思科防火墙登陆及设置过程

配置要求：1、分别划分inside（内网）、outside（外网）、dmz（安全区）三个区域。

2、内网可访问外网及dmz内服务器（web），外网可访问dmz内服务器（web）。

3、Dmz服务器分别开放80、21、3389端口。

说明：由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。

具体配置如下：希望对需要的朋友有所帮助ASA Version 7.2(4)!hostname asa5505enable password tDElRpQcbH/qLvnn encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface Vlan1nameif outsidesecurity-level 0ip address 外网IP 外网掩码!interface Vlan2nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0!interface Vlan3no forward interface Vlan1nameif dmzsecurity-level 50ip address 172.16.1.1 255.255.255.0!interface Ethernet0/0description outside!interface Ethernet0/1description insideswitchport access vlan 2!interface Ethernet0/2description dmzswitchport access vlan 3!interface Ethernet0/3description insideswitchport access vlan 2!interface Ethernet0/4shutdown!interface Ethernet0/5shutdown!interface Ethernet0/6shutdown!interface Ethernet0/7shutdown!ftp mode passiveobject-group service outside-to-dmz tcpport-object eq wwwport-object eq ftpport-object eq 3389access-list aaa extended permit tcp any host 外网IP object-group outsid e-to-dmzaccess-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 object-group outside-to-dmzpager lines 24mtu outside 1500mtu inside 1500mtu dmz 1500icmp unreachable rate-limit 1 burst-size 1asdm image disk0:/asdm-524.binno asdm history enablearp timeout 14400global (outside) 1 interfaceglobal (dmz) 1 172.16.1.10-172.16.1.254 netmask 255.255.255.0nat (inside) 1 192.168.1.0 255.255.255.0nat (dmz) 1 172.16.1.0 255.255.255.0alias (inside) 221.203.36.86 172.16.1.2 255.255.255.255static (dmz,outside) tcp interface www 172.16.1.2 www netmask 255.255.2 55.255 dnsstatic (dmz,outside) tcp interface ftp 172.16.1.2 ftp netmask 255.255.2 55.255 dnsstatic (dmz,outside) tcp interface 3389 172.16.1.2 3389 netmask 255.255. 255.255dnsstatic (inside,dmz) 172.16.1.2 192.168.1.0 netmask 255.255.255.255 dns access-group aaa in interface outsideaccess-group bbb in interface dmzroute outside 0.0.0.0 0.0.0.0 外网网关 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5ssh timeout 5console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcpinspect http!service-policy global_policy globalprompt hostname contextCryptochecksum:9d2a6010d4fc078cf026f98dcec96007 : endasa5505(config)#。

思科PIX 防火墙的基本配置【项目目标】掌握PIX 防火墙基本配置方法。

【项目背景】某公司使用Cisco PIX 515防火墙连接到internet ，ISP 分配给该公司一段公网IP 地址。

公司具有Web 服务器和Ftp 服务器，要求让内网用户和外网用户都能够访问其web 服务和FTP 服务，但外部网络用户不可以访问内网。

【方案设计】1.总体设计ISP 分配给该公司一段公网IP 地址为61.1.1.2—61.1.1.254。

在DMZ 区域放置一台Web 服务器和一台Ftp 服务器，使用61.1.1.3和61.1.1.4这两个全局IP 地址分别将Web 服务器和Ftp 服务器发布到Internet 。

利用访问控制列表来控制外网用户的访问。

2.任务分解任务1：防火墙基本配置。

任务2：接口基本配置。

任务3：配置防火墙默认路由。

任务4：配置内网用户访问外网规则。

任务5：发布DMZ 区域的服务器。

任务6：配置访问控制列表。

任务7：查看与保存配置。

3.知识准备所有的防火墙都是按以下两种情况配置的：（1）拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型。

（2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

不过大多数防火墙默认都是拒绝所有的流量作为安全选项。

一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。

换句话说，如果你想让你的内部用户能够发送和接收Email ，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP 的进程。

4.拓扑结构：如图8-17所示。

图8-17 项目拓扑结构5.设备说明PIX515dmzoutsidinside File ServerWeb192.168.1.Interne以PIX515防火墙7.X 版本的操作系统为例，介绍其配置过程。

在配置之前先假设pix515防火墙的ethernet0接口作为外网接口(命名为outside)，并分配全局IP 地址为61.1.1.2；ethernet1接口作为内网接口(命名为inside)，并分配私有IP 地址为192.168.1.1；ethernet2接口作为DMZ 接口，并分配私有IP 地址为192.168.2.1。

cisco防火墙配置手册一、Cisco Pix日常维护常用命令1、Pix模式介绍“>”用户模式firewall>enable由用户模式进入到特权模式password:“#”特权模式firewall#config t由特权模式进入全局配置模式“（config）#”全局配置模式firewall(config)#防火墙的配置只要在全局模式下完成就可以了。

1、基本配置介绍1、端口命名、设备命名、IP地址配置及端口激活nameif ethernet0 outside security0端口命名nameif gb-ethernet0 inside security100定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。

firewall(config)#hostname firewall设备名称firewall（config）#ip address outside 1.1.1.1 255.255.255.0内外口地址设置firewall（config）#ip address inside 172.16.1.1 255.255.255.0firewall（config）# interface ethernet0 100full激活外端口firewall（config）# interface gb-ethernet0 1000auto激活内端口2、telnet、ssh、web登陆配置及密码配置防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。

firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet到防火墙配置从外网远程登陆到防火墙Firewall（config）#domain-name /doc/6b8163665.html,firewall（config）# crypto key generate rsafirewall（config）#ssh 0.0.0.0 0.0.0.0 outside允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：firewall（config）#ssh 218.240.6.81 255.255.255.255 outside firewall（config）#enable password cisco由用户模式进入特权模式的口令firewall（config）#passrd ciscossh远程登陆时用的口令firewall（config）#username Cisco password CiscoWeb登陆时用到的用户名firewall（config）#http enable打开http允许内网10网断通过http访问防火墙firewall（config）#http 192.168.10.0 255.255.255.0 insidefirewall（config）#pdm enablefirewall（config）#pdm location 192.168.10.0 255.255.255.0 insideweb登陆方式：https://172.16.1.13、保证防火墙能上网还要有以下的配置firewall（config）#nat （inside）1 0 0对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发firewall（config）#nat(inside)1 192.168.10.0 255.255.255.0fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0firewall (config) # global(outside) 1 interface对进行nat转换得地址转换为防火墙外接口地址firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2 指一条默认路由器到ＩＳＰ做完上面的配置内网用户就可以上网了，内部有３层交换机且划分了Ｖｌａｎ，若要保证每个Ｖｌａｎ都能够上网，还要在防火墙上指回到其他ＶＬａｎ的路由，如：Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.24、内网服务器映射如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。

增加一台服务器具体要求。

新增一台服务器地址：10.165.127.15/255.255.255.128。

需要nat 转换成公网地址16.152.91.223 映射出去，并对外开通这台服务器的80端口。

在对外pix525上面增加如下：access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223可是为什么转换后，不能访问16.52.91.223的网页，但确可以ping通16.52.91.223，但是访问10.165.127.15的主页是正常的？？具体配置如下：pix-525> enablePassword: *****pix-525# sh run: Saved:PIX Version 6.3(5)interface ethernet0 100fullinterface ethernet1 100fullnameif ethernet0 outside security0nameif ethernet1 inside security100enable password FVHQD7n.FuCW78fS level 7 encryptedenable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname wgqpix-525fixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69namesaccess-list acl_out permit tcp any host 16.152.91.221 eq wwwaccess-list acl_out permit icmp any anyaccess-list acl_out permit tcp any host 16.152.91.220 eq httpsaccess-list acl_out permit tcp any host 16.152.91.223 eq wwwaccess-list outbound permit icmp any anyaccess-list outbound permit ip any anypager lines 24mtu outside 1500mtu inside 1500ip address outside 16.152.91.222 255.255.255.128ip address inside 10.165.127.254 255.255.255.252ip audit info action alarmip audit attack action alarmno failoverfailover timeout 0:00:00failover poll 15no failover ip address outsideno failover ip address insideno pdm history enablearp timeout 14400static (inside,outside) 16.152.91.221 10.165.127.11 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.220 10.165.127.23 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 access-group acl_out in interface outsideaccess-group outbound in interface insideroute outside 0.0.0.0 0.0.0.0 16.152.91.129 1route inside 10.165.0.0 255.255.0.0 10.165.127.253 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout sip-disconnect 0:02:00 sip-invite 0:03:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server TACACS+ max-failed-attempts 3aaa-server TACACS+ deadtime 10aaa-server RADIUS protocol radiusaaa-server RADIUS max-failed-attempts 3aaa-server RADIUS deadtime 10aaa-server LOCAL protocol localhttp server enableno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable trapsfloodguard enabletelnet 10.165.6.225 255.255.255.255 insidetelnet 10.165.127.12 255.255.255.255 insidetelnet 10.165.127.250 255.255.255.255 insidetelnet 10.165.6.15 255.255.255.255 insidetelnet 10.165.6.16 255.255.255.255 insidetelnet timeout 5ssh timeout 5console timeout 0username admin password iuQeTKNaNbruxBKd encrypted privilege 2terminal width 80Cryptochecksum:b2e1195d144f48f01fe66606cd31d0f2: endwgqpix-525#最佳答案( 回答者: xintao800 )PIX防火墙提供4种管理访问模式：²非特权模式。

如何配置思科IOS防火墙如何配置思科IOS防火墙思科依靠自身的技术和对网络经济模式的深刻理解，使他成为了网络应用的成功实践者之一，其制造的路由器也是全球顶尖的，那么你知道如何配置思科IOS防火墙吗?下面是店铺整理的一些关于如何配置思科IOS防火墙的相关资料，供你参考。

配置思科IOS防火墙的方法：拓扑图配置思科IOS防火墙步骤第一步：在R1 、 R2 、 R3上的预配置r1(config)#int e0/0r1(config-if)#ip add 172.16.1.1 255.255.255.0r1(config-if)#no shr1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2配置静态路由r1(config)#^Zr2(config)#int e0/0r2(config-if)#ip add 172.16.1.2 255.255.255.0r2(config-if)#no shr2(config-if)#int e2/0r2(config-if)#ip add 192.168.1.2 255.255.255.0r2(config-if)#no shr3(config)#int e2/0r3(config-if)#ip add 192.168.1.3 255.255.255.0r3(config-if)#no shr3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 配置静态路由r3(config)#^Zr3(config)#li vty 0 4r3(config-line)#passr3(config-line)#password ciscor3(config-line)#exit第二步：在R2上配置zhangr2#conf tEnter configuration commands, one per line. End with CNTL/Z.r2(config)#ip inspect name zhang tcp 检查TCPr2(config)#ip inspect name zhang udp 检查udpr2(config)#ip inspect udp idle-time 60 检查udp 的时间是60S r2(config)#ip inspect name zhang icmp timeout 5 超时时间是5Sr2(config)#ip inspect name zhang http alert off 控制HTTPr2(config)#r2(config)#int e0/0r2(config-if)#ip inspect zhang in 在e0/0接口检查流量是否满足以上所定义过的任何一条r2(config-if)#exitr2(config)#acce 100 deny ip any any log 做ACL拒绝IP的任何包通过r2(config)#int e2/0r2(config-if)#ip acce 100 in 将ACL要用到e2/0的进接口上第三步：从R1上TELNET R3r1#telnet 192.168.1.3Trying 192.168.1.3 ... OpenUser Access VerificationPassword:r3>从R3上TELNET R1r3#telnet 172.16.1.1Trying 172.16.1.1 ...% Destination unreachable; gateway or host down第四步：从R1上ping R2直连接口r1#ping 172.16.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 28/54/92 ms从R2上ping R1直连接口r2#ping 172.16.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 16/67/124 ms从R2ping R3直连接口r2#ping*Mar 1 00:15:20.615: %SYS-5-CONFIG_I: Configured from console by consoler2#ping 192.168.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:*Mar 1 00:15:28.055: %SEC-6-IPACCESSLOGDP: list 100 denied icmp 192.168.1.3 -> 192.168.1.2 (0/0), 1 packet..... //说明icmp包可以到达，但是没有回包Success rate is 0 percent (0/5)从R3ing R2连接口r3#ping 192.168.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:U.U.U //说明icmp包不可以到达目的地Success rate is 0 percent (0/5)r1#ping 192.168.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 76/124/156 msr2#debug ip inspect icmpINSPECT ICMP Inspection debugging is onr2#*Mar 1 00:35:09.187: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3*Mar 1 00:35:09.187: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3*Mar 1 00:35:09.191: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3*Mar 1 00:35:09.263: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1*Mar 1 00:35:09.375: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3*Mar 1 00:35:09.423: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1*Mar 1 00:35:09.467: CBAC: ICMP Echo pkt 172.16.1.1 =>192.168.1.3*Mar 1 00:35:09.531: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1*Mar 1 00:35:09.563: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3r2#*Mar 1 00:35:09.623: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1*Mar 1 00:35:09.671: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3*Mar 1 00:35:09.735: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1。

思科防⽕墙登陆及设置过程⼀、防⽕墙登陆过程telnet 192.168.0.1输⼊：123⽤户名：en密码：srmciscoConf tShow run⼆、公⽹IP与内⽹IP映射：static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0三、再打开端⼝：输⼊以下⼀笔命今如access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端⼝) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端⼝) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端⼝) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端⼝) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端⼝) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端⼝)四、登出防⽕墙：logout五、增加上⽹电脑1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0（上⽹电脑IP地址）2、arp inside 192.168.0.188 000f.eafa.645d alias（绑定上⽹电脑⽹卡MAC地址）六、取消上⽹电脑1、no nat (inside) 1 192.168.0.188 255.255.255.255 0 0（上⽹电脑IP地址）2、no arp inside 192.168.0.188 000f.eafa.645d alias（绑定上⽹电脑⽹卡MAC地址）七、增加可以远程控制防⽕墙电脑telnet 192.168.0.188 255.255.255.255 inside⼋、保存已做改动设置wr me九、以下为现存防⽕墙配置。

增加一台服务器具体要求。

新增一台服务器地址：10.165.127.15/255.255.255.128。

需要nat 转换成公网地址16.152.91.223 映射出去，并对外开通这台服务器的80端口。

在对外pix525上面增加如下：access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223可是为什么转换后，不能访问16.52.91.223的网页，但确可以ping通16.52.91.223，但是访问10.165.127.15的主页是正常的？？具体配置如下：pix-525> enablePassword: *****pix-525# sh run: Saved:PIX Version 6.3(5)interface ethernet0 100fullinterface ethernet1 100fullnameif ethernet0 outside security0nameif ethernet1 inside security100enable password FVHQD7n.FuCW78fS level 7 encryptedenable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname wgqpix-525fixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69namesaccess-list acl_out permit tcp any host 16.152.91.221 eq wwwaccess-list acl_out permit icmp any anyaccess-list acl_out permit tcp any host 16.152.91.220 eq httpsaccess-list acl_out permit tcp any host 16.152.91.223 eq wwwaccess-list outbound permit icmp any anyaccess-list outbound permit ip any anypager lines 24mtu outside 1500mtu inside 1500ip address outside 16.152.91.222 255.255.255.128ip address inside 10.165.127.254 255.255.255.252ip audit info action alarmip audit attack action alarmno failoverfailover timeout 0:00:00failover poll 15no failover ip address outsideno failover ip address insideno pdm history enablearp timeout 14400static (inside,outside) 16.152.91.221 10.165.127.11 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.220 10.165.127.23 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 access-group acl_out in interface outsideaccess-group outbound in interface insideroute outside 0.0.0.0 0.0.0.0 16.152.91.129 1route inside 10.165.0.0 255.255.0.0 10.165.127.253 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout sip-disconnect 0:02:00 sip-invite 0:03:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server TACACS+ max-failed-attempts 3aaa-server TACACS+ deadtime 10aaa-server RADIUS protocol radiusaaa-server RADIUS max-failed-attempts 3aaa-server RADIUS deadtime 10aaa-server LOCAL protocol localhttp server enableno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable trapsfloodguard enabletelnet 10.165.6.225 255.255.255.255 insidetelnet 10.165.127.12 255.255.255.255 insidetelnet 10.165.127.250 255.255.255.255 insidetelnet 10.165.6.15 255.255.255.255 insidetelnet 10.165.6.16 255.255.255.255 insidetelnet timeout 5ssh timeout 5console timeout 0username admin password iuQeTKNaNbruxBKd encrypted privilege 2terminal width 80Cryptochecksum:b2e1195d144f48f01fe66606cd31d0f2: endwgqpix-525#最佳答案( 回答者: xintao800 )PIX防火墙提供4种管理访问模式：²非特权模式。

要想配置思科的防火墙得先了解这些命令：要想配置思科的防火墙得先了解这些命令：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmarkglobal_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

Cisco网络防火墙配置方法是什么用哪些命令防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。

这篇文章主要介绍了Cisco网络防火墙配置方法,需要的朋友可以参考下方法步骤由于网络防火墙默认禁止所有的通信，因为，只有对其进行适当配置后，才能实现正常的网络通信。

如何配置Cisco网络防火墙1.进入全局配置模式ciscoasa# configure terminal2.选择欲作为网络防火墙外部接口的网络接口ciscoasa(config)# interface interface-id3.为该接口指定IP地址和网掩码ciscoasa(config-if)#4.将该接口指定IP地址和网掩码ciscoasa(config-if)# nameif outsideINFO：Security level for "outside" set to 0 by default5.激活该外部接口ciscoasa(config-if)# no shutdown6.返回至全局配置模式ciscoasa(config-if)# exit7.选择欲作为网络防火墙内部接口的网络接口ciscoasa(config-if)# interface interface-id8.为了该接口指定为内部接口。

ciscoasa(config-if)# ip address ip-address subnet-mask9.将该接口指定为内容接口ciscoasa(config-if)# nameif insideINFO:Security level for "outside" set to 100 by default10.激活该外部接口ciscoasa(config-if)# no shutdown11.返回至全局配置模式ciscoasa(config-if)# exit12.启动Web___ciscoasa(config)# web___13.允许___对外访问ciscoasa(config-web___)#enable outside14.指定SSL ___客户端(SSL VP___linet,SVC)文件位置。

思科基于CiscoPT模拟器的防⽕墙配置实验案例详解本⽂实例讲述了基于Cisco PT模拟器的防⽕墙配置实验。

分享给⼤家供⼤家参考，具体如下：基于上下⽂的访问控制拓扑图地址表Device Interface IP addressR1 F 0/0192.168.65.1S 0/0/010.1.65.1R2S 0/0/010.1.65.2S 0/0/110.2.65.2R3 F 0/0172.16.65.3S 0/0/010.2.65.3PC-A NIC192.168.65.4Default Gateway192.168.65.1PC-C NIC172.16.65.4Default Gateway172.16.65.3预配置：在配置防⽕墙之前验证设备间连通性，即先配置静态路由R1(config)#ip route 10.2.65.0 255.255.255.0 10.1.65.2R1(config)#ip route 172.16.65.0 255.255.255.0 10.1.65.2R2(config)#ip route 192.168.65.0 255.255.255.0 10.1.65.1R2(config)#ip route 172.16.65.0 255.255.255.0 10.2.65.3R3(config)#ip route 10.1.65.0 255.255.255.0 10.2.65.2R3(config)#ip route 192.168.65.0 255.255.255.0 10.2.65.2在R3启⽤密码R3(config)#enable password lzr123启⽤console⼝密码R3(config)#line console 0R3(config-line)#password lzr123启⽤vty⾏接⼊密码R3(config)#line vty 0 4R3(config-line)#password lzr123把S1、S2所有交换机接⼝都在Vlan1(S2配置相同)S1(config)#int f 0/1S1(config-if)# switchport access vlan 1S1(config-if)# switchport trunk allowed vlan 1S1(config)#int f 0/2S1(config-if)# switchport access vlan 1S1(config-if)# switchport trunk allowed vlan 1预配置完成验证:在PC-C的命令提⽰符中ping PC-A服务器在PC-C命令提⽰符中telnet路由R2的s0/0/1接⼝：地址时10.2.65.2.退出telnet阶段在PC-C开⼀个⽹页浏览器登⼊PC-A来展⽰⽹页。

思科PIX防火墙简单配置实例在本期应用指南中，管理员可以学到如何设置一个新的PIX防火墙。

你将设置口令、IP地址、网络地址解析和基本的防火墙规则。

假如你的老板交给你一个新的PIX防火墙。

这个防火墙是从来没有设置过的。

他说，这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。

你以前从来没有使用过PIX防火墙。

你如何进行这种设置?在阅读完这篇文章之后，这个设置就很容易了。

下面，让我们看看如何进行设置。

基础思科PIX防火墙可以保护各种网络。

有用于小型家庭网络的PIX防火墙，也有用于大型园区或者企业网络的PIX防火墙。

在本文的例子中，我们将设置一种PIX 501型防火墙。

PIX 501是用于小型家庭网络或者小企业的防火墙。

PIX防火墙有内部和外部接口的概念。

内部接口是内部的，通常是专用的网络。

外部接口是外部的，通常是公共的网络。

你要设法保护内部网络不受外部网络的影响。

PIX防火墙还使用自适应性安全算法(ASA)。

这种算法为接口分配安全等级，并且声称如果没有规则许可，任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。

这个外部接口的安全等级是“0”，这个内部接口的安全等级是“100”。

下面是显示“nameif”命令的输出情况:pixfirewall# show nameifnameif ethernet0 outside security0nameif ethernet1 inside security100pixfirewall#请注意，ethernet0(以太网0)接口是外部接口(它的默认名字)，安全等级是0。

另一方面，ethernet1(以太网1)接口是内部接口的名字(默认的)，安全等级是100。

指南在开始设置之前，你的老板已经给了你一些需要遵守的指南。

这些指南是:·所有的口令应该设置为“思科”(实际上，除了思科之外，你可设置为任意的口令)。

·内部网络是10.0.0.0，拥有一个255.0.0.0的子网掩码。

下面我讲一下一般用到的最基本配置1、建立用户和修改密码跟Cisco IOS路由器基本一样。

2、激活以太端口必须用enable进入，然后进入configure模式PIX525>enablePassword:PIX525#config tPIX525(config)#interface ethernet0 autoPIX525(config)#interface ethernet1 auto在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

3、命名端口与安全级别采用命令nameifPIX525(config)#nameif ethernet0 outside security0PIX525(config)#nameif ethernet0 outside security100security0是外部端口outside的安全级别（0安全级别最高）security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。

4、配置以太端口IP 地址采用命令为：ip address如：内部网络为：192.168.1.0 255.255.255.0外部网络为：222.20.16.0 255.255.255.0PIX525(config)#ip address inside 192.168.1.1 255.255.255.0PIX525(config)#ip address outside 222.20.16.1 255.255.255.05、配置远程访问[telnet]在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。

快速入门指南思科RV110W Wireless-N VPN 防火墙包装清单•Wireless-N VPN 防火墙•以太网电缆•电源适配器•快速入门指南•文档和软件（存储于 CD-ROM 光盘上）欢迎感谢您选择思科 RV110W Wireless-N VPN 防火墙。

RV110W 能够为小型办公室/家庭办公室 (SoHo) 及远程工作的专业人员提供简单、经济、安全的企业级 Internet 连接。

本指南介绍了如何物理安装 Cisco RV110W ，以及如何启动基于 Web 的设备管理器来配置和管理您的防火墙路由器。

安装 RV110W安放提示•环境温度 - 为防止防火墙路由器过热，请勿在环境温度超过 104°F (40°C) 的地方运行防火墙路由器。

•通风 - 请确保防火墙路由器周围的通风良好。

•机械负载 - 请确保防火墙路由器放置平稳，以免出现任何对防火墙路由器造成损坏的情况。

请将 Cisco RV110W 设备水平放置在平面上，以便设备依靠其四个橡胶支脚来支撑。

Cisco RV110W 特性前面板12后面板电源电源指示灯呈绿色亮起表示设备已接通电源。

接通电源过程中，此指示灯呈绿色闪烁。

WPSWi-Fi保护设置 (WPS) 按钮用于为网络中支持 WPS 的设备配置无线接入。

有关详情，请参阅《管理指南》或设备管理器帮助页面。

WAN Cisco RV110W 通过电缆调制解调器或 DSL 调制解调器连接至 Internet 时，WAN (Internet) 指示灯会呈绿色亮起。

Cisco RV110W 未连接至 Internet 时，此指示灯处于熄灭状态。

发送或接收数据时，此指示灯会呈绿色闪烁。

无线启用无线模块后，此指示灯会呈绿色亮起。

禁用无线模块后，此指示灯处于熄灭状态。

防火墙路由器在无线模块上传输或接收数据时，此指示灯会呈绿色闪烁。

LAN 端口标有编号的指示灯与 Cisco RV110W 上的 LAN 端口相对应。

思科防火墙设置增加一台服务器具体要求。

新增一台服务器地址：10.165.127.15/255.255.255.128。

需要nat转换成公网地址16.152.91.223 映射出去，并对外开通这台服务器的80端口。

在对外pix525上面增加如下： access-list acl_out permit tcp any host16.52.91.223 eq www //开放外网对新服务器 80端口static (inside,outside) 16.152.91.223 10.165.127.15 netmask255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223可是为什么转换后，不能访问16.52.91.223的网页，但确可以ping通16.52.91.223，但是访问10.165.127.15的主页是正常的？？具体配置如下： pix-525> enable Password: ***** pix-525# sh run : Saved :PIX Version 6.3(5)interface ethernet0 100full interface ethernet1 100fullnameif ethernet0 outside security0 nameif ethernet1 inside security100enable password FVHQD7n.FuCW78fS level 7 encrypted enable password2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname wgqpix-525fixup protocol dns maximum-length 512 fixup protocol ftp 21fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 namesaccess-list acl_out permit tcp any host 16.152.91.221 eq www access-list acl_out permit icmp any anyaccess-list acl_out permit tcp any host 16.152.91.220 eq https access-list acl_out permit tcp any host 16.152.91.223 eq wwwaccess-list outbound permit icmp any any access-list outbound permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500ip address outside 16.152.91.222 255.255.255.128 ip address inside10.165.127.254 255.255.255.252 ip audit info action alarm ip audit attackaction alarm no failoverfailover timeout 0:00:00 failover poll 15no failover ip address outside no failover ip address inside no pdm history enable arp timeout 14400static (inside,outside) 16.152.91.221 10.165.127.11 netmask255.255.255.255 0 0 static (inside,outside) 16.152.91.220 10.165.127.23 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.22310.165.127.15 netmask 255.255.255.255 0 0 access-group acl_out in interface outside access-group outbound in interface inside route outside 0.0.0.00.0.0.0 16.152.91.129 1route inside 10.165.0.0 255.255.0.0 10.165.127.253 1 timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h2251:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radiusaaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enableno snmp-server location no snmp-server contactsnmp-server community public no snmp-server enable traps floodguard enabletelnet 10.165.6.225 255.255.255.255 inside telnet 10.165.127.12255.255.255.255 inside telnet 10.165.127.250 255.255.255.255 insidetelnet 10.165.6.15 255.255.255.255 inside telnet 10.165.6.16255.255.255.255 inside telnet timeout 5 ssh timeout 5 console timeout 0username admin password iuQeTKNaNbruxBKd encrypted privilege 2 terminal width 80Cryptochecksum:b2e1195d144f48f01fe66606cd31d0f2 : endwgqpix-525#最佳答案 ( 回答者: xintao800 ) PIX防火墙提供4种管理访问模式：2非特权模式。

一、运用 Telnet执行远程系统管理（Using Telnet for Remote System Management）在内部和第三接口上可经由Telnet访问控制台。

第三接口是与PIX防火墙中第三个可用插槽相连的网络。

您可用show nameif命令阅读第三接口。

列表从上往下的第三项是第三接口。

串行控制台让单一用户配置PIX防火墙，但很多情况下这对有多位管理员的站点来说不太方便。

PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。

配置了IPSec后，您就可运用 Telnet从外部接口远程管理PIX防火墙的控制台。

本部分包括以下内容：·配置Telnet控制台访问（Configuring Telnet Console Access）·测试Telnet访问（Testing Telnet Access）·保卫外部接口上的Telnet连接（Securing a Telnet Connection on the Outside Interface）· Trace Channel特征（Trace Channel Feature）(一)、配置Telnet控制台访问（Configuring Telnet Console Access）按照以下步骤来配置Telnet控制台访问：步骤1运用 PIX防火墙telnet命令。

例如，如想让一台位于内部接口之上、地址为192.168.1.2的主机访问PIX防火墙，就输入以下命令。

telnet 192.168.1.2 255.255.255.255 inside如果配置了IPSec，您即可让位于外部接口上的主机访问PIX防火墙控制台。

具体信息请参见"保卫外部接口上的Telnet连接（Securinga Telnet Connection on the Outside Interface）"部分。

..Cisco ASA 防火墙图文配置实例本文是基于ASA5540 和 ASA5520 的配置截图所做的一篇配置文档，从最初始的配置开始：1、连接防火墙登陆与其他的 Cisco 设备一样，用 Console 线连接到防火墙，初始特权密码为空。

2、配置部接口和 IP 地址进入到接口配置模式，配置接口的 IP 地址，并指定为 inside。

防火墙的地址配置好后，进行测试，确认可以和防火墙通讯。

3、用 dir 命令查看当前的 Image 文件版本。

4、更新 Image 文件。

准备好 TFTP 服务器和新的 Image 文件，开始更新。

5、更新 ASDM。

6、更新完成后，再用 dir 命令查看8、存盘，重启9、用 sh version 命令验证启动文件，可以发现当前的 Image 文件就是更新后的10、设置允许用图形界面来管理 ASA 防火墙表示部接口的任意地址都可以通过 http 的方式来管理防火墙。

11、打开浏览器，在地址栏输入防火墙部接口的 IP 地址选择“是”按钮。

12、出现安装 ASDM 的画面选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组14、运行 ASDM Launcher，出现登陆画面15、验证证书单击“是”按钮后，开始登陆过程16、登陆进去后，出现防火墙的配置画面，就可以在图形界面下完成 ASA 防火墙的配置17、选择工具栏的“Configuration”按钮18、选择“Interface”，对防火墙的接口进行配置，这里配置g0/3接口选择 g0/3 接口，并单击右边的“Edit”按钮19、配置接口的 IP 地址，并将该接口指定为 outside单击 OK 后，弹出“Security Level Change”对话框，单击 OK 20、编辑 g0/1 接口，并定义为 DMZ 区域21、接口配置完成后，要单击 apply 按钮，以应用刚才的改变，这一步一定不能忘22、设置静态路由单击 Routing->Static Route->Add23、设置 enable 密码24、允许 ssh 方式登录防火墙25、增加用户定义 ssh 用本地数据库验证26、用 ssh 登录测试登录成功27、建立动态 NAT 转换选择 Add Dynamic NAT RuleInterface 选择 inside，Source 处输入 any 单击 Manage 按钮单击 add，增加一个地址池Interface 选择 Outside，选择 PAT，单击 Add 按钮单击 OK完成了添加动态 NAT 转换28、静态 NAT 转换由于笔者 2009 年离开了原单位，有些配置的截图没有做，新单位又没有 ASA 防火墙，只好参考《ASA8.0/ASDM6.0 测试报告》的截图和文档来完成本文，并将该文档中部分常用的配置联接在本文后，对该文的作者表示感。