思科防火墙完全配置

第五章防火墙的具体应用

远键实业公司是一个典型的中小企业。大概100 人左右。是一家科技企业，主要从事计算机系统集成服务，大约有100 人左右，分为市场部、财务部、销售部、人力资源部、办公室、网络管理部、工程部，网络分成内网、外网。内网经常感染病毒，蠕虫，而且某些员工使用工具进行大数据量下载也影响网络正常工作，有时也发现来自外网黑客攻击现象，同时公司随着业务的发展也将扩大宣传，考虑建立一个Web 服务器用来对外发布信息。公司领导和网络部经过仔细讨论，决定在公司现有网络基础上部署一台防火墙。防火墙有很多种，国外和国内有很多防火墙。经过选型后公司选择一款Cisco PIX 515 防火墙。公司拓扑结构如下：

公司网络要求

一、配置公司PIX划分内网、外网及DMZ区域：

远键实业公司的规模并不是很大，网络拓扑结构如上图，分为内网、外网。在满足

内网用户快速访问INTERNET 的同时有效防止来自外网黑客攻击；此外，公司随着业务的发展也需要扩大宣传，市场部考虑建立电子营销，所以希望建立一个Web 服务器用来对外发布业务信息。公司网络管理部门决定在公司的防火墙上部署在内网和外网之

间配置PIX划分内网、外网及DMZ区域。

pixfirewall>ena

pixfirewall#

#进入全局配置模式

pixfirewall# conf t

#配置防火墙接口的名字，并指定安全级别（nameif）。

pixfirewall(config)#int e0

pixfirewall(config-if)# nameif inside

pixfirewall(config-if)# security-level 100

pixfirewall(config)#int e1

pixfirewall(config-if)# nameif dmz

pixfirewall(config-if)# security-level 50

pixfirewall(config)#int e2

pixfirewall(config-if)# nameif outside

pixfirewall(config-if)# security-level 0

security-leve 0 是外部端口outside 的安全级别（0 安全级别最高）

security-leve 100 是内部端口inside 的安全级别,如果中间还有以太口，则security-leve 10，security-leve 20 等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz security-leve 50 是停火区dmz 的安全级别。

#配置内外网卡的IP 地址

pixfirewall(config)#int e0

pixfirewall(config-if)# ip address 192.168.2.200 255.255.255.0

pixfirewall(config-if)# no shut

pixfirewall(config)#int e1

pixfirewall(config-if)# ip address 10.1.1.2 255.255.255.0

pixfirewall(config-if)# no shut

pixfirewall(config)#int e1

pixfirewall(config-if)# ip address 202.99.88.2 255.255.255.0

pixfirewall(config-if)# no shut

在配置内外网卡的IP 地址时注意别忘了用no shutdown 命令来激活端口。（no shut 是no shutdown 的简写）。

#允许内部网络服务器telnet pix（允许远程登录到防火墙）

pixfirewall(config)# telnet 192.168.2.0 255.255.255.0 inside

#同时你也可以允许外部网络服务器远程登录到防火墙命令如下

pix515(config)# telnet 202.99.88.0 255.255.255.0 outside

但为了安全最好是只允许内部网络服务器远程登录到防火墙，保证防火墙的安全。

#配置远程登录密码

Pix515(config)# password 123456

以上表明远程登录密码为123456

#保存配置

write memory

在配置完成后，要记住保存配置，以便以后进一步的配置及管理。

、配置DMZ

#设置DMZ 接口IP 地址，设置好后可以按拓扑结构图测试从PIX 上ping 10.1.1.2

检查连通性。

pixfirewall(config)#int e1

pixfirewall(config-if)# ip address 10.1.1.2 255.255.255.0

#允许DMZ 主机访问外部网络icmp 协议

pixfirewall(config-if)# access-list acl_dmz permit icmp any any

#应用策略到DMZ 接口把acl_dmz 规则邦定到dmz 端口上使之生效

pixfirewall(config-if)# access-group acl_dmz in interface dmz

#发布DMZ 服务器到因特网设置静态的因特网、局域网、dmz 区的访问关系

static (dmz,outside) 202.99.88.2 10.1.1.2 netmask 255.255.255.255

#设置策略允许因特网访问DMZ 服务器80 端口

pixfirewall(config)# access-list 100 permit tcp any host 202.99.88.2 eq 80

#将10.1.1.100 上的www 服务发布到公网202.99.88.2

static (inside,outside) tcp 202.99.88.2 www 10.1.1.100 www netmask 255.255.255.255

#允许DMZ 访问外部网络tcp 80 端口

pixfirewall(config)# access-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 80

#允许DMZ 访问外部网络tcp，udp 53 端口

pixfirewall(config)# access-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 53

pixfirewall(config)# access-list acl_dmz permit udp 10.1.1.0 255.255.255.0 any eq 53

#保存配置

write memory

二、配置PIX静态路由

Cisco PIX 防火墙可以支持动态路由模式、静态路由模式、透明模式和混合模

式，远键实业公司的规模并不是很大，但内网、外网和DMZ 区域都需要进行频繁通信，尤其是网站管理员需要经常从内网上传一些网页信息到Web 服务器，网络部希望

防火墙能够支持公司网络能够在保障安全的同时，网络通信稳定。

#增加一条静态路由，把DMZ 区域写入静态路由。

pixfirewall(config)# route inside 10.1.1.0 255.255.255.0 192.168.2.200

#发布DMZ 服务器到因特网设置静态的因特网、局域网、dmz 区的访问关系

pixfirewall(config)#static (dmz,outside) 202.99.88.2 10.1.1.2 netmask255.255.255.255

#设置策略允许内网访问DMZ 服务器80 端口

pixfirewall(config)# access-list 100 permit tcp any host 10.1.1.2 eq 80

#保存配置

write memory

三、配置PIX防火墙实现NAT

公司网络部希望架设防火墙后，公司要求跟外部Internet 进行通信时，内

网使用私有IP 地址，这样可以隐藏公司网络内部拓扑结构，另外，也能提供一定程度的网

络安全。另外，公司网络部也希望在防火墙上进行设置后在内网中多个公司员工可以同

时公用一个合法IP 与外部Internet 进行通信。

#用NAT 的方式允许内网用户用公网ip202.99.88.2 访问INTERNET

nat (inside) 1 0 0 (0 0 表示内网所有主机)

global (outside) 1 interface

#保存配置

write memory

四、配置PIX防火墙实现反向NAT

公司市场部建立了一个Web 服务器，对外发布，要求外部人员可以通过Internet

来访问公司网站服务器。

#允许DMZ 主机访问外部网络icmp 协议

access-list acl_dmz permit icmp any any

#应用策略到DMZ 接口把acl_dmz 规则邦定到dmz 端口上使之生效

access-group acl_dmz in interface dmz

#发布DMZ 服务器到因特网设置静态的因特网、局域网、dmz 区的访问关系

static (dmz,outside) 202.99.88. 10.1.1.2 netmask 255.255.255.255 0 0

#将10.1.1.100 上的www 服务发布到公网202.99.88.2

static (inside,outside) tcp 202.99.88.2 80 10.1.1.100 www netmask 255.255.255.255 0 0

#设置策略允许因特网访问DMZ 服务器80 端口

access-list 100 permit tcp any host 202.99.88.2 eq 80

#允许DMZ 访问外部网络tcp 80 端口

access-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 80

#允许DMZ 访问外部网络tcp，udp 53 端口

access-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 53

access-list acl_dmz permit udp 10.1.1.0 255.255.255.0 any eq 53

#保存配置

write memory

五、防止洪水攻击

远键实业公司的规模并不是很大，网络拓扑结构如上图，分为内网、外网。在满足

内网用户快速访问INTERNET 的同时有效防止来自外网黑客攻击；

Pixfirewall>

Pixfirewall>en

Password:

Pixfirewall>conf t

Pixfirewall(config)#access-list 101 deny icmp any any

Pixfirewall(config)#exit

六、配置防火墙入侵检测技术。

Pixfirewall>

Pixfirewall>en

Password:

Pixfirewall>conf t

Pixfirewall(config)#ipaduit attack action alarm

Pixfirewall(config)#ip audit info action alarm

Pixfirewall(config)#exit

当有数据包具有攻击或报告型特征码时，pix 将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息

七、防火墙的启动和性能监控

启动防火墙：

插上电源，打开开关。

关闭防火墙：

闭合开关，断开电源。

Show blocks/clear blocks显示系统缓冲区利用情况

Show checksum显示配置校验和

Show conn列出所有的活跃连接

Show history显示前面输入的行

Show interface显示接口配置显示接口的配置的接口信息，如接口的IP，子网掩码，接口速率等。Show memory显示系统内存的使用情况

Show processes显示进程

Show tech-support查看帮助技术支持分析员诊断问题的信息

Show traffic显示接口的发送和接收活动

Show version浏览PIX防火墙操作信息

Show xlate查看地址转换信息

熟练的对防火墙实现自身管理，以应对防火墙自身出现问题能够快速响应而不影响公

司通过网络的业务运营。

八、配置PIX流量控制

公司网络经常出现员工上网速度缓慢，网络管理员查明后发现有人经常上

网打网络游戏，或者从网络上在线看电影，网络管理员也很头疼，因此公司网络部为此

要求通过防火墙能够根据部门分配Internet 带宽，并设定如果公司某员工违反公司策略打网

络游戏，或者从网络上在线看电影，占用公司网络带宽，防火墙能够自动设别是哪一个员工，

而且自动切断该员工与外网的连接。通过配置防火墙对流量进行限制。

#进入流量管理

pixfirewall(config)# priority-queue outside

#流量的最高限制为256KB/S

pixfirewall(priority-queue)# queue-limit 256

#以字节来算的，为了保证10ms的间隔，一般来说设置为128

pixfirewall(config-priority-queue)# tx-ring-limit 128

#查看流量信息

pixfirewall# sh priority-queue statistics

Priority-Queue Statistics interface outside

Queue Type = BE

Packets Dropped = 0

Packets Transmit = 0

Packets Enqueued = 0

Current Q Length = 0

Max Q Length = 0

Queue Type = LLQ

Packets Dropped = 0

Packets Transmit = 0

Packets Enqueued = 0

Current Q Length = 0

Max Q Length = 0

流量限制作用：

当前公司内的网络状况非常混乱，有人经常上网打网络游戏，或者从网络上在线

看电影，所以决定进行流量限制。

流量限制可以限制公司内每个员工的带宽，发现某个员工的流量异常时可以切断

该员工与外网的连接。

进行流量限制后，公司局域网的速度会明显提高，员工的工作效率也会提高。

九、PIX防火墙口令恢复

公司网络设备渐渐增加，服务器、路由器、交换机、防火墙等网络设备从物理安

全考虑，都要设置安全口令，口令多了，会容易混淆或者忘记口令，网络管理员为了应

对这样情况，也要求自己及时掌握防火墙口令丢失进行口令恢复的方法。

PIX 防火墙密码恢复方法，步骤分解。

在能够通过console 口连通的情况下，重新启动PIX，在出现启动消息后，根据屏幕

提示在9 秒内按键盘BREAK 或ESC 键进入monitor 模式。

#进入e0 口（inside 口）

monitor> interface e0

#设置本端口地址（PIXIP）

monitor> address 192.168.2.200

#设置服务器地址(本机IP)

monitor> server 192.168.2.100

在本机安装tftp 软件并找到PIX 对应的BIN 包，如7.0 的np5.bin

pixfill#copy tftp flash

Address or name of remote host []? 192.168.2.100 (TFTP 服务器地址)

Source filename []? np5.bin

Destination filename [np5.bin]?

Do you want to over write? [confirm]

Accessing tftp://192.168.2.100/np5.bin...

Erase flash: before copying? [confirm]

Erasing the flash filesystem will remove all files! Continue? [confirm]

Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erasedee

Erase of flash: complete

Loading np5.bin from 192.168.2.100(via Ethernet0/0): !!!!!!!!!!!!!!

文件下载成功后操作终端显示器会提示：

Do you wish to erase the passwords? [y/n] y

Passwords have been erased.

因为设备众多，口令也就多了，非常容易混淆和忘记口令。忘记口令后，恢复口令就相

当重要了。掌握了恢复口令，会对工作有很大的帮助。

十、PIX防火墙VPN的实现

公司员工经常需要通过Internet 与客户进行通信，由于Internet 是一个不安全的网

络，其中公司有一些商业文档需要机密，公司网络部希望公司员工防火墙能够保障通过Internet 与公司重要客户进行通信时实现信息传输保密。对PIX 防火墙进行配置，实现VPN。

一、基础知识：

PPTP：点对点隧道协议

点对点隧道协议（PPTP： Point to Point Tunneling Protocol）是一种支持多协议虚

拟专用网络的网络技术。通过该协议，远程用户能够通过 Microsoft Windows NT 工作站、Windows XP 操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本

地 ISP，通过 Internet 安全链接到公司网络。

PPTP 可以用于在IP 网络上建立PPP 会话隧道。在这种配置下，PPTP 隧道和

PPP 会话运行在两个相同的机器上，呼叫方充当PNS.PPTP 使用客户机－服务器结构来分离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP 作为一个呼叫控制和管理协议，

它允许服务器控制来自 PSTN 或 ISDN 的拨入电路交换呼叫访问并初始化外部电路交换连接。

PPTP 只能通过 PAC 和 PNS 来实施，其它系统没有必要知道 PPTP.拨号网络可与 PAC

相连接而无需知道 PPTP.标准的 PPP 客户机软件可继续在隧道 PPP 链接上操作。

PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS 之间

传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP 没有规定特定的算法用于低层控制，但它确实定义了一些通信参数来支持这样的算法工作。

二、配置

1、命令行方式直接在PIX上配置PPTP的VPN，即PIX作为PPTP方式VPDN的服务器

ip local pool pptp 10.0.0.1-10.0.0.50

//定义一个pptp 方式的vpdn拨入后获得的IP地址池，名字叫做pptp。此处地址段的定义

范围不要和拨入后内网其他计算机的IP冲突，并且要根据拨入用户的数量来定义地址池的大小

pixfirewall(config)# crypto ipsec transform-set xp esp-des esp-md5-hmac

创建与加密相关的全局值

pixfirewall(config)# crypto dynamic-map dymap 10 set transform-set xp

创建一个动态加密映射项

pixfirewall(config)# crypto map mymap 10 ipsec-isakmp dynamic dymap

定义名字为mymap编号为10静态加密map, 将名字为dymap的动态加密map 映射到静

态加密map mymap 上.

pixfirewall(config)# crypto map mymap interface outside

将静态加密map应用在外部接口上

pixfirewall(config)#

pixfirewall(config)# isakmp enable outside

在外部接口上启用ISAKMP策略。

pixfirewall(config)# isakmp key 123456 address 0.0.0.0 netmask 0.0.0.0

针对分支机构的动态公有IP，配置ISAKMP预共享密钥，如123456，0.0.0.0表示适合

于所有的公有IP地址。

pixfirewall(config)# isakmp policy 9 authentication pre-share

定义编号为9的ISAKMP策略，认证方式使用预共享密钥:Pre-Share Key

pixfirewall(config)# isakmp policy 9 encryption des

对于编号为9的ISAKMP策略的加密算法使用des

pixfirewall(config)# isakmp policy 9 hash sha

对于编号为9的ISAKMP策略的hash完整性算法使用sha

pixfirewall(config)# isakmp policy 9 group 2

对于编号为9的ISAKMP策略，密钥交换组DH（Diffie-Hellman）长度为group 2

pixfirewall(config)# isakmp policy 9 lifetime 86400

对于编号为9的ISAKMP策略生存时期为86400秒。

pptp使用1723端口，而通常pix里面的服务器对外都是做的静态NAT转换，但是光双

向开放1723端口仍旧无法建立pptp的vpn连接，那么对于pix 6.3以上版本的pptp穿透

可以用一条命令fixup protocol pptp 1723 来解决这个问题。

通过对PIX 防火墙的设置，实现了VPN。公司内的一些商业机密能有了保障。通过

Internet 与公司重要客户进行通信时实现信息传输保密。

十一、建立Pix 防火墙日志重定向

黑客攻击进来后，有时间会把防火墙的日志进行擦除以逃避责任，公司网络部希望网络管理员能够有效地保存防火墙日志。建立Pix 防火墙日志重定向。

linux 配置：

1、vi/etc/sysconfig/syslog(按i 进入vi 的编辑状态。) ：

SYSLOGD_OPTIONS="-m 0"修改为

SYSLOGD_OPTIONS="-r-m 0"//-r 允许从远端主机写入messages

（编辑完成后按ESC 回到命令行状态，然后输入:wq,存盘退出，如果不存盘输入:q）

2、vi/etc/syslog.conf

加入下列内容

把设备号为local4(pix的默认设备号，对应pix端的facility为20)的所有的日志记录到

/var/log/pix.log中

#Savepixmessagesalltopix.log

local4.* /var/log/pix.log

3、为了避免日志过大,配置日志轮循(manlogrotate查看详细的帮助信息)

vi/etc/logrotate.conf

增加下列内容:

#system-specific logs may be also be configured here.

/var/log/pix.log{

weekly

rotate4&

4、重起syslog 服务：

[root@localhost&etc]# service syslog restart

pix 配置：

Pix#logging on

Pix#logging host 192.168.2.235//记录日志的主机IP

Pix#logging trap 7 //指定日志消息的级别(0:紧急(Emergencies)1:告警

(Alerts)2:严重的(Critical)3:错误(Errors)4:警告(Warnings)5:通知(Notifications)6:

信息(Informational)7:调试(Debugging))

Pix#logging facility 20//更改设备号,Pix默认为local20

Pix#exit

Pix#sh logging//可以看到当前日志记录是否启动

Pix#wr mem //保存配置

完成以上配置后就可以在linux 下运用cat /var/log/pix.log 查看 Pix的日志文件：

黑客攻击进来后，有时间会把防火墙的日志进行擦除以逃避责任，通过把linux配置成PIX 的

日志主机，能够有效地保存防火墙日志，进一步提高安全性。

Cisco ASA配置

Cisco ASA配置 思科防火墙ASA5520配置 思科防火墙ASA5520配置： 目的：1、内网可以上网 2、内网可以访问DMZ区域的服务器 3、外网可以通过公网IP访问DMZ区域的服务器 要求：1、内网的网段192.168.10.0 2、DMZ的网段192.168.5.0 3、外网IP地址：200.200.200.82 200.200.200.83 网关255.255.255.248（这个地址一般是运营商提供） 4、外网路由：200.200.200.81 5、DMZ区域的服务器IP地址：192.168.5.2 步骤1：配置接口inside、outside和dmz interface g0/0 speed auto duplex auto nameif inside Security-level 100 ip address 192.168.10.1 255.255.255.0 no shut exit interface g0/1 speed auto duplex auto nameif outside Security-level 0 ip address 200.200.200.82 255.255.255.248 no shut exit interface g0/2 speed auto duplex auto nameif dmz Security-level 50 ip address 192.168.5.1 255.255.255.0 no shut exit 步骤2、添加外网路由 route outside 0 0 200.200.200.81

Cisco ASA 5500防火墙个人基本配置手册

Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区，Security-Level:0，接Router F0/0；ASA 防火墙eth1接口定义为insdie 区，Security-Level:100，接Switch 的上联口；ASA 防火墙Eth2接口定义为DMZ 区，Security-Level:60，接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ，即Switch 能够ping 通Router 的F0/0（202.100.10.2）；dmz 区能够访问outside ，即Mail Server 能够ping 通Router 的F0/0（202.100.10.2）； outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口（110）、smtp 端口（25）. 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供

四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射（也称一对一映射）CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时，就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时，就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时，就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供

CISCO+ASA+5520配置手册

CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能

Cisco ASA5505防火墙详细配置教程及实际配置案例

Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS

cisco防火墙配置的基本配置

cisco防火墙配置的基本配置 1、nameif 设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。 使用命令： PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态，常见状态有：auto、100full、shutdown。 auto：设置网卡工作在自适应状态。 100full：设置网卡工作在100Mbit/s，全双工状态。 shutdown：设置网卡接口关闭，否则为激活。 命令： PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围：定义地址池。 Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmarkglobal_mask]：表示全局ip地址的网络掩码。 5、nat 地址转换命令，将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法： route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译，使内部地址与外部地址一一对应。 语法： static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法： conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

思科ASA防火墙ASDM安装和配置

CISCO ASA防火墙ASDM安装和配置 准备工作： 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名，比如“ASA”,单击确定。 选择连接时使用的COM口，单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令： ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框，单击“是” 输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。出现也下对话框，点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器，安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本)，进入https://www.sodocs.net/doc/e811783052.html,下载安装，安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框，点击“是”。 出现以下对话框，输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“是”。 出现以下对话框，点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。

CISCO ASA5520配置手册

CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010

思科防火墙登陆及设置过程

一、防火墙登陆过程telnet 192.168.0.1 输入：123 用户名：en 密码：srmcisco

Conf t Show run 二、公网IP与内网IP映射： static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0

三、再打开端口：输入以下一笔命今如 access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端口) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端口) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端口)

四、登出防火墙：logout 五、增加上网电脑 1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0（上网电脑IP地址） 2、arp inside 192.168.0.188 000f.eafa.645d alias（绑定上网电脑网卡MAC地址）

思科ASA5505防火墙配置成功实例

配置要求： 1、分别划分inside（内网）、outside（外网）、dmz（安全区）三个区域。 2、内网可访问外网及dmz内服务器（web），外网可访问dmz内服务器（web）。 3、Dmz服务器分别开放80、21、3389端口。 说明：由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下：希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !

interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob

思科防火墙设置

增加一台服务器具体要求。新增一台服务器地址：10.165.127.15/255.255.255.128。需要nat 转换成公网地址16.152.91.223 映射出去，并对外开通这台服务器的80端口。 在对外pix525上面增加如下：access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223 可是为什么转换后，不能访问16.52.91.223的网页，但确可以ping通16.52.91.223，但是访问10.165.127.15的主页是正常的？？ 具体配置如下： pix-525> enable Password: ***** pix-525# sh run : Saved : PIX Version 6.3(5) interface ethernet0 100full interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password FVHQD7n.FuCW78fS level 7 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname wgqpix-525 fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl_out permit tcp any host 16.152.91.221 eq www access-list acl_out permit icmp any any access-list acl_out permit tcp any host 16.152.91.220 eq https access-list acl_out permit tcp any host 16.152.91.223 eq www

思科PIX防火墙简单配置实例

思科PIX防火墙简单配置实例 在本期应用指南中，管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。 假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说，这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后，这个设置就很容易了。下面，让我们看看如何进行设置。 基础 思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙，也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中，我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。 PIX防火墙有内部和外部接口的概念。内部接口是内部的，通常是专用的网络。外部接口是外部的，通常是公共的网络。你要设法保护内部网络不受外部网络的影响。 PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级，并且声称如果没有规则许可，任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”，这个内部接口的安全等级是“100”。 下面是显示“nameif”命令的输出情况: pixfirewall# show nameif nameif ethernet0 outside security0 nameif ethernet1 inside security100 pixfirewall# 请注意，ethernet0(以太网0)接口是外部接口(它的默认名字)，安全等级是0。另一方面，ethernet1(以太网1)接口是内部接口的名字(默认的)，安全等级是100。 指南 在开始设置之前，你的老板已经给了你一些需要遵守的指南。这些指南是: ·所有的口令应该设置为“思科”(实际上，除了思科之外，你可设置为任意的口令)。 ·内部网络是10.0.0.0，拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。

ASA防火墙配置命令-王军

ASA防火墙配置命令（v1.0） 版本说明

目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置（ssl vpn） (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)

1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注：最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中

ASA5510防火墙配置手册

ASA5510防火墙配置手册 1. 设置主机名： #hostname szhndasa 2. 设置时区： szhndasa#clocktimezone EST 7 3. 设置时钟： Szhndasa#clock set 15:45:30 28 FEB 2008 4. 配置内接口 IP Szhndasa#int Ethernet 0/0 Szhndasa#nameif inside Szhndasa#security-level 100 Szhndasa#ip address 192.168.55.254 255.255.255.0 5 配置外部接口 IP Szhndasa#int Ethernet 0/1 Szhndasa#nameif outside Szhndasa#security-level 0 Szhndasa#ip address 210.X.X.X 255.255.255.248 6.配置用户名和密码 Szhndasa#username admin password ********* encrypted privilege 15 注：15 表示有最高权限 7.配置 HTTP 和 TELNET Szhndasa#aaa authentication telnet console LOCAL Szhndasa#http server enable Szhndasa#http 192.168.55.0 255.255.255.0 inside Szhndasa#telnet 192.168.55.0 255.255.255.0 inside 8.配置 site to site vpn crypto map outside_map 20 match address outside_cryptomap_20_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 210.75.1.X

思科5505防火墙配置

asa 5505 常用配置2009-06-01 16:13 asa 5505 1.配置防火墙名 ciscoasa> enable ciscoasa# configure terminal ciscoasa(config)# hostname asa5505 2.配置telnet asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside //允许内部接口192.168.1.0网段telnet防火墙 3.配置密码 asa5505(config)# password cisco //远程密码 asa5505(config)# enable password cisco //特权模式密码 4.配置IP asa5505(config)# interface vlan 2 //进入vlan2 asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192 //vlan2配置IP asa5505(config)#show ip address vlan2 //验证配置 5.端口加入vlan

//进入接口e0/3 asa5505(config-if)# switchport access vlan 3 //接口e0/3加入vlan3 asa5505(config)# interface vlan 3 //进入vlan3 asa5505(config-if)# ip address 10.10.10.36 255.255.255.224 //vlan3配置IP asa5505(config-if)# nameif dmz //vlan3名 asa5505(config-if)# no shutdown //开启 asa5505(config-if)# show switch vlan //验证配置 6.最大传输单元MTU asa5505(config)#mtu inside 1500 //inside最大传输单元1500字节 asa5505(config)#mtu outside 1500 //outside最大传输单元1500字节 asa5505(config)#mtu dmz 1500 //dmz最大传输单元1500字节 7.配置arp表的超时时间

ASA配置命令

要想配置思科的防火墙得先了解这些命令： 常用命令有：nameif、interface、ip address、nat、global、route、static等。 global 指定公网地址范围：定义地址池。 Global命令的配置语法： global (if_name) nat_id ip_address-ip_address [netmarkglobal_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmark global_mask]：表示全局ip地址的网络掩码。 nat 地址转换命令，将内网的私有ip转换为外网公网ip。 nat命令配置语法：nat (if_name) nat_id local_ip [netmark] 其中： (if_name)：表示接口名称，一般为inside. nat_id：表示地址池，由global命令定义。 local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。 [netmark]：表示内网ip地址的子网掩码。 route route命令定义静态路由。 语法： route (if_name) 0 0 gateway_ip [metric] 其中： (if_name)：表示接口名称。 0 0 ：表示所有主机 Gateway_ip：表示网关路由器的ip地址或下一跳。 [metric]：路由花费。缺省值是1。 static 配置静态IP地址翻译，使内部地址与外部地址一一对应。 语法： static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中： internal_if_name表示内部网络接口，安全级别较高，如inside。 external_if_name表示外部网络接口，安全级别较低，如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ ip_address表示内部网络的本地ip地址。 (括号内序顺是先内后外，外边的顺序是先外后内) 例如： asa(config)#static (inside，outside) 133.0.0.1 192.168.0.8 表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址 ************************************************************************** asa#conf t asa(config)# hostname asa //设置主机名

Cisco ASA 5505 防火墙常用配置案例

interface Vlan2 nameif outside --------------------对端口命名外端口 security-level 0 --------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址 ! interface Vlan3 nameif inside --------------------对端口命名内端口 security-level 100 --------------------调试外网地址 ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级 ! interface Ethernet0/0 switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS name-server 211.99.129.210 name-server 202.106.196.115 access-list 102 extended permit icmp any any ------------------设置ACL列表（允许ICMP全部通过） access-list 102 extended permit ip any any ------------------设置ACL列表（允许所有IP全部通过）