思科防火墙登陆及设置过程
一、防火墙登陆过程telnet 192.168.0.1
输入:123
用户名:en
密码:srmcisco
Conf t
Show run
二、公网IP与内网IP映射:
static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0
三、再打开端口:输入以下一笔命今如
access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端口) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端口) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端口)
四、登出防火墙:logout
五、增加上网电脑
1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0(上网电脑IP地址)
2、arp inside 192.168.0.188 000f.eafa.645d alias(绑定上网电脑网卡MAC地址)
六、取消上网电脑
1、no nat (inside) 1 192.168.0.188 255.255.255.255 0 0(上网电脑IP地址)
2、no arp inside 192.168.0.188 000f.eafa.645d alias(绑定上网电脑网卡MAC地址)
七、增加可以远程控制防火墙电脑telnet 192.168.0.188 255.255.255.255 inside
八、保存已做改动设置
wr me
九、以下为现存防火墙配置。
以下每行即为一行命今,如果不见可以从以下黑体字中COPY,进入后粘添,然后保存即可。
User Access V erification
Password:
Type help or '?' for a list of available commands.
pix515> conf t
Type help or '?' for a list of available commands.
pix515> en
Password:
Invalid password
Password: ********
pix515# conf t
pix515(config)# show run
: Saved
:
PIX V ersion 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password gzE5ZoPZ4Fffph7. encrypted
passwd PLBb27eKLE1o9FTB encrypted
hostname pix515
domain-name https://www.sodocs.net/doc/2014591770.html,
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list acl-out permit ip any any
access-list acl-out permit tcp any host 61.142.114.180 eq pop3 access-list acl-out permit tcp any host 61.142.114.180 eq smtp access-list acl-out permit tcp any host 61.142.114.181 eq ftp access-list acl-out deny tcp any any eq 135
access-list acl-out deny udp any any eq 135
access-list acl-out deny udp any any eq 139
access-list acl-out deny tcp any any eq netbios-ssn
access-list acl-out deny tcp any any eq 445
access-list acl-out deny udp any any eq 445
access-list acl-out deny udp any any eq 593
access-list acl-out deny tcp any any eq 593
access-list acl-out deny tcp any any eq 5554
access-list acl-out deny udp any any eq 5554
access-list acl-out deny udp any any eq 5445
access-list acl-out deny tcp any any eq 5445
access-list acl-out deny tcp any any eq 9996
access-list acl-out deny icmp any any
access-list acl-out permit tcp any host 61.142.114.180 eq www access-list acl-out permit tcp any host 61.142.114.179 eq www access-list acl-out permit tcp any host 61.142.114.182 eq www access-list acl-out permit tcp any host 61.142.114.181 eq www access-list acl-out permit tcp any host 61.142.114.182 eq 5800 access-list acl-out permit tcp any host 61.142.114.182 eq 5900 access-list acl-out permit tcp any host 61.142.114.182 eq 1433 access-list acl-in deny icmp any any
access-list acl-in permit tcp any host 61.142.114.180 eq pop3 access-list acl-in permit tcp any host 61.142.114.180 eq smtp access-list acl-in permit tcp any host 61.142.114.180 eq www access-list acl-in permit tcp any host 61.142.114.179 eq www access-list acl-in permit tcp any host 61.142.114.182 eq www access-list acl-in permit tcp any host 61.142.114.181 eq www access-list acl-in permit tcp any host 61.142.114.181 eq ftp access-list acl-in permit tcp any host 61.142.114.182 eq 1433 access-list acl-in permit tcp any host 61.142.114.182 eq 5900 access-list acl-in permit tcp any host 61.142.114.182 eq 5800 pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 61.142.114.178 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp inside 192.168.1.253 0040.d080.57ad alias
arp inside 192.168.9.242 0006.1bd8.bb7b alias
arp inside 192.168.0.242 0006.1bd8.bb7b alias
arp inside 192.168.1.141 0006.1bc1.0ac8 alias
arp inside 192.168.9.6 000f.3d80.e85a alias
arp inside 192.168.1.225 0040.d080.57ad alias
arp inside 192.168.9.145 000f.ea0d.6d3b alias
arp inside 192.168.7.168 0014.8522.6f31 alias
arp inside 192.168.8.153 0011.430e.031c alias
arp inside 192.168.9.126 0002.2ef2.7340 alias
arp inside 192.168.0.14 0003.9988.5d32 alias
arp inside 192.168.3.11 0050.ba11.7dc4 alias arp inside 192.168.2.18 000f.ea25.1b36 alias arp inside 192.168.5.32 000f.ea0d.780e alias arp inside 192.168.2.6 0011.1124.098d alias arp inside 192.168.1.34 0040.0546.90f0 alias arp inside 192.168.5.5 0040.0545.6663 alias arp inside 192.168.0.108 0040.0546.9df3 alias arp inside 192.168.0.253 0002.55aa.7111 alias arp inside 192.168.7.13 0004.7966.acd0 alias arp inside 192.168.7.18 0050.ba11.7e19 alias arp inside 192.168.7.57 0040.0512.b50e alias arp inside 192.168.7.64 000f.ea07.9f46 alias arp inside 192.168.3.25 000f.3d81.6694 alias arp inside 192.168.5.27 000d.8849.3478 alias arp inside 192.168.9.9 000f.ea66.180d alias arp inside 192.168.2.12 0040.0543.bfc4 alias arp inside 192.168.2.10 000d.619c.5715 alias arp inside 192.168.7.8 0003.9988.3050 alias arp inside 192.168.7.11 000c.7641.3cf1 alias arp inside 192.168.7.10 000f.ea13.4eb7 alias arp inside 192.168.7.61 000d.884a.f2bf alias arp inside 192.168.7.58 000f.ea21.de1b alias arp inside 192.168.8.108 0004.0543.c046 alias arp inside 192.168.7.30 0040.0513.2a5c alias arp inside 192.168.8.109 000a.e420.6350 alias arp inside 192.168.0.10 0040.0543.6a2c alias arp inside 192.168.0.169 0050.ba11.7896 alias arp inside 192.168.5.35 0010.5a22.e60f alias arp inside 192.168.5.34 000f.ea0f.3b96 alias arp inside 192.168.0.188 000f.eafa.645d alias arp inside 192.168.0.118 0010.5a22.d7d5 alias arp inside 192.168.2.21 000f.eafa.5686 alias arp inside 192.168.0.5 000d.619d.e900 alias arp inside 192.168.2.11 000d.6193.be78 alias arp inside 192.168.1.123 000f.eac9.e1f6 alias arp inside 192.168.5.168 000f.eafb.55d4 alias arp inside 192.168.0.199 0011.1124.098d alias arp inside 192.168.0.249 000d.619d.e617 alias arp inside 192.168.0.233 000f.ea66.17c6 alias arp inside 192.168.0.182 000d.619c.5715 alias arp inside 192.168.1.133 0014.8522.7827 alias arp inside 192.168.0.201 0006.1bd3.68eb alias arp inside 192.168.6.5 0002.2ef4.9713 alias
arp inside 192.168.0.161 0014.8580.9341 alias arp inside 192.168.9.125 000f.3d81.6694 alias arp inside 192.168.9.84 000f.ea0f.3b96 alias
arp inside 192.168.0.234 00c0.9fdf.48b5 alias arp inside 192.168.9.201 0006.1bd3.68eb alias arp inside 192.168.7.63 0014.8524.9545 alias
arp inside 192.168.9.168 0040.0547.0b8d alias arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.0.5 255.255.255.255 0 0 nat (inside) 1 192.168.0.14 255.255.255.255 0 0 nat (inside) 1 192.168.0.16 255.255.255.255 0 0 nat (inside) 1 192.168.0.56 255.255.255.255 0 0 nat (inside) 1 192.168.0.108 255.255.255.255 0 0 nat (inside) 1 192.168.0.118 255.255.255.255 0 0 nat (inside) 1 192.168.0.161 255.255.255.255 0 0 nat (inside) 1 192.168.0.169 255.255.255.255 0 0 nat (inside) 1 192.168.0.182 255.255.255.255 0 0 nat (inside) 1 192.168.0.188 255.255.255.255 0 0 nat (inside) 1 192.168.0.199 255.255.255.255 0 0 nat (inside) 1 192.168.0.201 255.255.255.255 0 0 nat (inside) 1 192.168.0.233 255.255.255.255 0 0 nat (inside) 1 192.168.0.234 255.255.255.255 0 0 nat (inside) 1 192.168.0.242 255.255.255.255 0 0 nat (inside) 1 192.168.0.249 255.255.255.255 0 0 nat (inside) 1 192.168.0.253 255.255.255.255 0 0 nat (inside) 1 192.168.1.34 255.255.255.255 0 0 nat (inside) 1 192.168.1.123 255.255.255.255 0 0 nat (inside) 1 192.168.1.133 255.255.255.255 0 0 nat (inside) 1 192.168.1.141 255.255.255.255 0 0 nat (inside) 1 192.168.1.225 255.255.255.255 0 0 nat (inside) 1 192.168.1.243 255.255.255.255 0 0 nat (inside) 1 192.168.1.253 255.255.255.255 0 0 nat (inside) 1 192.168.2.6 255.255.255.255 0 0 nat (inside) 1 192.168.2.11 255.255.255.255 0 0 nat (inside) 1 192.168.2.12 255.255.255.255 0 0 nat (inside) 1 192.168.2.18 255.255.255.255 0 0 nat (inside) 1 192.168.2.21 255.255.255.255 0 0 nat (inside) 1 192.168.5.27 255.255.255.255 0 0 nat (inside) 1 192.168.5.32 255.255.255.255 0 0 nat (inside) 1 192.168.5.34 255.255.255.255 0 0 nat (inside) 1 192.168.5.35 255.255.255.255 0 0 nat (inside) 1 192.168.5.168 255.255.255.255 0 0
nat (inside) 1 192.168.6.5 255.255.255.255 0 0
nat (inside) 1 192.168.7.8 255.255.255.255 0 0
nat (inside) 1 192.168.7.10 255.255.255.255 0 0
nat (inside) 1 192.168.7.11 255.255.255.255 0 0
nat (inside) 1 192.168.7.13 255.255.255.255 0 0
nat (inside) 1 192.168.7.18 255.255.255.255 0 0
nat (inside) 1 192.168.7.30 255.255.255.255 0 0
nat (inside) 1 192.168.7.57 255.255.255.255 0 0
nat (inside) 1 192.168.7.58 255.255.255.255 0 0
nat (inside) 1 192.168.7.60 255.255.255.255 0 0
nat (inside) 1 192.168.7.61 255.255.255.255 0 0
nat (inside) 1 192.168.7.63 255.255.255.255 0 0
nat (inside) 1 192.168.7.64 255.255.255.255 0 0
nat (inside) 1 192.168.7.168 255.255.255.255 0 0
nat (inside) 1 192.168.8.108 255.255.255.255 0 0
nat (inside) 1 192.168.8.109 255.255.255.255 0 0
nat (inside) 1 192.168.8.153 255.255.255.255 0 0
nat (inside) 1 192.168.9.6 255.255.255.255 0 0
nat (inside) 1 192.168.9.9 255.255.255.255 0 0
nat (inside) 1 192.168.9.84 255.255.255.255 0 0
nat (inside) 1 192.168.9.125 255.255.255.255 0 0
nat (inside) 1 192.168.9.126 255.255.255.255 0 0
nat (inside) 1 192.168.9.145 255.255.255.255 0 0
nat (inside) 1 192.168.9.168 255.255.255.255 0 0
nat (inside) 1 192.168.9.201 255.255.255.255 0 0
nat (inside) 1 192.168.9.242 255.255.255.255 0 0
static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0 static (inside,outside) 61.142.114.179 192.168.0.100 netmask 255.255.255.255 0 0
static (inside,outside) 61.142.114.181 192.168.0.251 netmask 255.255.255.255 0 0
static (inside,outside) 61.142.114.182 192.168.0.136 netmask 255.255.255.255 0 0
access-group acl-in in interface outside
access-group acl-out in interface inside
route outside 0.0.0.0 0.0.0.0 61.142.114.177 1
route inside 192.168.0.0 255.255.240.0 192.168.0.202 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 192.168.0.108 255.255.255.255 inside
telnet 192.168.0.188 255.255.255.255 inside
telnet 192.168.0.169 255.255.255.255 inside
telnet timeout 30
ssh timeout 5
console timeout 0
username computer password hhZS66xDnl.zVXQb encrypted privilege 2 terminal width 80
Cryptochecksum:ca453c5b679c44ffcac4a76f3e21910e
: end
pix515(config)#
十、修改进入密码
pass (加要休改的密码)
* 所有操作后请保存。
Cisco ASA配置
Cisco ASA配置 思科防火墙ASA5520配置 思科防火墙ASA5520配置: 目的:1、内网可以上网 2、内网可以访问DMZ区域的服务器 3、外网可以通过公网IP访问DMZ区域的服务器 要求:1、内网的网段192.168.10.0 2、DMZ的网段192.168.5.0 3、外网IP地址:200.200.200.82 200.200.200.83 网关255.255.255.248(这个地址一般是运营商提供) 4、外网路由:200.200.200.81 5、DMZ区域的服务器IP地址:192.168.5.2 步骤1:配置接口inside、outside和dmz interface g0/0 speed auto duplex auto nameif inside Security-level 100 ip address 192.168.10.1 255.255.255.0 no shut exit interface g0/1 speed auto duplex auto nameif outside Security-level 0 ip address 200.200.200.82 255.255.255.248 no shut exit interface g0/2 speed auto duplex auto nameif dmz Security-level 50 ip address 192.168.5.1 255.255.255.0 no shut exit 步骤2、添加外网路由 route outside 0 0 200.200.200.81
Cisco ASA5505防火墙详细配置教程及实际配置案例
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
Cisco ASA 5500防火墙个人基本配置手册
Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区,Security-Level:0,接Router F0/0;ASA 防火墙eth1接口定义为insdie 区,Security-Level:100,接Switch 的上联口;ASA 防火墙Eth2接口定义为DMZ 区,Security-Level:60,接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ,即Switch 能够ping 通Router 的F0/0(202.100.10.2);dmz 区能够访问outside ,即Mail Server 能够ping 通Router 的F0/0(202.100.10.2); outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口(110)、smtp 端口(25). 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供
四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供
CISCO+ASA+5520配置手册
CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能
cisco防火墙配置的基本配置
cisco防火墙配置的基本配置 1、nameif 设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。 使用命令: PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态,常见状态有:auto、100full、shutdown。 auto:设置网卡工作在自适应状态。 100full:设置网卡工作在100Mbit/s,全双工状态。 shutdown:设置网卡接口关闭,否则为激活。 命令: PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围:定义地址池。 Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address:表示一段ip地址范围。 [netmarkglobal_mask]:表示全局ip地址的网络掩码。 5、nat 地址转换命令,将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法: route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译,使内部地址与外部地址一一对应。 语法: static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法: conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
CiscoASAFailover防火墙冗余
Failover Failover是思科防火墙一种高可用技术,能在防火墙发生故障时数秒内转移配置到另一台设备,使网络保持畅通,达到设备级冗余的目的。 原理 前提需要两台设备型号一样(型号、内存、接口等),通过一条链路连接到对端(这个连接也叫)。该技术用到的两台设备分为Active设备(Primary)和Stanby设备(Secondary),这种冗余也可以叫AS模式。活跃机器处于在线工作状态,备用处于实时监控活跃设备是否正常。当主用设备发生故障后(接口down,设备断电),备用设备可及时替换,替换为Avtive的角色。Failover启用后,Primary 设备会同步配置文件文件到Secondary设备,这个时候也不能在Scondary添加配置,配置必须在Active进行。远程管理Failover设备时,登录的始终是active设备这一点一定要注意,可以通过命令(show failover)查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步,比如NAT转换需要再次建立。 配置Active设备: interface Ethernet0 nameif outside security-level 0 ip address standby //standby为备份设备地址
interface Ethernet1 nameif inside security-level 100 ip address standby ASA1(config)# failover lan unit primary //指定设备的角色主 ASA1(config)# failover lan interface failover Ethernet2 //Failover接口名,可自定义 ASA1(config)# failover link Fover Ethernet2//状态信息同步接口ASA1(config)# failover interface ip failover stan //配置Failover IP地址,该网段可使用私网地址 ASA1(config)# failover lan key xxxx //配置Failover 认证对端 ASA1(config)# failover //启用Failover;注意,此命令一定要先在Active上输入,否则会引起配置拷错; 将一个接口指定为failover 接口后,再show inter 的时候,该接口就显示为:interface Ethernet3 description LAN Failover Interface //确保接口up 配置standby设备: ASA2(config)# inte Ethernet3 ASA2(configif)# no shutdown ASA2(configif)# exit
思科ASA防火墙ASDM安装和配置
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.sodocs.net/doc/2014591770.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
防火墙技术报告.
一、摘要 随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大,所以网络的安全问题也是现在注重考虑的问题。本文介绍网络安全可行的解决方案——防火墙技术,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施,它实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用它阻止保密信息从受保护网络上被非法输出。 关键词:防火墙网络安全外部网络内部网络
二、防火墙技术 1、什么是防火墙 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet 上的人也无法和公司内部的人进行通信。 2、防火墙的类型和各个类型的特点及原理 防火墙的类型有个人防火墙、网络层防火墙、应用层防火墙。 2.1、个人防火墙 个人防火墙是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的free ZoneAlarm 等,都能帮助您对系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在使用时十分方便及实用。 2.2、网络层防火墙 网络层防火墙可视为一种IP 封包过滤器,运作在底层的TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
cisco防火墙作用有哪些
cisco防火墙作用有哪些 cisco防火墙作用介绍一: cisco ios 防火墙为每一个网络周边集成了稳健的放火墙功能性和入侵检测,丰富了cisco软件的安全功能。 cisco防火墙作用介绍二: 1个管理口-mgmt 该接口用做带外管理。 1个console口,调试口 1个aux,辅助调试口 2个usb,扩展usbflash 4个千兆口,业务口。 还有一个flash插槽。 搜索 cisco防火墙作用介绍三: 可以把ip地址进行文字命名,可以在acl里调用的时候用命名来代替地址,比如 name 1.1.1.1(地址) test(对该地址命名) deion xxx(对该命名的描述) 然后acl里只需要在写地址的地方写上test这个名字就行了相关阅读: cisco企业文化: 很多公司把企业文化写出来挂在墙上,思科也有一张文化卡,
但我认为公司的文化绝不是一句动听的话语,它表现在我们的行为里,根植于我们的思维中。比如,说一个人没有文化,这是从他的行为做出的判断,同样道理,一个企业的文化就是它的行为,就是企业每一个员工做出来的行为。如果企业的员工都不知道老板想什么,怎么可能形成一个企业的文化?这样,就带出了另一个问题,沟通。如果一个企业既没有价值观和做事的准则,又没有沟通的途径,就谈不上管理,根本无从管理。换句话说,一个企业没有文化、公司有要求,员工的行为体现,加上鼓励机制。在考虑升降一个员工,能否适应变化是很重要的一条。我们每半年对员工进行一次挑战评估,其中的versatility(多功能性)很重要,一个员工的适应能力有多强,是否只能做销售或其他?适应性不强,员工总的价值就不会高。没有沟通,就没有管理,这三者是三位一体的关系。 公司愿景 改变网络的局限性,让网络成为最时尚的潮流。 公司使命 为顾客、员工和商业伙伴创造前所未有的价值和机会,构建网络的未来世界。 质量第一、顾客至上、超越目标、无技术崇拜、节约、回馈、信任、公平、融合、团队精神、市场转变、乐在其中、驱动变革充分授权、公开交流。 看了“cisco防火墙作用有哪些”文章的
CISCO ASA5520配置手册
CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010
思科防火墙登陆及设置过程
一、防火墙登陆过程telnet 192.168.0.1 输入:123 用户名:en 密码:srmcisco
Conf t Show run 二、公网IP与内网IP映射: static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0
三、再打开端口:输入以下一笔命今如 access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端口) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端口) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端口)
四、登出防火墙:logout 五、增加上网电脑 1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0(上网电脑IP地址) 2、arp inside 192.168.0.188 000f.eafa.645d alias(绑定上网电脑网卡MAC地址)
思科ASA5505防火墙配置成功实例
配置要求: 1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。 2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。 3、Dmz服务器分别开放80、21、3389端口。 说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下:希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !
interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob
思科防火墙设置
增加一台服务器具体要求。新增一台服务器地址:10.165.127.15/255.255.255.128。需要nat 转换成公网地址16.152.91.223 映射出去,并对外开通这台服务器的80端口。 在对外pix525上面增加如下:access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223 可是为什么转换后,不能访问16.52.91.223的网页,但确可以ping通16.52.91.223,但是访问10.165.127.15的主页是正常的?? 具体配置如下: pix-525> enable Password: ***** pix-525# sh run : Saved : PIX Version 6.3(5) interface ethernet0 100full interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password FVHQD7n.FuCW78fS level 7 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname wgqpix-525 fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl_out permit tcp any host 16.152.91.221 eq www access-list acl_out permit icmp any any access-list acl_out permit tcp any host 16.152.91.220 eq https access-list acl_out permit tcp any host 16.152.91.223 eq www
思科PIX防火墙简单配置实例
思科PIX防火墙简单配置实例 在本期应用指南中,管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。 假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说,这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后,这个设置就很容易了。下面,让我们看看如何进行设置。 基础 思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中,我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。 PIX防火墙有内部和外部接口的概念。内部接口是内部的,通常是专用的网络。外部接口是外部的,通常是公共的网络。你要设法保护内部网络不受外部网络的影响。 PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。 下面是显示“nameif”命令的输出情况: pixfirewall# show nameif nameif ethernet0 outside security0 nameif ethernet1 inside security100 pixfirewall# 请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。 指南 在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是: ·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。 ·内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。
ASA防火墙配置命令-王军
ASA防火墙配置命令(v1.0) 版本说明
目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置(ssl vpn) (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)
1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注:最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中
ASA5510防火墙配置手册
ASA5510防火墙配置手册 1. 设置主机名: #hostname szhndasa 2. 设置时区: szhndasa#clocktimezone EST 7 3. 设置时钟: Szhndasa#clock set 15:45:30 28 FEB 2008 4. 配置内接口 IP Szhndasa#int Ethernet 0/0 Szhndasa#nameif inside Szhndasa#security-level 100 Szhndasa#ip address 192.168.55.254 255.255.255.0 5 配置外部接口 IP Szhndasa#int Ethernet 0/1 Szhndasa#nameif outside Szhndasa#security-level 0 Szhndasa#ip address 210.X.X.X 255.255.255.248 6.配置用户名和密码 Szhndasa#username admin password ********* encrypted privilege 15 注:15 表示有最高权限 7.配置 HTTP 和 TELNET Szhndasa#aaa authentication telnet console LOCAL Szhndasa#http server enable Szhndasa#http 192.168.55.0 255.255.255.0 inside Szhndasa#telnet 192.168.55.0 255.255.255.0 inside 8.配置 site to site vpn crypto map outside_map 20 match address outside_cryptomap_20_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 210.75.1.X
思科5505防火墙配置
asa 5505 常用配置2009-06-01 16:13 asa 5505 1.配置防火墙名 ciscoasa> enable ciscoasa# configure terminal ciscoasa(config)# hostname asa5505 2.配置telnet asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside //允许内部接口192.168.1.0网段telnet防火墙 3.配置密码 asa5505(config)# password cisco //远程密码 asa5505(config)# enable password cisco //特权模式密码 4.配置IP asa5505(config)# interface vlan 2 //进入vlan2 asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192 //vlan2配置IP asa5505(config)#show ip address vlan2 //验证配置 5.端口加入vlan
//进入接口e0/3 asa5505(config-if)# switchport access vlan 3 //接口e0/3加入vlan3 asa5505(config)# interface vlan 3 //进入vlan3 asa5505(config-if)# ip address 10.10.10.36 255.255.255.224 //vlan3配置IP asa5505(config-if)# nameif dmz //vlan3名 asa5505(config-if)# no shutdown //开启 asa5505(config-if)# show switch vlan //验证配置 6.最大传输单元MTU asa5505(config)#mtu inside 1500 //inside最大传输单元1500字节 asa5505(config)#mtu outside 1500 //outside最大传输单元1500字节 asa5505(config)#mtu dmz 1500 //dmz最大传输单元1500字节 7.配置arp表的超时时间
相关文档
- 思科ASA防火墙ASDM安装和配置
- 思科防火墙基本配置文档
- 思科的防火墙配置命令
- 思科防火墙完全配置
- Cisco ASA配置
- 思科ASA5505防火墙配置成功实例
- cisco_ASA配置思科的防火墙命令
- 思科ASA 5510防火墙实战配置中文手册
- cisco防火墙配置的基本配置
- 思科5505防火墙配置
- 思科防火墙NAT配置
- 思科防火墙简配置实例
- 思科防火墙登陆及设置过程
- Cisco ASA 5505 防火墙常用配置案例
- Cisco路由器、防火墙WEB配置方法、SDM
- 思科防火墙9.1系统 nat配置
- 思科防火墙使用及功能配置
- cisco ASA5505防火墙详细配置
- 思科防火墙简单配置实例
- 思科ASA5505防火墙配置成功实例