cisco防火墙配置的基本配置
cisco防火墙配置 -基本配置
1、建立用户
建立用户和修改密码跟CiscoIOS路由器基本一样。
2、激活
激活以太端口必须用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#configt
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1auto
在默认情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,
inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
3、命名端口
采用命令nameif
PIX525(config)#nameifethernet0outsidesecurity0
security100
security0是外部端口outside的安全级别(100安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(DemilitarizedZones非武装区域)。
4、配置地址
采用命令为:ipaddress
如:内部网络为:192.168.1.0255.255.255.0
外部网络为:222.20.16.0255.255.255.0
PIX525(config)#ipaddressinside192.168.1.1255.255.255.0
PIX525(config)#ipaddressoutside222.20.16.1255.255.255.0
5、配置远程
在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet192.168.1.1255.255.255.0inside
PIX525(config)#telnet222.20.16.1255.255.255.0outside
6、测试telnet
在[开始]->[运行]
telnet192.168.1.1
PIXpasswd:
输入密码:cisco
7、访问列表
此功能与CiscoIOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80
PIX525(config)#access-list100permitipanyhost222.20.16.254eqwww
denyipanyany
PIX525(config)#access-group100ininterfaceoutside
8、地址转换
NAT跟路由器基本是一样的,
首先必须定义IPPool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
PIX525(config)#nat(outside)1192.168.0.0255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat(outside)10.0.0.00.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
PIX525(config)#global(outside)1222.20.16.201netmask
255.255.255.0
PIX525(config)#nat(outside)10.0.0.00.0.0.0
9、DHCP
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCPServer),CiscoFirewallPIX都具有这种功能,下面简单配置DHCPServer,地址段为192.168.1.100—192.168.1.200
DNS:主202.96.128.68备202.96.144.47
主域名称:
DHCPClient通过PIXFirewall
PIX525(config)#ipaddressdhcp
DHCPServer配置
PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcpdns202.96.128.68202.96.144.47
PIX525(config)#dhcpdomain
10、静态端口
静态端口重定向(PortRedirectionwithStatics)
在PIX版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过FirewallPIX
传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99
telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。
PIX525(config)#static(inside,outside)tcp222.20.16.99
telnet192.168.1.99telnetnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.99
FTP,通过PIX重定向到内部192.168.1.3的FTPServer。
PIX525(config)#static(inside,outside)tcp222.20.16.99
ftp192.168.1.3ftpnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.208
www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。
www192.168.1.2wwwnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.201
HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
8080192.168.1.4wwwnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.5
smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
smtp192.168.1.4smtpnetmask255.255.255.25500
11、显示保存
显示命令showconfig
保存命令writememory
cisco防火墙端口开启
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。
cisco防火墙配置的基本配置是什么?
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
使用命令:
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
配置网络接口的IP地址
指定公网地址范围:定义地址池。
Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
cisco防火墙配置的如何配置
我想应该是跟Cisco路由器使用差不多吧,于是用配置线从电脑的COM2连到PIX 525的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默认。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。
进入Pix 525采用超级用户(enable),默然密码为空,修改密码用passwd命令。一般情况下Firewall配置,我们需要做些什么呢?当时第一次接触我也不知道该做些什么,随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用,用于几个小时把几百面的英文书看完了,对命令的使用的知道了一点了,但是对如何配置PIX还是不大清楚该从何入手,我想现在只能去找cisco了,于是在官网下载了一些资料,边看边实践了PIX。
防火墙是处网络系统里,因此它跟网络的结构密切相关,一般会涉及的有Router(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。
CISCO防火墙配置及详细介绍
在众多的企业级主流防火墙中,cisco pix防火墙是所有同类产品性能最好的一种。cisco pix系列防火墙目前有5种型号pix506,515,520,525,535。其中pix535是pix 500系列中最新,功能也是最强大的一款。它可以提供运营商级别的处理能力,适用于大型的isp等服务提供商。但是pix特有的os操作系统,使得大多数管理是通过命令行来实现的,不象其他同类的防火墙通过web管理界面来进行网络管理,这样会给初学者带来不便。本文将通过实例介绍如何配置cisco pix防火墙。
在配置pix防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
CISCO系列防火墙具体配置过程(最好有插图)
拓扑:
2821----->asa5510------>3750
asa配置:
: Saved
: Written by jat 10:01:17.584 UTC Tue Sep 14 2010
!
ASA Version 7.0(8)
!
hostname 5510
domain-name j
enable password uVAaGrfDUqoaIa/I encrypted
passwd uVAaGrfDUqoaIa/I encrypted
names
dns-guard
!
interface Ethernet0/0
description ***** TO R2821 *****
nameif outside
security-level 0
ip address 19.20.18.2 255.255.255.0
!
interface Ethernet0/1
description ***** TO SW3750 *****
duplex full
nameif inside
security-level 100
ip address 192.168.88.2 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.77.77 255.255.255.0
management-only
!
ftp mode passive
access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit icmp any any
access-list outside_access_in extended permit ip any any
access-list outside_access_in_v1 extended permit ip any any
access-list outside_access_in_v1 extended permit tcp any any
access-list outside_access_in_v1 extended permit udp any any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (outside) 1 19.20.18.10-19.20.18.199 netmask 255.255.255.0
nat (inside) 1 192.168.1.0 255.255.255.0
static (inside,outside) 19.20.18.200 192.168.1.200 netmask 255.255.255.255
static (inside,outside) 19.20.18.201 192.168.1.201 netmask 255.255.255.255
static (inside,outside) 19.20.18.202 192.168.1.202 netmask 255.255.255.255
access-group outside_access_in_v1 in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 19.20.18.1 1
route inside 192.168.1.0 255.255.255.0 192.168.88.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username j password OElq7/irZ5mjd9C8 encrypted
aaa authentication enable console LOCAL
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 0.0.0.0 0.0.0.0 outside
telnet 0.0.0.0 0.0.0.0 inside
telnet 192.168.1.0 255.255.255.0 management
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
Cryptochecksum:7607a0236624b572da3200fa6420b0c9
: end
思科防火墙怎样配置WEB界面
思科防火墙telnet、ssh、web登陆配置及密码配置,相关命令如下:
防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的,需要相应得开启功能。
1、firewall(config)#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet到防火墙
2、配置从外网远程登陆到防火墙
Firewall(config)#domain-name cisco.com
firewall(config)# crypto key generate rsa
firewall(config)#ssh 0.0.0.0 0.0.0.0 outside
3、允许外网所有地址可以远程登录防火墙,也可以定义一格具体的地址可以从外网登陆到防火墙上,如:
firewall(config)#ssh 218.240.6.81 255.255.255.255 outside
firewall(config)#enable password cisco
4、由用户模式进入特权模式的口令
firewall(config)#passrd cisco
5、ssh远程登陆时用的口令
firewall(config)#username Cisco password Cisco
6、Web登陆时用到的用户名
firewall(config)#http enable
7、打开http允许内网10网断通过http访问防火墙
firewall(config)#http 192.168.10.0 255.255.255.0 inside
firewall(config)#pdm enable
firewall(config)#pdm location 192.168.10.0 255.255.255.0 inside
8、web登陆方式:https://172.16.1.1
如何读取cisco防火墙的配置,我需要先读出来保存。
我写出来,看看是那些是你需要的,都是在特权模式下的:
显示运行配置文件:show running-config
从服务器上读取运行配置文件:copy tftp:running-config
从服务器上读取启动配置文件:copy tftp:startup-config
一般都是这样,从服务器上读取运行配置文件,然后保存:
首先:copy tftp:running-config 或者copy ftp:running-config
然后:copy running-config startup-config
cisco防火墙配置
朋友你好,结合你给点拓扑,我给你写了个pix的基本配置,pix的版本是7.21:
pix#sh run
: Saved
:
PIX Version 7.2(1)
!
hostname pix
domain-name rtp.cisco.com
enable password ×××× encrypted //这个是设置的enable密码
names
!
interface Ethernet0
nameif outside
security-level 0
ip address ×××× //这个是你外网的ip地址哈
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.254 255.255.255.0 //内网接口的ip,看你的拓扑,这个应该作为终端的默认网关
!
interface Ethernet2
nameif dmz
security-level 50
ip address 172.16.1.254 255.255.255.0 //www服务器的ip地址
!
passwd ×××× encrypted //这个是telnet用的密码哈
dns server-group DefaultDNS
domain-name ×.com
telnet 192.168.1.1 255.255.255.255 inside //指定你拓扑上的那台网管pc以开启telnet访问
http 192.168.1.1 255.255.255.255 inside //如果要使用asdm就要开启这个
access-list NAT extend permit 192.168.1.0 255.255.255.0 any
nat (inside) 1 access-list NAT
global (outside) 1 interface //这里的启用NAT过载是内网全部NAT翻译成这个外网接口的ip
global (dmz) 1 172.16.1.0-172.16.1.253 netmask 255.255.255.0
static (dmz,outside) tcp interface www 172.16.1.254 //将dmz区的www服务器对外开放
route outside 0 0 ×××× //isp给你们的公网默认网关
如果需要进一步帮助,欢迎跟帖讨论哈。因为不知道具体你期望实现的功能,比如是否要启用vpn等,所以就只能先给你这个基本的、常用的配置哈。
希望对你有用。
祝你好运。