思科防火墙使用及功能配置
思科防火墙配置
11、给内部某个主机配置一个静态的公网IP地址
打开某端口给某台机器(假设IP为1.1.1.1):
conduit permit tcp host 1.1.1.1 eq 2000 any any
查看端口打开状态,应该用show static吧,记不清了。
以下是pix506的基本配置:
1、 给PIX506接上电源,并打开电脑主机。
2、 将CONSOLE口连接到主机的串口上,运行Hyperterminal程序,从CONSOLE口进入PIX系统。
3、 进入特权模式
PIX> enable
PIX#
4、 进入全局控制模式并设置密码
PIX#configure terminal
PIX(config)#passwd chenhong
arp inside 192.168.1.66 0017.316a.e5e8 alias
arp inside 192.168.1.70 0017.316a.e140 alias
/*允许访问外网的IP,其他IP都不能访问*/
access-list 110 permit ip host 192.168.1.86 any
icmp-object echo-reply
icmp-object unreachable
object-group network WWWSERVERS
network-object host 外网IP
access-list ACLIN permit tcp 外网IP 子网掩码 object-group WWWSERVERS object-group MYSERVICES
思科ASA5505防火墙配置成功实例
配置要求:1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。
2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。
3、Dmz服务器分别开放80、21、3389端口。
说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。
具体配置如下:希望对需要的朋友有所帮助ASA Version 7.2(4)!hostname asa5505enable password tDElRpQcbH/qLvnn encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface Vlan1nameif outsidesecurity-level 0ip address 外网IP 外网掩码!interface Vlan2nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0!interface Vlan3no forward interface Vlan1nameif dmzsecurity-level 50ip address 172.16.1.1 255.255.255.0!interface Ethernet0/0description outside!interface Ethernet0/1description insideswitchport access vlan 2!interface Ethernet0/2description dmzswitchport access vlan 3!interface Ethernet0/3description insideswitchport access vlan 2!interface Ethernet0/4shutdown!interface Ethernet0/5shutdown!interface Ethernet0/6shutdown!interface Ethernet0/7shutdown!ftp mode passiveobject-group service outside-to-dmz tcpport-object eq wwwport-object eq ftpport-object eq 3389access-list aaa extended permit tcp any host 外网IP object-group outsid e-to-dmzaccess-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 object-group outside-to-dmzpager lines 24mtu outside 1500mtu inside 1500mtu dmz 1500icmp unreachable rate-limit 1 burst-size 1asdm image disk0:/asdm-524.binno asdm history enablearp timeout 14400global (outside) 1 interfaceglobal (dmz) 1 172.16.1.10-172.16.1.254 netmask 255.255.255.0nat (inside) 1 192.168.1.0 255.255.255.0nat (dmz) 1 172.16.1.0 255.255.255.0alias (inside) 221.203.36.86 172.16.1.2 255.255.255.255static (dmz,outside) tcp interface www 172.16.1.2 www netmask 255.255.2 55.255 dnsstatic (dmz,outside) tcp interface ftp 172.16.1.2 ftp netmask 255.255.2 55.255 dnsstatic (dmz,outside) tcp interface 3389 172.16.1.2 3389 netmask 255.255. 255.255dnsstatic (inside,dmz) 172.16.1.2 192.168.1.0 netmask 255.255.255.255 dns access-group aaa in interface outsideaccess-group bbb in interface dmzroute outside 0.0.0.0 0.0.0.0 外网网关 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5ssh timeout 5console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcpinspect http!service-policy global_policy globalprompt hostname contextCryptochecksum:9d2a6010d4fc078cf026f98dcec96007 : endasa5505(config)#。
思科防火墙登陆及设置过程
一、防火墙登陆过程telnet 192.168.0.1输入:123用户名:en密码:srmciscoConf tShow run二、公网IP与内网IP映射:static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0三、再打开端口:输入以下一笔命今如access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端口) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端口) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端口)四、登出防火墙:logout五、增加上网电脑1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0(上网电脑IP地址)2、arp inside 192.168.0.188 000f.eafa.645d alias(绑定上网电脑网卡MAC地址)六、取消上网电脑1、no nat (inside) 1 192.168.0.188 255.255.255.255 0 0(上网电脑IP地址)2、no arp inside 192.168.0.188 000f.eafa.645d alias(绑定上网电脑网卡MAC地址)七、增加可以远程控制防火墙电脑telnet 192.168.0.188 255.255.255.255 inside八、保存已做改动设置wr me九、以下为现存防火墙配置。
思科防火墙使用及功能配置
10/100BaseTX Ethernet 1 (RJ-45)
10/100BaseTX Ethernet 0 (RJ-45)
Console port (RJ-45)
Power switch
通常的连接方案
PIX防火墙通用维护命令
访问模式
• PIX Firewall 有4种访问模式:
name 命令
pixfirewall(config)#
name ip_address name
DMZ
• 关联一个名称和一个IP地址
pixfirewall(config)# name 172.16.0.2 bastionhost
192.168.0.0/24
e0
.2 e2
.2
Bastion
.1
host
– 为中小企业而设计 – 并发吞吐量188Mbps – 168位3DES IPSec VPN吞吐量
63Mbps – Intel 赛扬 433 MHz 处理器 – 64 MB RAM – 支持 6 interfaces
PIX 515 基本配件
• PIX 515主机 • 接口转换头 • 链接线 • 固定角架 • 电源线 • 资料
terminal – show interface, show ip address,
show memory, show version, show xlate – exit reload – hostname, ping, telnet
enable 命令
pixfirewall>
enable
– Enables you to enter different access modes
Telecommuter
asa5505思科防火墙
asa5505思科防火墙公司网络不断更新,新进一设备名为cicoASA-5505防火墙。
公司准备把四台监控系统服务器通过防火墙与公司现有网络隔离。
但是现有的服务器有三台在之前分别在给市煤管局、集团公司、国投总公司提供监控信息。
所以更改IP地址的话会很麻烦。
所以公司决定将原有三台电脑的IP 地址做地址转换。
开放相应端口即可。
公司现有网络段为192.168.0.0隔离后网络段为172.168.1.0IOS版本为ASA-7.2与之前版本的配置有一定区别。
下面说说具体的操作步骤:1、将四台监控系统服务器通过普通交换机连接接,交换机接防火墙1口,防火墙0口与公司现有网络交换机连接,用conole线将防火墙与PC连接到一起。
2、打开PC运行超级终端,出现新建连接界面,随便输入名称确定,出现借口选择界面,选择相应的COM口即可,确定出现COM口属性设置,恢复默认即可。
3、进入防火墙出现Pre-configurePI某Firewallnowthroughinteractiveprompt[ye]意思是否进入交互配置对话模式选择N4、进入防火墙的命令提示符界面,cicoaa>在后面输入enable 进入特权模式cicoaa#在后面输入conft进入全局配置模式。
这时。
就可以对防火墙进行配置了。
5、配置防火墙名cicoaa(config)#hotnamedyq配置防火墙密码(config)#enablepawordadmin配置IPdyq(config)#interfacevlan1dyq(config-if)#ipaddre192.168.0.251255.255.255.0dyq(config-if)#nohutdowndyq(config-if)#ecurity-level0dyq(config-if)#nameifoutidedyq(config-if)#e某itdyq(config)#interfacevlan2dyq(config-if)#ipaddre172.168.1.1255.255.255.0dyq(config-if)#nohutdowndyq(config-if)#ecurity-level100dyq(config-if)#nameifinidedyq(config-if)#e某it将e0和e1口加入VLANdyq(config)#interfaceethernet0/0dyq(config-if)#nohutdown dyq(config-if)#witchportaccevlan1dyq(config-if)#e某itdyq(config)#interfaceethernet0/1同上dyq(config)#acce-litacl_oute某tendedpermiticmpanyanydyq(config)#acce-litacl_oute某tendedpermittcpanyhot192.168.0.7eq1433dyq(config)#acce-litacl_oute某tendedpermittcpanyhot192.168.0.8eq8080dyq(config)#acce-litacl_oute某tendedpermittcpanyhot192.168.0.8eq445dyq(config)#acce-litacl_oute某tendedpermittcpanyhot192.168.0.8eq1433允许主机192.168.0.9开放80端口acl_out为访问控制列表号验证访问控制列表howacce-lit配置路由dyq(config)#routeoutide00192.168.0.1验证howroute配置静态NATdyq(config)#tatic(inide,outide)192.168.0.7172.168.1.10netmak255.255.255.255dy q(config)#tatic(inide,outide)192.168.0.8172.168.1.20netmak255.255.255.255dy q(config)#tatic(inide,outide)192.168.0.9172.168.1.30netmak255.255.255.255IP 地址转换内网IP172.168.1.某转换为外网IP192.168.0.某配置动态NAT(PAT)dyq(config)#global(outide)1interfacedyq(config)#nat(inide)1172.1 68.1.0255.255.255.0或者dyq(config)#nat(inide)100。
思科ASA防火墙基本配置
思科ASA防火墙基本配置思科ASA防火墙基本配置Fire Wall 防火墙,它是一种位于内部网络与外部网络之间的网络安全系统,当然,防火墙也分软件防火墙与硬件防火墙。
硬件防火墙又分为:基于PC架构与基于ASIC芯片今天来聊一聊思科的'硬件防火墙 Cisco ASACisco ASA 防火墙产品线挺多:Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等ASA 的基本配置步骤如下:配置主机名、域名hostname [hostname]domain-name xx.xxhostname Cisco-ASA 5520domain-name 配置登陆用户名密码password [password]enable password [password]配置接口、路由interface interface_namenameif [name]name 有三种接口类型 insdie outside dmzsecurity-level xx(数值)数值越大接口安全级别越高注:默认inside 100 ,outside 0 ,dmz 介于二者之间静态路由route interface_number network mask next-hop-addressroute outside 0.0.0.0 0.0.0.0 210.210.210.1配置远程管理接入Telnettelnet {network | ip-address } mask interface_nametelnet 192.168.1.0 255.255.255.0 insidetelnet 210.210.210.0 255.255.255.0 outsideSSHcrypto key generate rsa modulus {1024| 2048 }指定rsa系数,思科推荐1024ssh timeout minutesssh version version_numbercrypto key generate rsa modulus 1024ssh timeout 30ssh version 2配置 ASDM(自适应安全设备管理器)接入http server enbale port 启用功能http {networdk | ip_address } mask interface_nameasdm image disk0:/asdm_file_name 指定文件位置username user password password privilege 15NATnat-controlnat interface_name nat_id local_ip maskglobal interface_name nat_id {global-ip [global-ip] |interface} nat-controlnat inside 1 192.168.1.0 255.255.255.0global outside 1 interfaceglobal dmz 1 192.168.202.100-192.168.202.150ACLaccess-list list-name standad permit | deny ip maskaccess-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask portaccess-group list-name in | out interface interface_name如果内网服务器需要以布到公网上staic real-interface mapped-interface mapped-ip real-ip staic (dmz,outside) 210.210.202.100 192.168.202.1保存配置wirte memory清除配置clear configure (all)【思科ASA防火墙基本配置】。
思科ASA 5510防火墙实战配置中文手册
配置设备介绍:(只为做实验实际应用请根据自己具体情况更改相关参数即可)核心交换机4507提供VLAN3 网关地址:192.168。
3。
254提供DNS 服务器连接:192。
168.0。
1接入交换机2960提供VLAN3 TURNK 连接,可用IP 地址为192。
168。
3。
0-192.168。
3.240掩码:255.255。
255.0网关:192.168.3.254DNS:192.168。
0.1内网实验防火墙CISCO ASA 5510E0/0 IP:192.168。
3。
234E0/1 IP 10。
1。
1。
1实现配置策略1. 动态内部PC1 DHCP 自动获得IP 地址,可访问INTERNET,并PING 通外部网关。
PC1 Ethernet adapter 本地连接:Connection—specific DNS Suffix 。
: gametuziDescription . 。
. . . . 。
:Broadcom 440x rollerPhysical Address。
. . 。
. . 。
: 00-13-77-04—9Dhcp Enabled。
. 。
. 。
. 。
:YesAutoconfiguration Enabled 。
. . :YesIP Address. 。
. 。
. . . 。
. :10.1.1。
20Subnet Mask . . . . 。
. 。
. 。
: 255.255。
0.0Default Gateway . . 。
. 。
: 10.1。
1.1DHCP Server . 。
. 。
. 。
. : 10。
1。
1。
1DNS Servers . . . . . 。
. . 。
: 192.168.0。
12. 静态内部PC2 手动分配地址,可访问INTERNET ,并PING 通外部网关. PC1 Ethernet adapter 本地连接:Connection—specific DNS Suffix 。
思科防火墙设置
增加一台服务器具体要求。
新增一台服务器地址:10.165.127.15/255.255.255.128。
需要nat 转换成公网地址16.152.91.223 映射出去,并对外开通这台服务器的80端口。
在对外pix525上面增加如下:access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223可是为什么转换后,不能访问16.52.91.223的网页,但确可以ping通16.52.91.223,但是访问10.165.127.15的主页是正常的??具体配置如下:pix-525> enablePassword: *****pix-525# sh run: Saved:PIX Version 6.3(5)interface ethernet0 100fullinterface ethernet1 100fullnameif ethernet0 outside security0nameif ethernet1 inside security100enable password FVHQD7n.FuCW78fS level 7 encryptedenable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname wgqpix-525fixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69namesaccess-list acl_out permit tcp any host 16.152.91.221 eq wwwaccess-list acl_out permit icmp any anyaccess-list acl_out permit tcp any host 16.152.91.220 eq httpsaccess-list acl_out permit tcp any host 16.152.91.223 eq wwwaccess-list outbound permit icmp any anyaccess-list outbound permit ip any anypager lines 24mtu outside 1500mtu inside 1500ip address outside 16.152.91.222 255.255.255.128ip address inside 10.165.127.254 255.255.255.252ip audit info action alarmip audit attack action alarmno failoverfailover timeout 0:00:00failover poll 15no failover ip address outsideno failover ip address insideno pdm history enablearp timeout 14400static (inside,outside) 16.152.91.221 10.165.127.11 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.220 10.165.127.23 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 access-group acl_out in interface outsideaccess-group outbound in interface insideroute outside 0.0.0.0 0.0.0.0 16.152.91.129 1route inside 10.165.0.0 255.255.0.0 10.165.127.253 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout sip-disconnect 0:02:00 sip-invite 0:03:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server TACACS+ max-failed-attempts 3aaa-server TACACS+ deadtime 10aaa-server RADIUS protocol radiusaaa-server RADIUS max-failed-attempts 3aaa-server RADIUS deadtime 10aaa-server LOCAL protocol localhttp server enableno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable trapsfloodguard enabletelnet 10.165.6.225 255.255.255.255 insidetelnet 10.165.127.12 255.255.255.255 insidetelnet 10.165.127.250 255.255.255.255 insidetelnet 10.165.6.15 255.255.255.255 insidetelnet 10.165.6.16 255.255.255.255 insidetelnet timeout 5ssh timeout 5console timeout 0username admin password iuQeTKNaNbruxBKd encrypted privilege 2terminal width 80Cryptochecksum:b2e1195d144f48f01fe66606cd31d0f2: endwgqpix-525#最佳答案( 回答者: xintao800 )PIX防火墙提供4种管理访问模式:²非特权模式。
思科防火墙登陆及设置过程
思科防⽕墙登陆及设置过程⼀、防⽕墙登陆过程telnet 192.168.0.1输⼊:123⽤户名:en密码:srmciscoConf tShow run⼆、公⽹IP与内⽹IP映射:static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0三、再打开端⼝:输⼊以下⼀笔命今如access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端⼝) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端⼝) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端⼝) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端⼝) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端⼝) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端⼝)四、登出防⽕墙:logout五、增加上⽹电脑1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0(上⽹电脑IP地址)2、arp inside 192.168.0.188 000f.eafa.645d alias(绑定上⽹电脑⽹卡MAC地址)六、取消上⽹电脑1、no nat (inside) 1 192.168.0.188 255.255.255.255 0 0(上⽹电脑IP地址)2、no arp inside 192.168.0.188 000f.eafa.645d alias(绑定上⽹电脑⽹卡MAC地址)七、增加可以远程控制防⽕墙电脑telnet 192.168.0.188 255.255.255.255 inside⼋、保存已做改动设置wr me九、以下为现存防⽕墙配置。
思科路由器防火墙配置命令
【参数说明】
enable 表示启用防火墙。
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【参数说明】
all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters
【相关命令】
access-list
三、firewall 启用或禁止防火墙。
firewall { enable | disable }
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
思科防火墙基本配置指导
下面我讲一下一般用到的最基本配置1、建立用户和修改密码跟Cisco IOS路由器基本一样。
2、激活以太端口必须用enable进入,然后进入configure模式PIX525>enablePassword:PIX525#config tPIX525(config)#interface ethernet0 autoPIX525(config)#interface ethernet1 auto在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
3、命名端口与安全级别采用命令nameifPIX525(config)#nameif ethernet0 outside security0PIX525(config)#nameif ethernet0 outside security100security0是外部端口outside的安全级别(0安全级别最高)security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。
4、配置以太端口IP 地址采用命令为:ip address如:内部网络为:192.168.1.0 255.255.255.0外部网络为:222.20.16.0 255.255.255.0PIX525(config)#ip address inside 192.168.1.1 255.255.255.0PIX525(config)#ip address outside 222.20.16.1 255.255.255.05、配置远程访问[telnet]在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。
Cisco ASA5500 配置手册
Cisco ASA5500系列防火墙基本配置手册一、配置基础1.1用户接口思科防火墙支持下列用户配置方式:Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性),ASDM的http方式,VMS的Firewall Management Center。
支持进入Rom Monitor模式,权限分为用户模式和特权模式,支持Help,History和命令输出的搜索和过滤。
用户模式:Firewall> 为用户模式,输入enable进入特权模式Firewall#。
特权模式下输入config t 可以进入全局配置模式。
通过exit,ctrl-z退回上级模式。
配置特性:在原有命令前加no可以取消该命令。
Show running-config 或者 write terminal显示当前配置。
Show running-config all显示所有配置,包含缺省配置。
Tab可以用于命令补全,ctrl-l可以用于重新显示输入的命令(适用于还没有输入完命令被系统输出打乱的情况),help和history相同于IOS命令集。
Show命令支持 begin,include,exclude,grep 加正则表达式的方式对输出进行过滤和搜索。
Terminal width 命令用于修改终端屏幕显示宽度,缺省为80个字符,pager命令用于修改终端显示屏幕显示行数,缺省为24行。
1.2初始配置跟路由器一样可以使用setup进行对话式的基本配置。
二、配置连接性2.1配置接口接口基础:防火墙的接口都必须配置接口名称,接口IP地址和掩码和安全等级。
接口基本配置:Firewall(config)# interface hardware-id 进入接口模式Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate} 设置接口速率Firewall(config-if)# duplex {auto | full | half} 接口工作模式Firewall(config-if)# [no] shutdown 激活或关闭接口Firewall(config-if)# nameif if_name 配置接口名称Firewall(config-if)# security-level level 定义接口的安全级别例:interface GigabitEthernet0/0nameif outsidesecurity-level 0ip address 125.78.33.22 255.255.255.248!interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 192.168.18.254 255.255.255.0在配置中,接口被命名为外部接口(outside),安全级别是0;被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。
思科 RV110W 快速入门指南说明书
快速入门指南思科RV110W Wireless-N VPN 防火墙包装清单•Wireless-N VPN 防火墙•以太网电缆•电源适配器•快速入门指南•文档和软件(存储于 CD-ROM 光盘上)欢迎感谢您选择思科 RV110W Wireless-N VPN 防火墙。
RV110W 能够为小型办公室/家庭办公室 (SoHo) 及远程工作的专业人员提供简单、经济、安全的企业级 Internet 连接。
本指南介绍了如何物理安装 Cisco RV110W ,以及如何启动基于 Web 的设备管理器来配置和管理您的防火墙路由器。
安装 RV110W安放提示•环境温度 - 为防止防火墙路由器过热,请勿在环境温度超过 104°F (40°C) 的地方运行防火墙路由器。
•通风 - 请确保防火墙路由器周围的通风良好。
•机械负载 - 请确保防火墙路由器放置平稳,以免出现任何对防火墙路由器造成损坏的情况。
请将 Cisco RV110W 设备水平放置在平面上,以便设备依靠其四个橡胶支脚来支撑。
Cisco RV110W 特性前面板12后面板电源电源指示灯呈绿色亮起表示设备已接通电源。
接通电源过程中,此指示灯呈绿色闪烁。
WPSWi-Fi保护设置 (WPS) 按钮用于为网络中支持 WPS 的设备配置无线接入。
有关详情,请参阅《管理指南》或设备管理器帮助页面。
WAN Cisco RV110W 通过电缆调制解调器或 DSL 调制解调器连接至 Internet 时,WAN (Internet) 指示灯会呈绿色亮起。
Cisco RV110W 未连接至 Internet 时,此指示灯处于熄灭状态。
发送或接收数据时,此指示灯会呈绿色闪烁。
无线启用无线模块后,此指示灯会呈绿色亮起。
禁用无线模块后,此指示灯处于熄灭状态。
防火墙路由器在无线模块上传输或接收数据时,此指示灯会呈绿色闪烁。
LAN 端口标有编号的指示灯与 Cisco RV110W 上的 LAN 端口相对应。
思科防火墙配置手册
思科ASA和PIX防火墙配置手册目录第一章配置基础 (1)1.1 用户接口 (1)1.2 防火墙许可介绍 (2)1.3 初始配置 (2)第二章配置连接性 (3)2.1 配置接口 (3)2.2 配置路由 (5)2.3 DHCP (6)2.4 组播的支持 (7)第三章防火墙的管理 (8)3.1 使用Security Context建立虚拟防火墙(7.x特性) (8)3.2 管理Flash文件系统 (9)3.3 管理配置文件 (10)3.4 管理管理会话 (10)3.5 系统重启和崩溃 (11)3.6 SNMP支持 (12)第四章用户管理 (13)4.1 一般用户管理 (13)4.2 本地数据库管理用户 (13)4.3 使用AAA服务器来管理用户 (14)4.4 配置AAA管理用户 (14)4.5 配置AAA支持用户Cut-Through代理 (15)4.6 密码恢复 (15)第五章防火墙的访问控制 (16)5.1 防火墙的透明模式 (16)思科ASA 和PIX 防火墙配置手册5.2 防火墙的路由模式和地址翻译 (17)5.3 使用ACL进行访问控制 (20)第六章配置Failover增加可用性 (23)6.1 配置Failover (23)6.2 管理Failover (25)6.3 升级Failover模式防火墙的OS镜像 (25)第七章配置负载均衡 (26)7.1 配置软件实现(只在6500 native ios模式下) (26)7.2 配置硬件实现 (27)7.3 配置CSS实现 (29)第八章日志管理 (30)8.1 时钟管理 (30)8.2 日志配置 (30)8.3 日志消息输出的微调 (32)8.4 日志分析 (33)第九章防火墙工作状态验证 (34)9.1 防火墙健康检查 (34)9.2 流经防火墙数据的监控 (34)9.3 验证防火墙的连接性 (35)思科ASA 和PIX 防火墙配置手册第一章配置基础1.1 用户接口思科防火墙支持下列用户配置方式:Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性,PDM的http方式(7.x以后称为ASDM)和VMS的Firewall Management Center。
思科ASA 5510防火墙实战配置中文手册
思科A S A5510防火墙实战配置中文手册配置设备介绍:(只为做实验实际应用请根据自己具体情况更改相关参数即可)核心交换机 4507提供VLAN3 网关地址:192.168.3.254提供 DNS 服务器连接:192.168.0.1接入交换机 2960提供 VLAN3 TURNK 连接,可用IP 地址为192.168.3.0-192.168.3.240掩码:255.255.255.0网关:192.168.3.254DNS: 192.168.0.1内网实验防火墙 CISCO ASA 5510E0/0 IP:192.168.3.234E0/1 IP 10.1.1.1实现配置策略1. 动态内部 PC1 DHCP 自动获得IP 地址,可访问INTERNET,并PING 通外部网关。
PC1 Ethernet adapter 本地连接:Connection-specific DNS Suffix . : gametuziDescription . . . . . . . . . . . : Broadcom 440x rollerPhysical Address. . . . . . . . . : 00-13-77-04-9Dhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesIP Address. . . . . . . . . . . . : 10.1.1.20Subnet Mask . . . . . . . . . . . : 255.255.0.0Default Gateway . . . . . . . . . : 10.1.1.1DHCP Server . . . . . . . . . . . : 10.1.1.1DNS Servers . . . . . . . . . . . : 192.168.0.12. 静态内部 PC2 手动分配地址,可访问 INTERNET ,并PING 通外部网关。
思科防火墙ASA5520配置
思科防火墙ASA5520配置博客分类:网络思科防火墙ASA5520配置:目的:1、内网可以上网2、内网可以访问DMZ区域的服务器3、外网可以通过公网IP访问DMZ区域的服务器要求:1、内网的网段192.168.10.02、DMZ的网段192.168.5.03、外网IP地址:200.200.200.82 200.200.200.83 网关255.255.255.248(这个地址一般是运营商提供)4、外网路由:200.200.200.815、DMZ区域的服务器IP地址:192.168.5.2步骤1:配置接口inside、outside和dmzinterface g0/0speed autoduplex autonameif insideSecurity-level 100ip address 192.168.10.1 255.255.255.0no shutexitinterface g0/1speed autoduplex autonameif outsideSecurity-level 0ip address 200.200.200.82 255.255.255.248 no shutexitinterface g0/2speed autoduplex autonameif dmzSecurity-level 50ip address 192.168.5.1 255.255.255.0no shutexit步骤2、添加外网路由route outside 0 0 200.200.200.81步骤3、做nat转换,使得内网可以上网,同时内网可以访问dmz区域的服务器nat-controlnat (inside) 1 192.168.10.0 255.255.255.0global (outside) 1 interfaceglobal (dmz) 1 interface步骤4、做静态nat,将对外网IP的访问转换到dmz区域的服务器static (dmz,outside) 200.200.200.83 192.168.5.2 netmask255.255.255.255 dns注意:这里的外网IP不是outside的接口地址,是另外一个公网IP步骤5、配置ACL规则,允许外网访问DMZ服务器access-list out_dmz extended permit tcp any host 200.200.200.83 eq wwwaccess-group out_dmz in interface outside到此配置结束,正常情况下上面的要求都可以实现了,但是可能由于每个机房的环境不一样,结果会有一些错误。
思科防火墙
基本防火墙功能配置实验目的:1.深入理解防火墙的原理及相关概念,掌握包过滤技术的应用,熟悉包过滤技术的配置过程。
2.能利用相关的工具及软件正确在路由器上基于包过滤技术的防火墙功能。
3.对访问控制列表及NAT技术的配置标准且规范。
4.能够采用正确的方法对ACL与NAT配置结果进行检查,并能说明检查结果。
实验要求:1.学习防火墙的基本概念、原理与功能相关的知识。
2.能在路由器上配置最基本的防火墙功能。
3.学会包过虑防火墙的原理与配置,能利用企业现有路由器配置ACL与NAT等功能,在尽可能最小的经济投入下实现对企业网络的基本防护。
实验工具与软件:1.硬件路由器或PacketTracer5软件(可用路由器模拟软件DynamipsGUI替代)、实际路由器配置中的工具软件;2.E4_PTAct_7_5_1的PKA文件;3.VM。
实验原理:图 1任务分解图1、防火墙的基本介绍随着网络应用的快速发展和对网络的依赖,企业网络及个人主机的安全受到挑战。
各种企图的网络攻击层出不穷,这可能给企业造成巨大的经济损失,这也就促进了防火墙技术的不断发展。
那么,什么是防火墙呢?防火墙的概念源引自建筑业,防火墙是用于防止一侧起火而引起另一侧起火而设置的一道屏障。
网络中的防火墙是安放于两个不同信任级别的网络之间的一个策略检查站,一般防火墙安放于企业内部网络和外部网络(互联网)之间,用以实施事先制定好的检查策略与安全防护动作。
可以把防火墙比喻成企业或校园的大门入口负责对进出的人员或车辆进行检查并实施有效的拦截的保卫人员。
一般防火墙是由软件和硬件组成的,并能对所有进出网络的通信数据流按规定策略进行检查、放行或拦截。
在防火墙的部署上要求将其放置于网络关键入口处以保证进出网络的全部数据流量能够流经防火墙。
所有通过防火墙的数据流都必须有安全策略和计划的确认和授权。
一般认为防火墙是穿不透的,但是由于其自身的漏洞或缺陷也是可能被攻击的。
例如目前多数使用中的防火墙还很难防御DDoS 等攻击。
思科ASA 5500-X系列下一代防火墙和AnyConnect安全移动客户端产品手册说明书
产品手册Cisco AnyConnect 安全移动客户端和 Cisco ASA 5500-X 系列下一代防火墙 (VPN)思科® ASA 5500-X 系列下一代防火墙是专门构建的平台,兼具一流的安全功能和 VPN 服务。
组织可以获得互联网传输的连接和成本收益,且不会影响公司安全策略的完整性。
通过将安全套接字层 (SSL) 和 IP 安全 (IPsec) VPN 服务与全面威胁防御技术相结合,思科 ASA 5500-X 系列下一代防火墙可以提供高度可定制的网络接入,满足各种部署环境的要求,同时提供高级终端和网络级安全性(图 1)。
图 1.适合任意部署方案的可定制 VPN 服务AnyConnect 与思科 ASA 5500-X 系列自适应安全设备自适应安全设备可以为任意连接场景提供灵活的技术,每台设备最多可扩展至支持 10,000 个并发用户。
它通过以下方面提供易于管理的全隧道网络接入:●SSL(DTLS 和 TLS)●IPsec VPN 客户端技术●针对统一合规性和思科 Web 安全设备进行了优化的 AnyConnect®安全移动客户端●高级无客户端 SSL VPN 功能●网络感知站点到站点 VPN 连接此解决方案为移动用户、远程站点、承包商和业务合作伙伴提供高度安全的公共网络连接。
无需辅助设备即可轻松扩展 VPN 和保证其安全,从而降低 VPN 部署和运营相关的成本。
AnyConnect 安全移动客户端的优点包括:●SSL(TLS 和 DTLS)和基于 IPsec 的全网络访问:全网络访问可以为几乎所有的应用或网络资源提供网络层远程用户连接,而且通常用于将访问扩展至被管理的计算机,例如属于公司的笔记本电脑。
通过AnyConnect 安全移动客户端、Microsoft 第 2 层隧道协议 (L2TP) IPsec VPN 客户端、Apple iOS 和 Mac OS X 内置 IPsec VPN 客户端和各种支持 IPsec IKEv2 的第三方远程访问 VPN 客户端,均可获得连接。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Intrusion over WLAN, Hijacked remote session
Wireless
HR
Network
Internal attacks, malicious users
Finance
安全产品市场分析
数据来源:CNCERT/CC 2004年全国网络安全状况调查报告
对防火墙的需求
• 网络规模/流量增长的 需求
• 可靠性的需求 • DOS攻击防范的需求 • 蠕虫病毒防范的需求 • 日志性能需求
Business Partner
Compromised PC, U turn attacks
Worms, Trojan attacks
DMZ
Regional Office
– 为中小企业而设计 – 并发吞吐量188Mbps – 168位3DES IPSec VPN吞吐量
63Mbps – Intel 赛扬 433 MHz 处理器 – 64 MB RAM – 支持 6 interfaces
PIX 515 基本配件
• PIX 515主机 • 接口转换头 • 链接线 • 固定角架 • 电源线 • 资料
terminal – show interface, show ip address,
show memory, show version, show xlate – exit reload – hostname, ping, telnet
enable 命令
pixfirewall>
enable
– Enables you to enter different access modes
– 非特权模式:PIX防火墙开机自检后,就处于该模式,系统 提示为:pixfirewall>
– 特权模式:enable进入特权模式,可改变当前配置,显示 为:pixfirewall#
– 配置模式:输入configure terminal进入,绝大部分系统 配置都在这里进行,显示为:pixfirewall(config)#
FDX LED
10/100BaseTX Ethernet 1 (RJ-45)
10/100BaseTX Ethernet 0 (RJ-45)
Console port (RJ-45)
Power switch
通常的连接方案
PIX防火墙通用维护命令
访问模式
• PIX Firewall 有4种访问模式:
– 监视模式:PIX开机或重启过程中,按住esc键或发送一 个break字符进入监视模式,可以在此更新操作系统镜 像和口令回复,显示为:monitor>
PIX 防火墙基本命令
– enable, enable password, passwd – write erase, write memory, write
kill telnet_id 2: From 10.10.54.0
pixfirewall(config)# kill 2
– 中止一个Telnet 会话
pixfirewall(config)#
who [local_ip] – 当前通过telnet访问控制台的主机地址
show 命令
show history show memory-显示系统内存的使用情况
show memory 16777216 bytes total, 5595136 bytes free
show version-浏览PIX防火墙操作信息 show xlate-查看地址转换信息 show cpu usage
hostname and ping 命令
pixfirewall(config)#
hostname newname
• hostname
pixfirewall (config)# hostname proteus proteus(config)# hostname pixfirewall
pixfirewall(config)#
4 input errors, 0 crc, 4 frame, 0 overrun, 0 ignored, 0
abort
1310091 packets output, 547097270 bytes, 0 underruns 0 unicast
rpf drops
0 output errors, 28075 collisions, 0 interface resets
e1 .1 172.16.0.0/24
10.0.0.0/24
telnet 命令
– 指定可以telnet连接到控制台的主机地址
pixfirewall(config)#
telnet ip_address [netmask] [if_name]
pixfirewall(config)#
pixfirewall(config)# show who
各行业对网络安全技术最高使用率对比 数据来源:CNCERT/CC 2004年全国网络安全状况调查报告
防火墙的发展
软件
软硬结合
硬件
Netscreen与一般硬件防火墙比较
NetScreen 先进的硬件结构
In Out
集成的安全应用
安全实时的操作系统
High Speed Backplane
CPU
GigaScreen ASIC
Using two single-port connectors requires the PIX Firewall 515-UR license.
The PIX Firewall 515
100 Mbps LED
LLLILENINEDKDK
100 Mbps LED
FDX LINK LED LED
Failover connector
pixfirewall> enable password: pixfirewall# configure terminal pixfirewall(config)# pixfirewall(config)# exit pixfirewall#
enable password 和 passwd 命令
– 设置进入特权模式的访问密码. pixfirewall# enable password password
ping [if_name] ip_address
• ping
pixfirewall(config)# ping 10.0.0.3 10.0.0.3 response received -- 0Ms 10.0.0.3 response received -- 0Ms 10.0.0.3 response received -- 0Ms
pixfirewall#
passwd password – passwd 设置telnet访问控制台口令
write 命令
• The following are the write commands:
– write net:将存储当前配置的文件写入到TFTP 服务器上
– write erase:清除Flash中的配置 – write floppy:将配置文件写入软盘 – write memory:将配置文件写入到Flash – write terminal:显示存储在Flash中的配置信息
科技网用户培训
防火墙使用及功能配置
荆涛
2005-9-27
提纲
• 防火墙相关知识 • Cisco PIX 515E • Netscreen 500
防火墙介绍
防火墙的概念
• 防火墙是指设置在不同网络(如可信任的 企业内部网和不可信的公共网)或网络安 全域之间的一系列部件的组合。
防火墙术语
• 网关:在两个设备之间提供转发服务的系统。网关是互联网应用程 序在两台主机之间处理流量的防火墙。这个术语是非常常见的。
The PIX Firewall 515 前面版
Power LED Active Failover Unit
Network LED
PIX Firewall 515 模块
Using the quad card requires the PIX Firewall 515-UR license.
PIX Firewall 515双单口连接器
I/O
RAM
安全的特定处理进程
• 新的线速包处理进程 • 被优化的每个进程模块 • 为安全进程和性能优化的应用和硬件
PC硬件系统
应用
操作系统
CPU
In I/O Out
RAM
VPN Co-Processor
Bus
通用的处理进程
• 数据必须通过几个非优化的接口 • 每个 “API”都会引入安全风险、解释和厂商独立
性
• 进程延迟可能造成“不可预知的行为” • 无法优化数据路径
Cisco PIX 520防火墙图片
CPU,RAM
Intel EtherExpress Pro/100+
Cisco PIX Firewall 515E
Cisco PIX515E 防火墙
PIX:Private Internet eXchange
• 最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴 近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。 防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验 防火墙这方面能力的指标。
• 数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对 数据流量的处理速度。
• 并发连接数目:由于防火墙是针对连接进行处理报文的,并发连接数 目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一 个TCP/UDP的访问。
• DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务 的服务器往往放在一个单独的网段,这个网段便是非军事化区。防 火墙一般配备三块网卡,在配置时一般分别分别连接内部网, internet和DMZ。