端口cisco防火墙日常维护

一、 Cisco Pix日常维护常用命令

1、 Pi x模式介绍

“>”用户模式firewall>e nable 由用户模式进入到特权模式pas sword:

“#”特权模式firewall#config t 由特权模式进入全局配置模式

“config #”全局配置模式firewall(c onfig)#

防火墙的配置只要在全局模式下完成就可以了。

1、基本配置介绍

○1 、端口命名、设备命名、 IP地址配置及端口激活nameif ethernet0 outside s ecurity0 端口命名nameif gb-ethernet0 inside s ecurity 100

定义端口的名字以及安全级别 “outside”的安全级别默认为0 “inside”安全级别默认为

100及高安全级别的可以访问低安全级别的但低安全级别不能主动地到高安全级别。firewall(c onfig)#hostname firewall 设备名称firewall config #ip address outside 1.1.1.1255.255.255.0 内外口地址设置firewall config #ip address inside 172.16.1.1255.255.255.0firew all c onfig #interfac e ethernet0 100full 激活外端口firew all c onfig #interfac e gb-ethernet0 1000auto 激活内端口

○2 、 telnet、 s sh、web登陆配置及密码配置

防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的需要相应得开启功能。firewall config #telnet 192.168.10.0 255.255.255.0 inside允许内网此网断内的机器Telnet到防火墙

配置从外网远程登陆到防火墙

Firewall c onfig #domain-name cisc o.c omfirewall config #ca generate rsa key 800firewall c onfig #c a save allfirewall config #ssh 0.0.0.00.0.0.0 outside 允许外网所有地址可以远程登录防火墙也可以定义一格具体的地址可以从外网登陆到防火墙上如firewall config #ssh 218.240.6.81255.255.255.255 outsidefirewall config #enab le password cisco 由用户模式进入特权模式的口令firewall config #passrd cisco ssh远程登陆时用的口令firewall config #username Cisco password Cisco Web登陆时用到的用户名firew all c onfig #http enable 打开http允许内网10网断通过http访问防火墙firewall c onfig #http 192.168.10.0255.255.255.0 insidefirewall config #pdm enablefirewall config #pdm location 192.168.10.0255.255.255.0 insidew eb登陆方式 https://172.16.1.1

○3 、保证防火墙能上网还要有以下的配置firewall config #nat inside 1 0 0 对内部所有地址进行转换或如下配置对内部固定配置的地址进行转化未指定的不予转发

firewall config #nat (inside) 1 192.168.10.0255.255.255.0fierwall(c onfig)#nat (inside) 1 192.168.20.0255.255.255.0firewall (c onfig) #global (outside) 1 interfac e 对进行nat转换得地址转换为防火墙外接口地址firewall (config)#route 0.0.0.00.0.0.01.1.1.2 指一条默认路由器到 

做完上面的配置内网用户就可以上网了内部有层交换机且划分了  若要保证每个  都能够上网还要在防火墙上指回到其他 的路由如

Firewall (config)#route inside 192.168.20.0255.255.255.0 172.16.1.2

○4 、 内网服务器映射

如果在局域网内有服务器要发布到互联网上需要在PIX对内网服务器进行映射。服务器映射可以是一对一的映射也可以是端口映射一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。下面以发布内网一台WEB服务器来举例说明

Firewall(config)#static (inside,outside) tcp 222.128.124.1 80192.168.1.10080

上述命令便将内部的w eb服务器放到了公网上面但外面的用户并不能访问到 因为防火墙的外界口安全级别最低从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开如下

Firewall(config)#access-list outside permit tcp any host 222.128.124.1 eq 80

Firewall(c onfig)#acc es s-group outside in interfac e outside

必须将用access-group命令将访问控制列表应用到外端口上述完成后就可以从外网上来访问服务器了。

○5 、防火墙上常用的show命令

Firewall (config)#show interface查看所有端口的状态端口是否出于连接状态interface ethernet0"outside"is up, line protocol is up 端口和协议都出于“  ”状态正常。pixfirewall#show cpu usage 查看的使用情况如果的使用情况超过 是不正常的说明内部有对外占用了设备大量资源

CPU utilization for 5 seconds=1%; 1 minute: 1%; 5 minutes: 1%

如果内部有终端中毒或利用下载向网关送大量的数据包会导致防火墙只能来处理病毒机器的请求而无暇顾及正常流量导致正常用户不能上网要找到不正常终端可以利用show conn来查看

Firewall(config)#show conn

若用show conn查看到某个内部 到互联网上的链接特别多且都是高端口号的可以断定此机器是在下载然后可以通过在防火墙上的show arp命令查看到此计算机的地址在用上面交换机维护命令讲到的命令确认他连接在交换机的端口然后将此端口 shotdown或通过机房点位直接找到用户要求其停止否则会占用出口带宽和防火墙的资源。

Firewall(config)#show conn local 192.168.40.69 查看具体一个 地址的链接项Firewall(config)#show version 查看防火墙的硬件信息

Firewall(config)#show xlate 查看内部地址时否转换成外端口地址来上网Fierwall(config)#clear arp 清除表

Firewall(config)#clear xlate 清除内部所有地址的转换项 网络中断一下Firewall(config)#clear xlate local 192.168.40.69 清除内部具体一台机器的转换项Firewall(config)#show runnint-config 查看防火墙的当前配置文件

二、防火墙配置简介

1、 以前的防火墙的系统版本是6.3以下在这种版本里面不能用“tab”键补齐命令而且用“ ”来查询命令也很不方便

目前的ASA5500的系统版本为7.0以上和路由器的命令相同可以用“tab”键补齐命令可以用“ ”来查看参数、 同样也可以在全局模式用show命令。

防火墙的几种工作模式

用户模式如果您看到>那么现在代表是在用户模式下在用户模式下只有简单的命令可以操作。 由用户模式进入特权模式的命令为 enable

特权模式如果您看到当前的位置显示#那么您处于特权模式下在特权模式下用户可以查看所有信息而前可以进入全局配置模式对防火墙配置进行修改。由特权模式进入全局配置模式下的命令为 config t

全局配置模式 当您看到config #时表示现在处于全局配置模式可以对防火墙的设置进行修改。

在“>”、 “#”、 “config #”左侧显示的为设备的名称。

2、

1、防火墙接口配置

Pix配置

Pix>enab le 进入特权模式

Pix#config t 进入全局配置模式

Pix(config)#ip address outside 222.128.1.1 255.255.255.0 配置外接口地址

Pix(config)#ip address inside 1.1.1.1 255.255.255.0 配置内接口地址

Pix(c onfig)#interfac e ethernet0 auto 激活外端口

Pix(c onfig)#interfac e ethernet 1 auto 激活内端口 默认端口是出于shutdown状态的防火墙6.3以下系统默认将ethernet0端口做为外端口默认安全级别为0 ethernet 1作为内端口默认安全级别为100对于防火墙而言高安全级别的用户可以访问到低安全级别而由低安全级别主动发起的到高安全级别的链接是不允许的。

Pix系列产品默认只有两个端口及0和1  DMZ端口都是另外添加的模块 DMZ端口的默认安全级别50配置DMZ接口的地址和配置ins ide和outs ide类似

Pix(config)#ip address dmz 3.3.3.3255.255.255.0

Pix(c onfig)# interfac e gb-ethernet0 1000auto激活DMZ端口 DMZ的端口号需要您用showrunning-c onfig命令查看如

Pix(c onfig)#show running-c onfigsh run

:Saved

:

PIX Version 6.3(5)interfac e ethernet0 100fullinterfac e ethernet 1 autointerfac e gb-ethernet0 1000auto 新添加的DMZ端口

2、防火墙nat设置

2.1、 内网用户要上网我们必须对其进行地址转换将其转换为在公网上可以路由的注册地址

防火墙的nat和global是同时工作的 nat定义了我们要进行转换的地址而global定义了

要被转换为的地址这些配置都要在全局配置模式下完成

2.2、Nat配置如下

Pix(config)#nat (inside) 1 00

上面inside代表是要被转换得地址

1要和global后面的号对应类似于访问控制列表号也是从上往下执行

00代表全部匹配第一个0代表地址第二个0代表掩码 内部所有地址都回进行转换。

2.3、 Global配置

Pix c onfig #glob al outside 1 interfac e

Gobalb定义了内网将要被转换成的地址

Interfac e代表外端口的地址

当然如果您有更多的公网IP地址您也可以设置一个地址池上面一条也是必须的地址转换首先会用地址池内地址一旦地址被用完后会用到上面一条及外端口做转换上网。

Pix c onfig #glob al outside  222.128.1.100-222.128.1.254

 、防火墙路由设置

3.1、因为我们为末节网络所以对于我们来说路由比较简单只要将从防火墙过来的所有流量全部导向 就可以了具体到各个网站的路由在 那里会有。如果在我们的内部没有  划分那么我们之需要在防火墙上指一条向外出的路由就可以了如下Pix config #route outside 0.0.0.00.0.0.0222.128.1.2

Route outside代表是外出的路由

0.0.0.0代表目的地址及全部匹配

0.0.0.0代表子网掩码及全部匹配

1.1.1.2代表下一跳及和我们防火墙互联的I SP的地址

3.2、如果在我们的内部有好多VLAN划分那么我们需要往回指到各个Vlan的路由下一跳需要指向和我们防火墙直接相连的内网的地址比如在我们的内部有VLAN 2 1.1.1.0/24VLAN 3 3.3.3.0/24如果VLAN 2是和防火墙直接相连的那么我们不需要对VLAN 2回指路由因为他和防火墙在同一网段而VLAN 3没有和防火墙直接相连如果想让vlan 3也能上网我们就需要在防火墙上回指一条到vlan 3的路由如下

Pix config #route inside 3.3.3.0255.255.255.0 1.1.1.2

3.3.3.0255.255.255.0 目的网络及掩码

1.1.1.2下一跳及和防火墙相连的同一网段的vlan interfac e地址

4、服务器映射配置

4.1、如果在内网有一台w eb服务器需要向外提供服务那么需要在防火墙上映射公网地址多的情况下可以做一对一的映射如下

Pix config #static inside outside 222.128.100.100 1.1.1.50

如果只有一个公网地址那么可以做端口映射如下

Pix config #static inside outside tcp 222.128.100.100801.1.1.5080

4.2、映射完毕后还必须配置访问控制列表允许外部来访问映射的WEB服务器如下Pix config #access-list outside per tcp any host 222.128.100.100 eq 80

Pix config #acc ess-group outside in interfac e outside

其中“ac c es s-list”和“ac c ess-group”后面的outside为防问控制列表的名字 “ac c es s-group”最后的outs ide为端口名。

允许外面任意一台主机通过T CP的80端口访问到222.128.100.100这台主机下面还要把此条访问控制列表应用到outs ide接口上这样互联网上的用户才能访问到WEB服务器。

如果有多条地址映射请重复上述操作。

5、 图形界面登陆设置和用户名密码添加

Pix c onfig #pdm history enable

Pix(config)#pdm location 1.1.1.0255.255.255.0 inside

Pix(config)#http server enable

Pix(config)#http 1.1.1.1255.255.255.0 inside

Pix(config)#username cisco password cisco cisco为用户名和密码

上述配置完毕后您就可以通过图形界面来登陆登陆方式 http s://1.1.1.1

如果要打开外网图形界面配置如下

Pix config #http loc ation 0.0.0.00.0.0.0 outside

外网所有的地址都可以通过图形界面来登陆防火墙如果知道用户名和密码。

当然我们也可以定义特定的一台多多台可以通过图形界面登陆防火墙只要将网段改为特定的地址就可以了。

6、防火墙密码

Pix config #enable password cisco 设置进入enable的密码

Pix config #passwdcisco ssh登陆是第一次输入的密码

7、防火墙内网Telnet和外网S SH登陆设置

Telnet Configuration

Pix config #telnet 1.1.1.0255.255.255.0 inside允许内网1.1.1.0telnet防火墙

Pix(config)#telnet timeout 1 1分钟未作任何操作后超时退出

S SH Configuration

通过外网不能用Telnet防火墙必须用SSH加密方式在配置SS H之前要先定义一个domain-name然后再生成一个key如下

Pix c onfig #domain-name cisc o.c om

Pix config #ca generate rsa key 800

Pix config #ca save all

Pix config #ssh 0.0.0.00.0.0.0 outside

SSH也可以定义外网特定的一台主机或固定的一段地址可以来远程登陆。

8、防火墙DHCP配置

Pixconfig#dhcpd address 1.1.1.200-1.1.1.254 inside定义地址池并在inside接口开启DHCP功能

Pix config #dhcpd dns 202.106.196.115202.106.0.20 定义给客户分发的DNS

Pix config #dhcpd enable inside打开DHCP功能

9、如何修改已存在的访问控制列表

比如我们在内接口上定义了一些访问控制列表如下

Pix config #access-list inside deny ip host 1.1.1.100 any

Pix config #access-list inside permit tcp any any range 1 1024

Pix config #access-list inside permit ucp any any range 1.1024

Pix config #access-list inside permit tcp any any eq 1863

Pix config #access-group inside in interface inside

上面是我已经在内接口存在的访问控制列表我拒绝了1.1.1.100到外面所有而其他的用户只能访问外面的TCP和UDP的1—1024的端口以及TCP的1863端口 msn如果我还希望在拒绝IP地址为1.1.1.101的主机到外面所有的那么我必须将deny 1.1.1.101的访问控制列表写到access-list inside permit tcp any any range 1 1024列表的上面 因为访问控制

列表是从上往下执行如果将deny 1.1.1.101的访问控制列表放在access-list inside permit tcpany any eq 1863下面那么对于1.1.1.101的限制将不能生效可以按照下面步骤操作

1、先用show access-list命令查看访问控制列表

Pix(config)#show access-listaccess-list inside line 1 deny ip host 1.1.1.100 any (hitcnt=100000)access-list inside line 2 permit tcp any any range 1 1024 (hitcnt=8000000)access-list inside line 3 permit udp any any range 1 1024 (hitcnt=100000)access-list inside line 4 permit udp any any eq 1863 (hitcnt=8000)

2、将deny 1.1.1.101的列表插入格式如下

Pix(config)#access-list inside line 1 deny ip host 1.1.1.101 any

做完后在用show running-c onfig可以看到在访问控制列表位置第一行已经多了一条显示结果如下

Pix c onfig #show runaccess-list inside deny ip host 1.1.1.101 anyaccess-list inside deny ip host 1.1.1.100 anyaccess-list inside permit tcp any any range 1 1024access-list inside permit ucp any any range 1.1024access-list inside permit tcp any any eq 1863

三、 AS A5500端口配置

对于AS A5500系列来说您定义的参数要多一些 以AS A5520来举例。 asa5500系列中asa5505有8个端口全部是二层接口需要划分Vlan然后再vlan接口下配置地址及端口名其他配置都一样

AS A5520默认就有4个Gigabit Ethernet 0-4和1个百兆的带外管理接口 此接口下默认有有IP地址并在此接口下有DHCP功能开启一个扩展插槽可以可安装IPS模块或防病毒模块。

1、端口配置

ASA5520的4个端口默认没有定义端口名您需要手动的添加我们还以0端口为外接口1为内接口 2为D MZ口说明

As a5520>enab le 进入特权模式

Pas swrod: 默认情况下这里会提示让您输入密码其实没有密码直接回车就可以。Asa5520#config t进入全局配置模式

Asa5520(c onfig)#interfac e Gigab itEthernet0/0

Asa5520(config-if)#name-if outside定义端口名字您将此端口设置为外端口是他的安全级别会自动为

Asa5520(config-if)#ip address 222.128.1.1255.255.255.0定义地址

Asa5520(c onfig)#interfac e gigabitethernet0/1

Asa5520(config-if)#name-if ins ide 定义端口名字您将此端口设置为内端口是他的安全级别会自动为100

Asa5520(config-if)#ip address 1.1.1.1255.255.255.0定义地址

2、 图形界面登陆设置

Asa5500系列配置图形界面与pix有一点不同 pix图形界面管理调用的PDM而asa是调用ASDM。

Asa5520 c onfig #asdm image disk0:/asdm-507.bin 调用ASDM软件默认好像有。

As a5520 c onfig #http 1.11.0255.255.255.0 ins ide

其他不管是从外网登陆或通过telnet、 ssh、登陆asa的配置都是一样的。

AS A5500系列防火墙的地址映射、路由指向、密码设置、DHCP配置、访问控制列表设置和Pix系列防火墙的配置是一样。请参考上面设置。