防火墙基础知识
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙基础知识
一、防火墙与路由器的异同:
1、防火墙的登陆管理方式及基本配置是一样,有的防火墙多一个
DMZ端口。
2、路由器只能简单的路由策略,防火墙具备强大的访问控制:分
组对象。
3、路由器是默认的端口是开放的,防火墙的端口默认的常见端口
外都是关闭的。
二、防火墙的登陆方式:
1、console口,路由器的登陆方式一样
2、telnet登陆,需要设置
3、SSH登陆,同telnet登陆一样
三、防火墙的用户模式:
1、用户模式:PIX525>
2、特权模式PIX525#
3、全局配置模式PIX525(config)#
4、局部配置模式PIX525(config-if)#
四、防火墙基本配置
1、接口配置
防火墙PIX525默认的的有3个端口,外网口、内网口、DMZ 端口,主要配置ip地址、工作模式、速度、接口名字、安全级别interface Ethernet0
nameif outside
security-level 0
ip address 218.28.202.97 255.255.255.0
duplex full
2、访问控制列表
access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any host 218.28.202.99 object-group DMZ
access-list allownet extended permit ip host 192.168.0.123 object-group msn
3、设置网关地址
route outside 0.0.0.0 0.0.0.0 218.28.202.110 外网口网关
route inside 0.0.0.0 0.0.0.0 192.168.1.1 内网口网关
路由的网关设置
Ip route 0.0.0.0 0.0.0.0 218.28.202.110
4、端口重定向
PIX525(config)# object-group service word TCP PIX525(config-if)port-object eq 8866
先在服务的对象分组中开放一个端口,在全局模式下
static (inside,outside) tcp 218.28.202.100 8866 192.168.2.77 8866 netmask 255.255.255.255
5、地址转换:
global (outside) 1 interface //使用interface outside的地址做NAT的global地址
global (DMZ) 1 172.16.1.100
nat (inside) 0 access-list nat0
nat (inside) 1 192.168.0.0 255.255.0.0
nat (DMZ) 1 172.16.1.0 255.255.255.0
五、对象分组:
对象分组提供了一种将一些相似类型的对象进行分组的方法,这样可以将一个单一的ACL应用到组中的所有对象上。可以创建以下几种类型的对象分组:●网络--客户端主机、服务器主机或子网。
●协议--多种协议。可以通过相应的关键字例如:icmp、ip、tcp或者udp 来指定相关的协议,还可以在1到254的整数范围内选择相应的IP协议号来指定相关的协议。如果使用关键字ip则表示匹配任何的Internet协议,包括IC MP、TCP和UDP。
●服务--被分配到不同服务上的TCP或UDP端口号。
●ICMP类型--允许或拒绝访问的ICMP消息类型。
[no] object-group object-type grp-id
network对象类型:
(config)#object-group network netserver 设定分组名称(config-network)#description Public web servers 分组描述(config-network)#network-object 192.168.1.12 255.255.255.255 !添加分组对象
protocol 对象类型:
进入对象配置接口:object-group protocol grp-id
(config-protocol)#protocol-object tcp !添加分组成员service对象类型:
进入对象配置接口:object-group service obj_grp_id tcp | udp | tcp-udp
(config)#object-group service mis_service tcp
(config-service)#port-object eq ftp 将一个单独的端口号加入(config-service)#port-object range 5000 6000 !range begin end 将一组端口加入
icmp-type对象类型:
进入对象配置接口:object-group icmp-type icmp_test (config-icmp-type)#icmp-object 0
常见的应用:
1、控制外网:
PIX525(config)#object-group network netserver
PIX525(config-network)#network-object 192.168.6.25 255.255.255.255或
PIX525(config-network)#network-object host 192.168.6.25
access-list allownet extended permit ip object-group netserver any
nat (inside) 1 192.168.0.0 255.255.0.0
global (outside) 1 interface
2、开MSN:
object-group network msn
network-object 61.152.244.77 255.255.255.255
network-object 222.73.227.204 255.255.255.255
network-object 219.238.239.149 255.255.255.255