系统安全配置技术规范-Cisco防火墙

ASA防火墙配置笔记二〇〇六年十月二十七日序言：Cisco新的防火墙ASA系列已经面市了，将逐步取代PIX防火墙，网上关于ASA配置资料很少，现把我积累的ASA配置技术编写一个文档，供大家参考。

如有问题，可发邮件给我。

1. ....................................................................................... 常用技巧12. ....................................................................................... 故障倒换13. ....................................................... 配置telnet、ssh及http管理34. ........................................................................ v pn常用管理命令35. ............................................................................... 配置访问权限36. .................................................................. 配置sitetosite之VPN47. .............................................................. w ebvpn配置（ssl vpn）48. .............................................................................. 远程拨入VPN59. ........................................................................... 日志服务器配置610. .......................................................................... Snmp网管配置711. .................................................................................... ACS配置712. ................................................................................... AAA配置713. ..................................................................................... 升级IOS814. ..................................................................................... 疑难杂症81.常用技巧Sh ru ntp查看与ntp有关的Sh ru crypto 查看与vpn有关的Sh ru | inc crypto 只是关健字过滤而已2.故障倒换failoverfailover lan unit primaryfailover lan interface testint Ethernet0/3failover link testint Ethernet0/3failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001failover mac address Management0/0 0018.1900.7000 0018.1900.7001failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2注：最好配置虚拟MAC地址sh failover显示配置信息write standby写入到备用的防火墙中failover命令集如下：configure mode commands/options:interface Configure the IP address and mask to be used for failoverand/or stateful update informationinterface-policy Set the policy for failover due to interface failureskey Configure the failover shared secret or keylan Specify the unit as primary or secondary or configure theinterface and vlan to be used for failover communication link Configure the interface and vlan to be used as a link forstateful update informationmac Specify the virtual mac address for a physical interface polltime Configure failover poll intervalreplication Enable HTTP (port 80) connection replicationtimeout Specify the failover reconnect timeout value forasymmetrically routed sessionssh failover 命令集如下：history Show failover switching historyinterface Show failover command interface informationstate Show failover internal state informationstatistics Show failover command interface statistics information| Output modifiers<cr>3.配置telnet、ssh及http管理username jiang password Csmep3VzvPQPCbkx encrypted privilege 15aaa authentication enable console LOCALaaa authentication telnet console LOCALaaa authentication ssh console LOCALaaa authorization command LOCALhttp 192.168.40.0 255.255.255.0 managementssh 192.168.40.0 255.255.255.0 inside4.vpn常用管理命令sh vpn-sessiondb full l2l 显示site to site 之vpn通道情况sh ipsec stats 显示ipsec通道情况sh vpn-sessiondb summary 显示vpn汇总信息sh vpn-sessiondb detail l2l 显示ipsec详细信息sh vpn-sessiondb detail svc 查看ssl client信息sh vpn-sessiondb detail webvpn 查看webvpn信息sh vpn-sessiondb detail full l2l 相当于linux下的ipsec whack –status 如果没有建立连接，则表示ipsec通道还没有建立起来。

网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。

网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。

而提供安全网关服务的类型有：地址转换、包过滤、应用代理、访问控制和D oS防御。

本文主要介绍地址转换和访问控制两种安全网关服务，利用cisco路由器对ISDN拨号上网做安全规则设置。

试验环境是一台有fir ewall版本IOS的cisco2621路由器、一台交换机组成的局域网利用ISDN拨号上网。

一、地址转换我们知道，Internet 技术是基于IP 协议的技术，所有的信息通信都是通过IP包来实现的，每一个设备需要进行通信都必须有一个唯一的IP地址。

因此，当一个网络需要接入Inte rnet的时候，需要在Internet上进行通信的设备就必须有一个在全球Internet网络上唯一的地址。

当一个网络需要接入Internet上使用时，网络中的每一台设备都有一个I nternet地址，这在实行各种Internet 应用上当然是最理想不过的。

但是，这样也导致每一个设备都暴露在网络上，任何人都可以对这些设备攻击，同时由于I nternet目前采用的IPV4协议在网络发展到现在，所剩下的可用的IP地址已经不多了，网络中的每一台设备都需要一个IP地址，这几乎是不可能的事情。

采用端口地址转换，管理员只需要设定一个可以用作端口地址转换的公有Internet 地址，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP可以映射六万多台部网主机。

从而隐藏部网路地址信息，使外界无法直接访问部网络设备。

Cisco路由器提供了几种NAT转换的功能：1、部地址与出口地址的一一对应缺点：在出口地址资源稀少的情况下只能使较少主机连到internet 。

2、部地址分享出口地址路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。

其中部地址的端口号为随机产生的大于1024的，而外部主机端口号为公认的标准端口号。

106 问题：CacheEngine是否具有URL过滤功能？ 答案：CacheEngine1.7-2.0版本的软件⽀持⼀种叫URL Blocking的功能，该功能是在 CacheEngine的适配器接⼝上进⾏配置实现的，它可以将由特定地址来的流量阻断。

CacheEngine2.1版本的软件可以通过与基于WindowsNT、UNIX系统的Websense软件结合使⽤实现⽀持URL Filtering功能。

107 问题：PIX-520-FO-BUN在购买时是否需要额外定购License? 答案：PIX-520-FO-BUN本⾝已经包含有⽆限制版本的License，因⽽不需额外定购软件。

108 问题：对于能够⽀持IPSec的PIX 防⽕墙，客户端的VPN软件是否有特殊要求？ 答案：Cisco公司有⾃⼰的客户端VPN软件，它可与PIX防⽕墙进⾏完美的互操作。

109 问题：PIX防⽕墙如果要实现URL过滤功能，需要额外的软件吗？ 答案：需要购买第三⽅软件产品，Websense。

110 问题：Netsonar上的软件可以应⽤于哪些操作系统？ 答案：Netsonar具有以下软件系统：NS-20-NT；NS-201-S-2500。

前者⽤于WindowsNT 环境中，后者⽤于Solaris环境中。

111 问题：⽬前Cisco 公司PIX防⽕墙系列产品有那些型号，有何区别？ 答案：在⽬前的PIX防⽕墙系列产品中，主要有两种型号PIX515和PIX520。

其主要区别如下： PIX515适合在中⼩型企业应⽤，可提供128，000同时连接数。

络接⼝卡只⽀持以太卡，可⽀持到6个以太卡。

其机箱上带有2个固定的10/100M 以太卡，并带有两个扩展插槽。

PIX520适合在电信⾏业和⼤型的企业中应⽤，能提供256，000个同时连接数。

可⽀持多种介质类型：以太，令牌环和FDDI。

最多能够提供6个以太接⼝，⽀持3个令牌环接⼝和2个FDDI络接⼝，并且以太接⼝卡只能和令牌环接⼝混合使⽤。

思科ASA防火墙基本配置思科ASA防火墙基本配置Fire Wall 防火墙，它是一种位于内部网络与外部网络之间的网络安全系统，当然，防火墙也分软件防火墙与硬件防火墙。

硬件防火墙又分为：基于PC架构与基于ASIC芯片今天来聊一聊思科的'硬件防火墙 Cisco ASACisco ASA 防火墙产品线挺多：Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等ASA 的基本配置步骤如下：配置主机名、域名hostname [hostname]domain-name xx.xxhostname Cisco-ASA 5520domain-name 配置登陆用户名密码password [password]enable password [password]配置接口、路由interface interface_namenameif [name]name 有三种接口类型 insdie outside dmzsecurity-level xx(数值)数值越大接口安全级别越高注：默认inside 100 ,outside 0 ,dmz 介于二者之间静态路由route interface_number network mask next-hop-addressroute outside 0.0.0.0 0.0.0.0 210.210.210.1配置远程管理接入Telnettelnet {network | ip-address } mask interface_nametelnet 192.168.1.0 255.255.255.0 insidetelnet 210.210.210.0 255.255.255.0 outsideSSHcrypto key generate rsa modulus {1024| 2048 }指定rsa系数，思科推荐1024ssh timeout minutesssh version version_numbercrypto key generate rsa modulus 1024ssh timeout 30ssh version 2配置 ASDM(自适应安全设备管理器)接入http server enbale port 启用功能http {networdk | ip_address } mask interface_nameasdm image disk0:/asdm_file_name 指定文件位置username user password password privilege 15NATnat-controlnat interface_name nat_id local_ip maskglobal interface_name nat_id {global-ip [global-ip] |interface} nat-controlnat inside 1 192.168.1.0 255.255.255.0global outside 1 interfaceglobal dmz 1 192.168.202.100-192.168.202.150ACLaccess-list list-name standad permit | deny ip maskaccess-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask portaccess-group list-name in | out interface interface_name如果内网服务器需要以布到公网上staic real-interface mapped-interface mapped-ip real-ip staic (dmz,outside) 210.210.202.100 192.168.202.1保存配置wirte memory清除配置clear configure (all)【思科ASA防火墙基本配置】。

sophos防火墙设置防火墙的典型配置总结了防火墙基本配置十二个方面的内容。

硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单地说是一种PC式的电脑主机加上闪存（Flash）和防火墙操作系统。

它的硬件跟共控机差不多，都是属于能适合24小时工作的，外观造型也是相类似。

闪存基本上跟路由器一样，都是那中EEPROM，操作系统跟Cisco IOS相似,都是命令行（Command）式。

我第一次亲手那到的防火墙是Cisco Firewall Pix 525，是一种机架式标准（即能安装在标准的机柜里），有2U的高度，正面看跟Cisco 路由器一样，只有一些指示灯，从背板看，有两个以太口（RJ-45网卡）,一个配置口（console）,2个USB,一个15针的Failover口，还有三个PCI扩展口。

如何开始Cisco Firewall Pix呢？我想应该是跟Cisco 路由器使用差不多吧，于是用配置线从电脑的COM2连到PIX 525的console口，进入PIX操作系统采用windows系统里的“超级终端”，通讯参数设置为默然。

初始使用有一个初始化过程，主要设置：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，如果以上设置正确，就能保存以上设置，也就建立了一个初始化设置了。

进入Pix 525采用超级用户(enable),默然密码为空，修改密码用passwd 命令。

防火墙是处网络系统里，因此它跟网络的结构密切相关，一般会涉及的有Route(路由器)、网络IP 地址。

还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。

下面我讲一下一般用到的最基本配置1、建立用户和修改密码跟Cisco IOS路由器基本一样。

2、激活以太端口必须用enable进入，然后进入configure模式PIX525>enablePassword:PIX525#config tPIX525(config)#interface ethernet0 autoPIX525(config)#interface ethernet1 auto在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

思科基于CiscoPT模拟器的防⽕墙配置实验案例详解本⽂实例讲述了基于Cisco PT模拟器的防⽕墙配置实验。

分享给⼤家供⼤家参考，具体如下：基于上下⽂的访问控制拓扑图地址表Device Interface IP addressR1 F 0/0192.168.65.1S 0/0/010.1.65.1R2S 0/0/010.1.65.2S 0/0/110.2.65.2R3 F 0/0172.16.65.3S 0/0/010.2.65.3PC-A NIC192.168.65.4Default Gateway192.168.65.1PC-C NIC172.16.65.4Default Gateway172.16.65.3预配置：在配置防⽕墙之前验证设备间连通性，即先配置静态路由R1(config)#ip route 10.2.65.0 255.255.255.0 10.1.65.2R1(config)#ip route 172.16.65.0 255.255.255.0 10.1.65.2R2(config)#ip route 192.168.65.0 255.255.255.0 10.1.65.1R2(config)#ip route 172.16.65.0 255.255.255.0 10.2.65.3R3(config)#ip route 10.1.65.0 255.255.255.0 10.2.65.2R3(config)#ip route 192.168.65.0 255.255.255.0 10.2.65.2在R3启⽤密码R3(config)#enable password lzr123启⽤console⼝密码R3(config)#line console 0R3(config-line)#password lzr123启⽤vty⾏接⼊密码R3(config)#line vty 0 4R3(config-line)#password lzr123把S1、S2所有交换机接⼝都在Vlan1(S2配置相同)S1(config)#int f 0/1S1(config-if)# switchport access vlan 1S1(config-if)# switchport trunk allowed vlan 1S1(config)#int f 0/2S1(config-if)# switchport access vlan 1S1(config-if)# switchport trunk allowed vlan 1预配置完成验证:在PC-C的命令提⽰符中ping PC-A服务器在PC-C命令提⽰符中telnet路由R2的s0/0/1接⼝：地址时10.2.65.2.退出telnet阶段在PC-C开⼀个⽹页浏览器登⼊PC-A来展⽰⽹页。

本篇要为大家介绍一些实用的知识，那就是如何配置防火中的安全策略。

但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。

同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。

首先介绍一些基本的配置原则。

一. 防火墙的基本配置原则默认情况下，所有的防火墙都是按以下两种情况配置的：●拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

●允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。

一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。

换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。

其实这也是任何事物的基本原则。

越简单的实现方式，越容易理解和使用。

而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。

每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。

但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。

但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。

（2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。

ciscoASA防火墙配置思科cisco依靠自身的技术和对网络经济模式的深刻理解，成为了网络应用的成功实践者之一，那么你知道cisco ASA防火墙配置吗?下面是店铺整理的一些关于cisco ASA防火墙配置的相关资料，供你参考。

cisco ASA防火墙配置的方法：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

我们知道防⽕墙有四种类型：集成防⽕墙功能的路由器，集成防⽕墙功能的代理服务器，专⽤的软件防⽕墙和专⽤的软硬件结合的防⽕墙。

Cisco的防⽕墙解决⽅案中包含了四种类型中的第⼀种和第四种，即：集成防⽕墙功能的路由器和专⽤的软硬件结合的防⽕墙。

⼀、集成在路由器中的防⽕墙技术 1、路由器IOS标准设备中的ACL技术 ACL即Access Control Lis t（访问控制列表），简称Access List（访问列表），它是后续所述的IOS Firewall Feature Set的基础，也是Cisco全线路由器统⼀界⾯的操作系统IOS（Internet Operation System，间操作系统）标准配置的⼀部分。

这就是说在购买了路由器后，ACL功能已经具备，不需要额外花钱去买。

2、 IOS Firewall Feature Set（IOS防⽕墙软件包） IOS Firewall Feature Set是在ACL的基础上对安全控制的进⼀步提升，由名称可知，它是⼀套专门针对防⽕墙功能的附加软件包，可通过IOS升级获得，并且可以加载到多个Cisco路由器平台上。

⽬前防⽕墙软件包适⽤的路由器平台包括Cisco 1600、1700、2500、2600和3600，均属中、低端系列。

对很多倾向与使⽤"all-in-one solution"（⼀体化解决⽅案），⼒求简单化管理的中⼩企业⽤户来说，它能很⼤程度上满⾜需求。

之所以不在⾼端设备上实施集成防⽕墙功能，这是为了避免影响⼤型络的主⼲路由器的核⼼⼯作--数据转发。

在这样的络中，应当使⽤专⽤的防⽕墙设备。

Cisco IOS防⽕墙特征： 基于上下⽂的访问控制（CBAC）为先进应⽤程序提供基于应⽤程序的安全筛选并⽀持最新协议 Java能防⽌下载动机不纯的⼩应⽤程序 在现有功能基础上⼜添加了拒绝服务探测和预防功能，从⽽增加了保护 在探测到可疑⾏为后可向中央管理控制台实时发送警报和系统记录错误信息 TCP/UDP事务处理记录按源/⽬的地址和端⼝对跟踪⽤户访问 配置和管理特性与现有管理应⽤程序密切配合 订购信息 Cisco 1600系列Cisco IOS防⽕墙特性 IP/Firewall CD16-BW/EW/CH-11.3= IP/Firewall CD16-BY/EY/CH-11.3= IP/IPX/Firewall Plus CD16-C/BHP-11.3= Cisco 2500系列Cisco IOS防⽕墙特性 IP/Firewall CD25CH-11.2= IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=⼆、专⽤防⽕墙--PIX PIX（Private Internet eXchange）属于四类防⽕墙中的第四种--软硬件结合的防⽕墙，它的设计是为了满⾜⾼级别的安全需求，以较好的性能价格⽐提供严密的、强有⼒的安全防范。

基本防火墙功能配置实验目的：1.深入理解防火墙的原理及相关概念，掌握包过滤技术的应用，熟悉包过滤技术的配置过程。

2.能利用相关的工具及软件正确在路由器上基于包过滤技术的防火墙功能。

3.对访问控制列表及NAT技术的配置标准且规范。

4.能够采用正确的方法对ACL与NAT配置结果进行检查，并能说明检查结果。

实验要求：1.学习防火墙的基本概念、原理与功能相关的知识。

2.能在路由器上配置最基本的防火墙功能。

3.学会包过虑防火墙的原理与配置，能利用企业现有路由器配置ACL与NAT等功能，在尽可能最小的经济投入下实现对企业网络的基本防护。

实验工具与软件：1.硬件路由器或PacketTracer5软件（可用路由器模拟软件DynamipsGUI替代）、实际路由器配置中的工具软件；2.E4_PTAct_7_5_1的PKA文件；3.VM。

实验原理：图 1任务分解图1、防火墙的基本介绍随着网络应用的快速发展和对网络的依赖，企业网络及个人主机的安全受到挑战。

各种企图的网络攻击层出不穷，这可能给企业造成巨大的经济损失，这也就促进了防火墙技术的不断发展。

那么，什么是防火墙呢？防火墙的概念源引自建筑业，防火墙是用于防止一侧起火而引起另一侧起火而设置的一道屏障。

网络中的防火墙是安放于两个不同信任级别的网络之间的一个策略检查站，一般防火墙安放于企业内部网络和外部网络（互联网）之间，用以实施事先制定好的检查策略与安全防护动作。

可以把防火墙比喻成企业或校园的大门入口负责对进出的人员或车辆进行检查并实施有效的拦截的保卫人员。

一般防火墙是由软件和硬件组成的，并能对所有进出网络的通信数据流按规定策略进行检查、放行或拦截。

在防火墙的部署上要求将其放置于网络关键入口处以保证进出网络的全部数据流量能够流经防火墙。

所有通过防火墙的数据流都必须有安全策略和计划的确认和授权。

一般认为防火墙是穿不透的，但是由于其自身的漏洞或缺陷也是可能被攻击的。

例如目前多数使用中的防火墙还很难防御DDoS 等攻击。

防火墙配置目录一．防火墙的基本配置原则 (3)1.防火墙两种情况配置 (3)2.防火墙的配置中的三个基本原则 (3)3.网络拓扑图 (4)二．方案设计原则 (4)1. 先进性与成熟性 (4)2. 实用性与经济性 (5)3. 扩展性与兼容性 (5)4. 标准化与开放性 (5)5. 安全性与可维护性 (5)6. 整合型好 (5)三．防火墙的初始配置 (6)1.简述 (6)2.防火墙的具体配置步骤 (6)四．Cisco PIX防火墙的基本配置 (8)1. 连接 (8)2. 初始化配置 (8)3. enable命令 (8)4．定义以太端口 (8)5. clock (8)6. 指定接口的安全级别 (9)7. 配置以太网接口IP地址 (9)8. access-group (9)9．配置访问列表 (9)10. 地址转换（NAT） (10)11. Port Redirection with Statics (10)1.命令 (10)2．实例 (11)12. 显示与保存结果 (12)五．过滤型防火墙的访问控制表（ACL）配置 (13)1. access-list：用于创建访问规则 (13)2. clear access-list counters：清除访问列表规则的统计信息 (14)3. ip access-grou (15)4. show access-list (15)5. show firewall (16)一．防火墙的基本配置原则1.防火墙两种情况配置拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。

一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。

换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。