3 使用ACL进行访问控制 15 六、 配置Failover增加可用性 17 6.1 配置Failover 17 6.2 管理Failover 19 七、 配置负载均衡 19 7.1 配置软件实现 (只在6500 native ios模式下) 19 7.2 配置硬件实现 20 7.3 配置CSS实现 22 八、 日志管理 22 8.1 时钟管理 22 8.2 日志配置 23 8.3 日志消息输出的微调 24 8.4 日志分析 25 九、 防火墙工作状态验证 25 9.1 防火墙健康检查 25 9.2 流经防火墙数据的监控 26 9.3 验证防火墙的连接性 26 十、 Syslog服务 28 Syslog简介 28 Syslog服务器的部署 29 10.1 内置syslogd的配置 29 10.2 配置基于linux的syslog-ng服务器 29 10.3 配置基于Windows的syslog服务器 30 10.4 路由器下syslog支持的配置 30 10.5 交换机下syslog支持的配置 31 10.6 PIX防火墙下syslog支持的配置 32 10.7 VPN Concentrator下syslog支持的配置 33 十一、 Cisco PIX 防火墙的问题集锦 33 11.1 如何允许外网用户Telnet至PIX的outside? 33 11.2 我想通过在pix 515e 上进行设置使某些内网用户只能上一个特定的网站 34 11.3 请教pix515 acl 如何屏蔽一个网段? 35 11.4 在515E中配置DHCP网关的命令是什么 36 11.5 pix能不能实现dmz和inside透明模式呢? 36 11.6 如何配置PIX透明模式? 37 11.7 为什么ping不通515E的outside地址? 37 11.8 pix515的问题 40 一、 配置基础 1.1 用户接口 思科防火墙支持下列用户配置方式: Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性,PDM的http方式(7.x以后称为ASDM)和VMS的Firewall Management Center。 支持进入Rom Monitor模式,权限分为用户模式和特权模式,支持Help,History和命令输出的搜索和过滤。 注:Catalyst6500的FWSM没有物理接口接入,通过下面CLI命令进入: Switch# session slot slot processor 1 (FWSM所在slot号) 用户模式: Firewall> 为用户模式,输入enable进入特权模式Firewall#。特权模式下可以进入配置模式,在6.x所有的配置都在一个全局模式下进行,7.x以后改成和IOS类似的全局配置模式和相应的子模式。通过exit,ctrl-z退回上级模式。 配置特性: 在原有命令前加no可以取消该命令。Show running-config 或者 write terminal显示当前配置,7.x后可以对show run 的命令输出进行搜索和过滤。Show running-config all显示所有配置,包含缺省配置。Tab可以用于命令补全,ctrl-l可以用于重新显示输入的命令(适用于还没有输入完命令被系统输出打乱的情况),help和history相同于IOS命令集。 Show命令支持 begin,include,exclude,grep 加正则表达式的方式对输出进行过滤和搜索。 Terminal width 命令用于修改终端屏幕显示宽度,缺省为80个字符,pager命令用于修改终端显示屏幕显示行数,缺省为24行,pager lines 0命令什么效果可以自己试试。 1.2 防火墙许可介绍 防火墙具有下列几种许可形式,通过使用show version命令可以看设备所支持的特性: Unrestricted (UR) 所有的限制仅限于设备自身的性能,也支持Failover Restricted (R) 防火墙的内存和允许使用的最多端口数有限制,不支持Failover Failover (FO) 不能单独使用的防火墙,只能用于Failover Failover-Active/Active (FO-AA) 只能和UR类型的防火墙一起使用,支持active/active failover 注:FWSM内置UR许可。 activation-key 命令用于升级设备的许可,该许可和设备的serial number有关(show version输出可以看到),6.x为16字节,7.x为20字节。 1.3 初始配置 跟路由器一样可以使用setup进行对话式的基本配置。 二、 配置连接性 2.1 配置接口 接口基础: 防火墙的接口都必须配置接口名称,接口IP地址和掩码(7.x开始支持IPv6)和安全等级。接口可以是物理接口也可以是逻辑接口(vlan),从6.3贾С?lt;/SPAN>trunk,但只支持802.1Q封装,不支持DTP协商。 接口基本配置: 注:对于FWSM所有的接口都为逻辑接口,名字也是vlan后面加上vlanid。例如FWSM位于6500的第三槽,配置三个接口,分别属于vlan 100,200,300. Switch(config)# firewall vlan-group 1 100,200,300 Switch(config)# firewall module 3 vlan-group 1 Switch(config)# exit Switch# session slot 3 processor 1 经过此配置后形成三个端口vlan100.vlan200,vlan300 PIX 6.x Firewall(config)# interface hardware-id [hardware-speed] [shutdown] (Hardware-id可以用show version命令看到) PIX 7.x Firewall(config)# interface hardware-id Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate} Firewall(config-if)# duplex {auto | full | half} Firewall(config-if)# [no] shutdown 命名接口 FWSM 2.x Firewall(config)# nameif vlan-id if_name securitylevel PIX 6.x Firewall(config)# nameif {hardware-id | vlan-id} if_name securitylevel PIX 7.x Firewall(config)# interface hardware_id[.subinterface] Firewall(config-if)# nameif if_name Firewall(config-if)# security-level level 注:Pix 7.x和FWSM 2.x开始支持不同接口有相同的security level,前提是全局配置模式下使用same-security-traffic permit inter-interface命令。 配置IP地址 静态地址:Firewall(config)# ip address if_name ip_address [netmask] 动态地址:Firewall(config)# ip address outside dhcp [setroute] [retry retry_cnt] 注:setroute参数可以同时获得来自DHCP服务器的缺省路由,再次输入此命令可以renew地址。 PPPOE:Firewall(config)# vpdn username JohnDoe password JDsecret Firewall(config)# vpdn group ISP1 localname JohnDoe Firewall(config)# vpdn group ISP1 ppp authentication chap Firewall(config)# vpdn group ISP1 request dialout pppoe Firewall(config)# ip address outside pppoe setroute 验证接口 Firewall# show ip IPv6地址配置(7.x新特性) 暂略 ARP配置 配置一个静态的ARP条目:Firewall(config)# arp if_name ip_address mac_address [alias] 配置timeout时间:Firewall(config)# arp timeout seconds 缺省为4小时 注:一般情况下使用clear arp会清除所有的ARP缓存,不能针对单个的条目,但是可以通过以下变通方法:配置一个静态的条目,映射有问题的ip为一个假的mac地址,然后no掉该命令就会重新建立一个arp条目。 MTU和分段 配置MTU:Firewall(config)# mtu if_name bytes 使用show mtu (6.3) 或者show running-config mtu (7.x)来验证 分段(fragment)的几个命令:限制等待重组的分段数Firewall(config)# fragment size database-limit [if_name] 限制每个包的分段数Firewall(config)# fragment chain chain-limit [if_name] 限制一个数据包分段到达的时间Firewall(config)# fragment timeout seconds [if_name] 配置接口的优先队列(7.x新特性) 暂略 2.2 配置路由 启用PRF防止地址欺骗 Firewall(config)# ip verify reverse-path interface if_name 配置静态路由Firewall(config)# route if_name ip_address netmask gateway_ip [metric] 配置RIP 被动听RIP更新(v1,v2)Firewall(config)# rip if_name passive [version 1] (Firewall(config)# rip if_name passive version 2 [authentication [text | md5 key (key_id)]]) 宣告该接口为缺省路由Firewall(config)# rip if_name default version [1 | 2 [authentication [text | md5 key key_id]] 配置OSPF 定义OSPF进程 Firewall(config)# router ospf pid 指定相应网络到OSPF区域 Firewall(config-router)# network ip_address netmask area area_id 可选:定义Router ID Firewall(config-router)# router-id ip_address 记录OSPF邻居状态更新 Firewall(config-router)# log-adj-changes [detail] 启用OSPF更新认证 Firewall(config-router)# area area_id authentication [message-digest]宣告缺省路由 Firewall(config-router)# default-information originate [always] [metric value] [metric-type {1 | 2}] [route-map name]调节OSPF参数 Firewall(config-router)# timers {spf spf_delay spf_holdtime |lsa-group-pacing seconds} 2.3 DHCP 配置成为DHCP Server: 配置地址池 Firewall(config)# dhcpd address ip1[-ip2] if_name (最多256个客户端) 配置DHCP参数 Firewall(config)# dhcpd dns dns1 [dns2] Firewall(config)# dhcpd wins wins1 [wins2] Firewall(config)# dhcpd domain domain_name Firewall(config)# dhcpd lease lease_length Firewall(config)# dhcpd ping_timeout timeout 启用DHCP服务 Firewall(config)# dhcpd enable if_name 验证:show dhcdp, show dhcpd bindings, show dhcpd statistics 配置DHCP中继: 定义真实DHCP Server Firewall(config)# dhcprelay server dhcp_server_ip server_ifc(最多4个) 中继参数Firewall(config)# dhcprelay timeout seconds Firewall(config)# dhcprelay setroute client_ifc 启用中继 Firewall(config)# dhcprelay enable client_ifc 验证 show dhcprelay statistics 2.4 组播的支持 暂略 三、 防火墙的管理 3.1 使用Security Context建立虚拟防火墙(7.x特性) 特性介绍:从PIX7.0和FWSM 2.2(1)开始,可以把物理的一个防火墙配置出多个虚拟的防火墙,每个防火墙称为context,这样一个防火墙就支持两种工作模式:single-context和multiple-context,处于后者工作模式的防火墙被分为三个功能模块:system execution space(虽然没有context的功能,但是是所有的基础),administrative context(被用来管理物理的防火墙) 和 user contexts(虚拟出来的防火墙,所有配置防火墙的命令都适用) 配置:首先使用show activation-key来验证是否有multiple-context的许可,然后通过mode multiple和mode single命令在这两个模式之间进行切换,当然也可以用show mode来验证现在工作在什么模式下。在不同context下进行切换使用Firewall# changeto {system | context name},由于所有的context的定义都必须在system execution space下,所以要首先使用changeto system转入该模式,Firewall(config)# context name 接着要把物理接口映射到context中 只要这样才能在相应的context下显示出物理接口,从而配置其属性 Firewall(config-ctx)# allocate-interface physical-interface [map-name] 最后定义context 的startup-config的存放位置Firewall(config-ctx)# config-url url  通过show context验证 注:当防火墙工作在multiple-context模式下,admin context就自动生成。(show context来验证) 由于所有的context都共享设备的资源,所以要限制各个context的资源分配 首先定义class Firewall(config)# class name 然后Firewall(config-class)# limit-resource all number% Firewall(config-class)# limit-resource [rate] resource_name number[%] 最后在相应的context配置下Firewall(config-ctx)# member class 通过以下命令验证 show class, show resource allocation, show resource usage等 注:缺省telnet,ssh,IPsec 5 sessions,MAC address 65535条目 3.2 管理Flash文件系统 6.x文件系统 只有六种文件可以保存到Flash,没有文件名只有代号,没有目录结构 0 OS镜像 1 启动文件 2 VPN和密匙证书 3 PDM镜像 4 崩溃信息 5 0的文件大小 show flashfs 显示flash文件 7.x和FWSM文件系统 7.x和FWSM更像IOS的文件系统,具有层级目录,要被格式化后才可以使用,7.x使用flash:/代表Flash文件系统,FWSM分别使用flash:/ (系统镜像)和disk:/(配置文件) 由于该系统使用类Unix的指令,所以可以使用下列常用命令来对该文件系统操作: dir pwd cd more delete copy rename mkdir rmdir format erase fsck(检查文件系统完整性) 6.x在Flash里面只能保存一个系统镜像,7.x则废除了此种限制通过使用Firewall(config)# boot system flash:filename来选取不同的系统镜像,show bootvar进行验证 OS升级 见附录 3.3 管理配置文件 7.0以后可以使用多个启动配置文件Firewall(config)# boot config url 显示启动配置文件Firewall# show startup-config Firewall# show configuration (6.x为show configure) 保存当前配置文件 write memory, copy running-config startup-config, write net [[server-ip-address]:[filename]] (7.x也支持copy至tftp) 强制standby同步当前配置文件 write standby 删除启动配置文件 write erase 合并启动配置文件为当前配置文件 configure memory 从Web导入配置文件configure http[s]://[user:password@]location[:port]/ http-pathname  (7.x支持copy自以上源) 合并配置文件自自动更新服务器 Firewall(config)# auto-update device-id {hardware-serial | hostname |  ipaddress [if_name] | mac-address [if_name] | string text} Firewall(config)# auto-update server http[s]://[username:password@]   AUSserver-IP-address[:port]/autoupdate/AutoUpdateServlet   [verify-certificate] 3.4 管理管理会话 Firewall(config)# console timeout minutes 配置console登录的超时(缺省0不超时) 禁止来自outside端口的telnet,启用telnet Firewall(config)# telnet ip_address netmask if_name   Firewall(config)# telnet timeout minutes  配置telnet超时 启用SSH配置 首先生成RSA密匙对 Firewall(config)# domain-name name Firewall(config)# ca generate rsa key [modulus] (7.x 使用crypto key generate rsa general-keys [modulus modulus]) Firewall(config)# ca save all (7.x自动保存) 使用show ca mypubkey rsa来验证(7.x show crypto key mypubkey rsa) ca zeroize rsa作废原有密匙对(7.x crypto key zeroize rsa default) 最后允许ssh会话 Firewall(config)# ssh ip_address netmask if_name ssh version命令可以选择ssh的版本,ssh timeout定义超时时间 PDM/ASDM配置 由于PDM存放位置固定,所以不需要指定镜像的位置,ASDM使用Firewall(config)# asdm image device:/path 来指定镜像位置,如果没有可以使用copy命令来安装。然后配置访问许可Firewall# http ip_address subnet_mask if_name 启用HTTP进程Firewall# http server enable 使用https://ip-address/admin来访问。 Banner配置 Firewall(config)# banner {exec | login | motd} text  对banner不能修改,只能用no来删除,或者clear banner来清除所有的banner(7.0 clear configure banner) 监控管理会话 who监控telnet会话 kill telnet-id来清除会话,show ssh sessions监控ssh会话,ssh disconnect session-id清除ssh会话,show pdm sessions监控pdm会话,pdm disconnect session-id清除pdm会话 3.5 系统重启和崩溃 通常使用reload命令重启系统,从7.0以后支持在特定的时间重启系统Firewall# reload at hh:mm [month day | day month] [max-hold-time {minutes | hhh:mm}] [noconfirm] [quick] [save-config] [reason text]或者经过一定的时间间隔后重启Firewall# reload in {minutes | hh:mm} [max-hold-time {minutes | hhh:mm}] [noconfirm] [quick] [save-config] [reason text] 启用崩溃信息生成 Firewall(config)# crashinfo save enable (7.0 no crashinfo save disable) show crashinfo 来看崩溃信息 clear crashinfo删除信息(FWSM使用crashdump) 3.6 SNMP支持 系统SNMP信息 Firewall(config)# snmp-server location string (contact string) SNMP访问许可 Firewall(config)# snmp-server host if_name ip_addr [poll | trap] Firewall(config)# snmp-server community key 四、 用户管理 4.1 一般用户管理 注:缺省情况下认证用户仅需要password,这样的一般用户缺省用户名就是enalbe_1,在ssh情况下缺省用户名就是pix,然后用password来认证。 非特权模式密码配置 Firewall(config)# {password | passwd} password [encrypted] (恢复缺省密码cisco 用clear {password | passwd}) 特权模式密码配置 Firewall(config)# enable password [pw] [level priv_level] [encrypted] 4.2 本地数据库管理用户 定义用户 Firewall(config)# username username [{nopassword | password password}   [encrypted]] privilege level 启用本地认证 Firewall(config)# aaa authentication {serial | telnet | ssh | http} console LOCAL 注:缺省情况特权模式密码使用enable password定义,这样用户通过认证后使用enable来进入特权模式,而不管用户初始什么等级的权限,所有用户使用相同的密码。这里也可以使用本地enable认证(aaa authentication enable console LOCAL),用户使用username password的密码来进入enable,用户enable密码独立从而增加安全性。 本地授权:Firewall(config)# aaa authorization command LOCAL 配置命令的特权等级:Firewall(config)# privilege {show | clear | configure} level level [mode {enable | configure}] command command 使用show privilege来看当前命令的特权等级(7.x使用show run all privilege) 4.3 使用AAA服务器来管理用户 定义AAA服务器组和协议 Firewall(config)# aaa-server server_tag protocol {tacacs+ | radius} (7.x还增加了kerberos,ldap,nt,sdi协议的支持) 加入服务器到组 Firewall(config)# aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds] 可选命令 定义服务器失败阀值 FWSM Firewall(config)# aaa-server server_tag max-attempts number PIX 6.x Firewall(config)# aaa-server server_tag max-failed-attempts number PIX 7.x Firewall(config-aaa-server-group)# max-failed-attempts number 定义统计策略(7.x特性) Firewall(config-aaa-server-group)# accounting-mode {single | simultaneous} 具体各协议参数配置暂略 4.4 配置AAA管理用户 启用鉴权 Firewall(config)# aaa authentication {serial | telnet | ssh | http} console   server_tag [LOCAL] 启用授权 Firewall(config)# aaa authorization command server_tag [LOCAL] 启用统计 Firewall(config)# aaa accounting command [privilege level] server_tag 注:AAA服务器配置略 4.5 配置AAA支持用户Cut-Through代理   4.6 密码恢复 五、 防火墙的访问控制 5.1 防火墙的透明模式 特性介绍:从PIX 7.0和FWSM 2.2开始防火墙可以支持透明的防火墙模式,接口不需要配置地址信息,工作在二层。只支持两个接口inside和outside,当然可以配置一个管理接口,但是管理接口不能用于处理用户流量,在多context模式下不能复用物理端口。由于连接的是同一地址段的网络,所以不支持NAT,虽然没有IP地址但是同样可以配置ACL来检查流量。 进入透明模式 Firewall(config)# firewall transparent (show firewall 来验证当前的工作模式,由于路由模式和透明模式工作方式不同,所以互相切换的时候会清除当前配置文件) 配置接口 Firewall(config)# interface hardware-id Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate} Firewall(config-if)# duplex {auto | full | half} Firewall(config-if)# [no] shutdown Firewall(config-if)# nameif if_name Firewall(config-if)# security-level level 注:不用配置IP地址信息,但是其它的属性还是要配置的,接口的安全等级一般要不一样,same-security-traffic permit inter-interface命令可以免除此限制。 配置管理地址 Firewall(config)# ip address ip_address subnet_mask Firewall(config)# route if_name foreign_network foreign_mask gateway [metric] MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表 Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间 Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目 Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证) ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目 Firewall(config)# arp-inspection if_name enable [flood | no-flood] 端口启用ARP检查 为非IP协议配置转发策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype} Firewall(config)# access-group acl_id {in | out} interface if_name 5.2 防火墙的路由模式和地址翻译 特性介绍:从高安全等级到低安全等级的访问称为outbound访问,需要配置地址翻译和outbound访问控制,PIX缺省情况下不用配置ACL就允许此类访问,FWSM则需要配置ACL来允许此类型的访问。而从低安全等级到高安全等级的访问称为inboud访问,也需要配置地址翻译和inboud访问控制,此类型必须配置ACL.同一安全等级的访问也可以配置地址翻译。 支持下列几种NAT类型 Translation Type Application Basic Command Direction in Which Connections Can Be Initiated Static NAT Real source addresses (and ports) are translated to mapped addresses (and ports) static Inbound or outbound Policy NAT Conditionally translates real source addresses (and ports) to mapped addresses static access-list Inbound or outbound Identity NAT No translation of real source addresses nat 0 Outbound only NAT exemption No translation of real source addresses matched by the access list nat 0 access-list Inbound or outbound Dynamic NAT Translates real source addre
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员

开通VIP      成为共赢上传
相似文档                                   自信AI助手自信AI助手

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:4009-655-100  投诉/维权电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服