Cisco防火墙模块安装配置手册

CISCO ASA防火墙ASDM安装和配置准备工作：准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名，比如“ASA”,单击确定。

选择连接时使用的COM口，单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令：ciscoasa>ciscoasa> enPassword:ciscoasa# conf t 进入全局模式ciscoasa(config)# webvpn 进入WEBVPN模式ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字ciscoasa(config-if)# no shutdown 激活接口ciscoasa(config)#q 退出管理接口ciscoasa(config)# http server enable 开启HTTP服务ciscoasa(config)# http 192.168.1.0 255.255.255.0 guanli 在管理口设置可管理的IP地址ciscoasa(config)# show run 查看一下配置ciscoasa(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。

首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP 地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址:[url]https://192.168.1.1/admin[/url]弹出一下安全证书对话框，单击“是”输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。

ASA防火墙配置笔记二〇〇六年十月二十七日序言：Cisco新的防火墙ASA系列已经面市了，将逐步取代PIX防火墙，网上关于ASA配置资料很少，现把我积累的ASA配置技术编写一个文档，供大家参考。

如有问题，可发邮件给我。

1. ....................................................................................... 常用技巧12. ....................................................................................... 故障倒换13. ....................................................... 配置telnet、ssh及http管理34. ........................................................................ v pn常用管理命令35. ............................................................................... 配置访问权限36. .................................................................. 配置sitetosite之VPN47. .............................................................. w ebvpn配置（ssl vpn）48. .............................................................................. 远程拨入VPN59. ........................................................................... 日志服务器配置610. .......................................................................... Snmp网管配置711. .................................................................................... ACS配置712. ................................................................................... AAA配置713. ..................................................................................... 升级IOS814. ..................................................................................... 疑难杂症81.常用技巧Sh ru ntp查看与ntp有关的Sh ru crypto 查看与vpn有关的Sh ru | inc crypto 只是关健字过滤而已2.故障倒换failoverfailover lan unit primaryfailover lan interface testint Ethernet0/3failover link testint Ethernet0/3failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001failover mac address Management0/0 0018.1900.7000 0018.1900.7001failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2注：最好配置虚拟MAC地址sh failover显示配置信息write standby写入到备用的防火墙中failover命令集如下：configure mode commands/options:interface Configure the IP address and mask to be used for failoverand/or stateful update informationinterface-policy Set the policy for failover due to interface failureskey Configure the failover shared secret or keylan Specify the unit as primary or secondary or configure theinterface and vlan to be used for failover communication link Configure the interface and vlan to be used as a link forstateful update informationmac Specify the virtual mac address for a physical interface polltime Configure failover poll intervalreplication Enable HTTP (port 80) connection replicationtimeout Specify the failover reconnect timeout value forasymmetrically routed sessionssh failover 命令集如下：history Show failover switching historyinterface Show failover command interface informationstate Show failover internal state informationstatistics Show failover command interface statistics information| Output modifiers<cr>3.配置telnet、ssh及http管理username jiang password Csmep3VzvPQPCbkx encrypted privilege 15aaa authentication enable console LOCALaaa authentication telnet console LOCALaaa authentication ssh console LOCALaaa authorization command LOCALhttp 192.168.40.0 255.255.255.0 managementssh 192.168.40.0 255.255.255.0 inside4.vpn常用管理命令sh vpn-sessiondb full l2l 显示site to site 之vpn通道情况sh ipsec stats 显示ipsec通道情况sh vpn-sessiondb summary 显示vpn汇总信息sh vpn-sessiondb detail l2l 显示ipsec详细信息sh vpn-sessiondb detail svc 查看ssl client信息sh vpn-sessiondb detail webvpn 查看webvpn信息sh vpn-sessiondb detail full l2l 相当于linux下的ipsec whack –status 如果没有建立连接，则表示ipsec通道还没有建立起来。

Quick Start GuideCisco RV110W Wireless-N VPN FirewallPackage Contents•Wireless-N VPN Firewall•Ethernet Cable•Power Adapter•Quick Start Guide•Documentation and software on CD-ROMWelcomeThank you for choosing the Cisco RV110W Wireless-N VPN Firewall.The RV110W provides simple, affordable, secure business-class connectivity to the Internet for small office/home office (SoHo) and remote professionals.This guide describes how to physically install your Cisco RV110W and launch the web-based Device Manager to configure and manage your firewall.Installing Cisco RV110W1T o prevent the device from overheating or being damaged:•Ambient Temperature—Do not operate it in an area that exceeds an ambient temperature of 104°F (40°C).•Air Flow—Be sure that there is adequate air flow around the device. If wall mounting the firewall, make sure the heat dissipation holes are to the side.•Mechanical Loading—Be sure that the device is level and stable to avoid any hazardous conditions and that it is secure to prevent it from sliding or shifting out of position. Do not place anything on top of the firewall, as excessive weight might damage it.Place the Cisco RV110W unit horizontally on a flat surface so that it sits on its four rubber feet.Cisco RV110W Features2Front Panel2Cisco RV110W Wireless-N VPN FirewallCisco RV110W Wireless-N VPN Firewall 3Back PanelRESET Button—The RESET button has two functions:•If the Cisco RV110W is having problems connecting to the Internet, press the RESET button for at least 3 but no more than 10 seconds with a paper clip or a pencil tip. This is similar to pressing the reset button on your PC to reboot it.Power The Power light is green to indicate the unit ispowered on. The light flashes green when thepower is coming on.WPS The Wi-Fi Protected Setup (WPS) button isused to configure wireless access for devicesin your network that are WPS-enabled. See theAdministration Guide or Device Manager helppage for more information.WAN The WAN (Internet) light is green when theCisco RV110W is connected to the Internetthrough your cable or DSL modem. The light isoff when the Cisco RV110W is not connectedto the Internet. The light flashes green when itis sending or receiving dataWireless The Wireless light is green when the wirelessmodule is enabled. The light is off when thewireless module is disabled. The light flashesgreen when the firewall is transmitting orreceiving data on the wireless module.LAN PortsThe numbered lights correspond to the LANports on the Cisco RV110W.If the lights are continuously lit green, the CiscoRV110W is connected to a device through thecorresponding port (1, 2, 3, or 4). The light for aport flashes green when the firewall is activelysending or receiving data over that port.•If you are experiencing extreme problems with the Cisco RV110W and have tried all other troubleshooting measures, press and hold in the RESET button for more than 10 seconds. This reboots the unit andrestores the factory defaults. Changes you have made to the Cisco RV110W settings are lost.LAN Ports (1-4)—These ports provide a LAN connection to network devices, such as PCs, print servers, or switches.WAN (Internet) Port—The WAN port is connected to your Internet device, such as a cable or DSL modem.POWER Button—Press this button to turn the firewall on and off.12VDC Port—The 12VDC port is where you connect the provided 12 volt DC power adapter.Connecting the Equipment3N OTE You must connect one PC with an Ethernet cable for the purpose of the initial configuration. After you complete the initial configuration, administrative tasks can be performed using a wireless connection.S TEP1Power off all equipment, including the cable or DSL modem, the PC you will use to connect to the Cisco RV110W, and the CiscoRV110W.S TEP2You should already have an Ethernet cable connecting your PC to your current cable or DSL modem. Unplug one end of the cablefrom your PC and plug it into the port marked “WAN” on the unit.4Cisco RV110W Wireless-N VPN FirewallCisco RV110W Wireless-N VPN Firewall 5S TEP 3Connect one end of a different Ethernet cable to one of the LAN(Ethernet) ports on the back of the unit. (In this example, the LAN 1 port is used.) Connect the other end to an Ethernet port on the PC that you will use to run the web-based Setup Wizard and Device Manager.S TEP 4Power on the cable or DSL modem and wait until the connection isactive.S TEP 5Connect the power adapter to the Cisco RV110W POWER port.6Cisco RV110W Wireless-N VPN FirewallC AUTION Use only the power adapter that is supplied with the unit.Using a different power adapter could damage the unit.S TEP 6Plug the other end of the adapter into an electrical outlet. You mayneed to use a specific plug (supplied) for your country.S TEP 7On the Cisco RV110W, push the POWER button in to turn on thefirewall. The power light on the front panel is green when thepower adapter is connected properly and the unit is turned on.Using the Setup Wizard N OTE The Setup Wizard and Device Manager are supported on Microsoft Internet Explorer 6.0 or later, Mozilla Firefox 3.0 or later, andApple Safari 3.0 or later. 4S TEP1Power on the PC that you connected to the LAN1 port in Step 2 of the Connecting the Equipment section. Your PC becomes a DHCPclient of the firewall and receives an IP address in the 192.168.1.xxxrange.S TEP2Start a web browser on your PC. In the Address bar, enter the default IP address of the firewall: 192.168.1.1. A message appearsabout the site’s security certificate. The Cisco RV110W uses a self-signed security certificate and this message appears because thefirewall is not known to your PC. You can safely click Continue tothis website (or the option shown on your particular web browser)to go to the web site.S TEP3When the login page appears, enter the user name and password.The default user name is cisco. The default password is cisco.Passwords are case sensitive.N OTE For security reasons, change the default user name and password as soon as possible. See the Changing the Administrator User Name and Password section.S TEP4Click Log In.Changing the Administrator User Name and PasswordS TEP1From the Getting Started page, choose Change DefaultAdministrator Password.S TEP2Select Edit Admin Settings.S TEP3In the Administrator Settings section, enter the new administrator username. We recommend that you do not use “cisco.”S TEP4Enter the old password.S TEP5Enter the new password. Passwords should not contain dictionary words from any language or the default password, and they shouldcontain a mix of letters (both upper- and lowercase), numbers, andsymbols. Passwords must be at least 8 but no more than 30characters.S TEP6Enter the new password again to confirm.S TEP7Click Save.Cisco RV110W Wireless-N VPN Firewall7Connecting to Your Wireless Network5T o connect a device (such as a PC) to your wireless network, you must configure the wireless connection on the device with the wireless security information you configured using the Device Manager.The following steps are provided as an example; you may need to configure your device differently. For instructions that are specific to your device, consult the user documentation for your device.S TEP1Open the wireless connection settings window or program for your device. Your PC may have special software installed to managewireless connections, or you may find wireless connections underthe Control Panel in the Network Connections or Network andInternet window. (The location depends on your operating system.) S TEP2Enter the network name (SSID) you chose for your network when you configured the Cisco RV110W.S TEP3Choose the type of encryption and enter the security key that you chose when setting up the Cisco RV110W. If you did not enablesecurity (not recommended), leave these fields blank.S TEP4Verify your wireless connection and save your settings.8Cisco RV110W Wireless-N VPN FirewallCisco RV110W Wireless-N VPN Firewall 9Where to Go From HereFor EU lot 26 related test result, please check this web page: /go/eu-lot26-results . Support Cisco SupportCommunity/go/smallbizsupport Cisco Support andResources/go/smallbizhelp Phone Support Contacts /en/US/support/tsd_cisco_small_business_support_center_contacts.htmlCisco Firmware Downloads /go/smallbizfirmwareSelect a link to download firmware for Ciscoproducts. No login is required.Cisco Open Source Requests /go/smallbiz_opensource_requestCisco Partner Central(Partner Login Required)/web/partners/sell/smb Product DocumentationCisco RV110WAdministration Guide /go/rv110w610Cisco RV110W Wireless-N VPN FirewallCisco RV110W Wireless-N VPN Firewall11Americas HeadquartersCisco Systems, Inc.Cisco has more than 200 offices worldwide.Addresses, phone numbers, and fax numbersare listed on the Cisco website at/go/offices.78-19329-02C0 Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: /go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R)© 2014 Cisco Systems, Inc. All rights reserved.。

防火墙CISCO-PIX525的配置基础知识现在，我们通过一个相对简单的示例说明如何使用Cisco PIX对企业内部网络进行管理。

网络拓扑图如附图所示。

Cisco PIX安装2个网络接口，一个连接外部网段，另一个连接内部网段，在外部网段上运行的主要是DNS 服务器，在内部网段上运行的有WWW服务器和电子邮件服务器，通过Cisco PIX，我们希望达到的效果是：对内部网络的所有机器进行保护，WWW服务器对外只开放80端口，电子邮件服务器对外只开放25端口。

具体*作步骤如下。

2．获得最新PIX软件---- 从Cisco公司的WWW或FTP站点上，我们可以获得PIX的最新软件,主要包括如下内容。

pix44n.exe――PIX防火墙的软件映像文件。

pfss44n.exe――PIX Firewall Syslog Server服务器软件,能够提供一个Windows NT服务,用来记录PIX的运行日志。

pfm432b.exe――图形化的PIX管理软件。

rawrite.exe――用于生成PIX的启动软盘。

3．配置网络路由---- 在使用防火墙的内部网段上，需要将每台计算机的缺省网关指向防火墙，比如防火墙内部IP地址为10.0.0.250，则内部网段上的每台计算机的缺省网关都要设置为10.0.0.250。

具体设置在“控制面板”*“网络”*“TCP/IP协议”中进行。

4．配置PIX---- 在配置PIX之前，应该对网络进行详细的规划和设计，搜集需要的网络配置信息。

要获得的信息如下。

---- （1）每个PIX网络接口的IP地址。

（2）如果要进行NAT,则要提供一个IP地址池供NAT使用。

NAT是网络地址转换技术，它可以将使用保留地址的内部网段上的机器映射到一个合*的IP地址上以便进行Internet访问（3）外部网段的路由器地址。

---- 进入PIX配置界面的方*是：连接好超级终端，打开电源，在出现启动信息和出现提示符pixfirewall>后输入“enable”，并输入密码，进入特权模式；当提示符变为pixfirewall#>后，输入“configure terminal”，再进入配置界面。

cisco防火墙配置手册一、Cisco Pix日常维护常用命令1、Pix模式介绍“>”用户模式firewall>enable由用户模式进入到特权模式password:“#”特权模式firewall#config t由特权模式进入全局配置模式“（config）#”全局配置模式firewall(config)#防火墙的配置只要在全局模式下完成就可以了。

1、基本配置介绍1、端口命名、设备命名、IP地址配置及端口激活nameif ethernet0 outside security0端口命名nameif gb-ethernet0 inside security100定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。

firewall(config)#hostname firewall设备名称firewall（config）#ip address outside 1.1.1.1 255.255.255.0内外口地址设置firewall（config）#ip address inside 172.16.1.1 255.255.255.0firewall（config）# interface ethernet0 100full激活外端口firewall（config）# interface gb-ethernet0 1000auto激活内端口2、telnet、ssh、web登陆配置及密码配置防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。

firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet到防火墙配置从外网远程登陆到防火墙Firewall（config）#domain-name /doc/6b8163665.html,firewall（config）# crypto key generate rsafirewall（config）#ssh 0.0.0.0 0.0.0.0 outside允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：firewall（config）#ssh 218.240.6.81 255.255.255.255 outside firewall（config）#enable password cisco由用户模式进入特权模式的口令firewall（config）#passrd ciscossh远程登陆时用的口令firewall（config）#username Cisco password CiscoWeb登陆时用到的用户名firewall（config）#http enable打开http允许内网10网断通过http访问防火墙firewall（config）#http 192.168.10.0 255.255.255.0 insidefirewall（config）#pdm enablefirewall（config）#pdm location 192.168.10.0 255.255.255.0 insideweb登陆方式：https://172.16.1.13、保证防火墙能上网还要有以下的配置firewall（config）#nat （inside）1 0 0对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发firewall（config）#nat(inside)1 192.168.10.0 255.255.255.0fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0firewall (config) # global(outside) 1 interface对进行nat转换得地址转换为防火墙外接口地址firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2 指一条默认路由器到ＩＳＰ做完上面的配置内网用户就可以上网了，内部有３层交换机且划分了Ｖｌａｎ，若要保证每个Ｖｌａｎ都能够上网，还要在防火墙上指回到其他ＶＬａｎ的路由，如：Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.24、内网服务器映射如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。

Cisco Catalyst 6509交换机FWSM防火墙模块测试报告我们以往接触比较多的防火墙大都是独立的设备产品，抑或是和路由器集成在一起的模块，这种防火墙往往是位于网关位置，担当了内外网之间的防护线职能。

而思科系统公司充分利用自己对网络的理解，以一种不同的理念和思路把安全贯彻到了网络上的每一个角落。

当我们《网络世界》评测实验室拿到插入FWSM防火墙模块的被测设备Catalyst 6509交换机时，更是深刻地体会到了Cisco这种独特的视角。

集成：改动防火墙角色从外观上看，不同于以往的防火墙，FWSM防火墙模块本身并不带有所有端口，能插在Catalyst 6509交换机所有一个交换槽位中，交换机的所有端口都能够充当防火墙端口，一个FWSM模块能服务于交换机所有端口，在网络基础设施之中集成状态防火墙安全特性。

由于70%的安全问题来自企业网络内部，因此企业网络的安全不仅在周边，防止未经授权的用户进入企业网络的子网和VLAN是我们一直忽视的问题，也正是6509交换机加上FWSM防火墙模块要完成的职责。

Catalyst 6509作为企业的汇聚或核心交换机，往往要为企业的不同部门划分子网和VLAN，FWSM模块的加入为不同部门之间搭建了坚实的屏障。

和传统防火墙的体系结构不同，FWSM内部体系主要由一个双Intel PIII处理器和3个IBM网络处理器及相应的ASIC芯片组成。

其中两个网络处理器各有三条千兆线路连接到6509的背板上。

FWSM使用的是Cisco PIX操作系统这一实时、牢固的嵌入式操作系统，采用基于ASA（自适应安全算法）的核心实现机制，继承了思科PIX防火墙性能和功能方面的既有优势。

对于已购买了Catalyst 6509交换机的用户来说，他们不必对原有产品进行更换，就能通过独立购买FWSM 模块，获得这种防火墙特性，在简化网络结构的同时，真正实现对用户的投资保护。

功能：细致到每一处从FWSM防火墙模块的管理和易用性来看，对于那些非常熟悉Cisco IOS命令行的工程师来说，通过Console或Telnet进行设置非常容易上手，而对于笔者这种对Cisco 命令仅略通一二的人来说，最佳的管理和设置方式莫过于用Web进行管理，Web管理其实是调用了用来管理PIX防火墙的PIX Device Manager(PDM)2.1(1)工具，非常直观地帮助用户进行规则设置、管理和状态监视。

Cisco防火墙的安装流程1. 将PIX安放至机架，经检测电源系统后接上电源，并加电主机。

2. 将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入PIX系统；此时系统提示pixfirewall>。

3. 输入命令：enable,进入特权模式，此时系统提示为pixfirewall#。

4. 输入命令： configure terminal,对系统进行初始化设置。

5. 配置以太口参数：interface ethernet0 auto （auto选项表明系统自适应网卡类型）interface ethernet1 auto6. 配置内外网卡的IP地址：ip address inside ip_address netmaskip address outside ip_address netmask7. 指定外部地址范围：global 1 ip_address-ip_address8. 指定要进行要转换的内部地址：nat 1 ip_address netmask9. 设置指向内部网和外部网的缺省路由route inside 0 0 inside_default_router_ip_addressroute outside 0 0 outside_default_router_ip_address10. 配置静态IP地址对映：static outside ip_address inside ip_address11. 设置某些控制选项：conduit global_ip port[-port] protocol foreign_ip [netmask] global_ip 指的是要控制的地址port 指的是所作用的端口，其中0代表所有端口protocol 指的是连接协议，比如：TCP、UDP等foreign_ip 表示可访问global_ip的外部ip，其中表示所有的ip。

CISCO ASA防火墙ASDM安装和配置准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名，比如“ASA”,单击确定。

选择连接时使用的COM口，单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令：CiscoASA>CiscoASA> enPassword:CiscoASA# conf t 进入全局模式CiscoASA(config)# username cisco password cisco 新建一个用户和密码CiscoASA(config)# interface e0 进入接口CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址CiscoASA(config-if)# nameif inside 给接口设个名字CiscoASA(config-if)# no shutdown 激活接口CiscoASA(config)#q 退出接口CiscoASA(config)# http server enable 开启HTTP服务CiscoASA(config)# http 192.168.1.0 255.255.255.0 inside 在接口设置可管理的IP地址CiscoASA(config)# show run 查看一下配置CiscoASA(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。

首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.1.1/admin弹出一下安全证书对话框，单击“是”输入用户名和密码，然后点击“确定”。

深信服防火墙手册深信服防火墙是一种高性能、多业务安全的网络安全设备，适用于各种网络环境，如企业、政府、教育、医疗等行业。

以下是深信服防火墙的使用手册：1. 设备安装与配置：设备连接：将深信服防火墙连接到电源和网络接口，确保网络连接正常。

配置IP地址：在浏览器中输入设备的IP地址，登录防火墙的管理界面，设置防火墙的IP地址、子网掩码和网关等网络参数。

2. 登录管理界面：在浏览器中输入设备的IP地址，然后输入用户名和密码（默认为admin）登录防火墙的管理界面。

3. 防火墙网关部署：新建区域：在管理界面中新建区域，选择相应的接口，如WAN区域和LAN区域。

配置网络接口：为每个区域配置相应的网络接口，如eth1和eth2。

4. 配置默认路由和去往内网的回包路由：根据实际网络环境，配置默认路由和去往内网的回包路由。

5. 配置源地址转换：代理内网用户上网，将内网用户的源地址转换为出接口的IP地址。

6. 防火墙默认拒绝所有：设置防火墙的默认策略为拒绝所有请求，以增强安全性。

7. 应用控制策略放通：根据实际需求，配置应用控制策略，允许或拒绝特定的应用程序或协议通过防火墙。

8. 配置僵尸网络防护：为了保护内网PC免受僵尸网络的攻击，可以配置相应的僵尸网络防护功能。

9. 配置IPS防护内网客户端：根据实际需求，配置入侵防御系统（IPS），保护内网客户端免受攻击。

10. 配置流量管控：对内网PC的带宽进行限制，以避免因个别用户占用过多带宽而影响整个网络的性能。

以上是深信服防火墙的使用手册，具体配置可能因实际网络环境和需求而有所不同。

建议参考深信服防火墙的官方文档或联系专业技术人员进行配置和优化。

一，配置接口配置外网口：interface GigabitEthernet0/0nameif outside 定义接口名字security-level 0ip address 111.160.45.147 255.255.255.240 设定ipnoshut!配置内网口：interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 20.0.0.2 255.255.255.252noshut二，配置安全策略access-list outside_acl extended permit icmp any any配置允许外网pingaccess-group outside_acl in interface outside 应用策略到outside口access-list inside_access_in extended permit ip any any配置允许内网访问外网access-group inside_access_in in interface inside应用到inside口三，设置路由route outside 0.0.0.0 0.0.0.0 111.160.45.145 1配置到出口的默认路由route inside 10.1.0.0 255.255.0.0 20.0.0.1 1 配置到内网的静态路由四，配置natobject network nat_net配置需要nat的内网网段subnet 0.0.0.0 0.0.0.0nat (inside,outside) source dynamic nat_net interface配置使用出接口ip做转换ip 五，配置远程管理配置telet管理：telnet 0.0.0.0 0.0.0.0 outsidetelnet 0.0.0.0 0.0.0.0 insidetelnet timeout 30配置ssh管理：crypto key generate rsa建立密钥并保存一次wrissh 0.0.0.0 0.0.0.0 outsidessh 0.0.0.0 0.0.0.0 insidessh timeout 30ssh version 1配置用户名密码：username admin password yfz4EIInjghXNlcu encrypted privilege 15。

Cisco ASA5500系列防火墙基本配置手册一、配置基础1.1用户接口思科防火墙支持下列用户配置方式：Console，Telnet，SSH（1.x或者2.0，2.0为7.x新特性），ASDM的http方式，VMS的Firewall Management Center。

支持进入Rom Monitor模式，权限分为用户模式和特权模式，支持Help，History和命令输出的搜索和过滤。

用户模式：Firewall> 为用户模式，输入enable进入特权模式Firewall#。

特权模式下输入config t 可以进入全局配置模式。

通过exit，ctrl-z退回上级模式。

配置特性：在原有命令前加no可以取消该命令。

Show running-config 或者 write terminal显示当前配置。

Show running-config all显示所有配置，包含缺省配置。

Tab可以用于命令补全，ctrl-l可以用于重新显示输入的命令（适用于还没有输入完命令被系统输出打乱的情况），help和history相同于IOS命令集。

Show命令支持 begin，include，exclude，grep 加正则表达式的方式对输出进行过滤和搜索。

Terminal width 命令用于修改终端屏幕显示宽度，缺省为80个字符，pager命令用于修改终端显示屏幕显示行数，缺省为24行。

1.2初始配置跟路由器一样可以使用setup进行对话式的基本配置。

二、配置连接性2.1配置接口接口基础：防火墙的接口都必须配置接口名称，接口IP地址和掩码和安全等级。

接口基本配置：Firewall(config)# interface hardware-id 进入接口模式Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate} 设置接口速率Firewall(config-if)# duplex {auto | full | half} 接口工作模式Firewall(config-if)# [no] shutdown 激活或关闭接口Firewall(config-if)# nameif if_name 配置接口名称Firewall(config-if)# security-level level 定义接口的安全级别例：interface GigabitEthernet0/0nameif outsidesecurity-level 0ip address 125.78.33.22 255.255.255.248!interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 192.168.18.254 255.255.255.0在配置中，接口被命名为外部接口（outside），安全级别是0；被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。

防⽕墙配置（CiscoPTGNS3）第⼀部分：扩展ACL拓扑图地址表Device Interface IP addressR1 F 0/0172.16.19.1F 0/110.3.19.1S 0/0/110.1.19.1R2S 0/0/110.1.19.2S 0/0/010.2.19.2R3 F 0/0192.168.19.3S 0/0/010.2.19.3PC-1NIC172.16.19.100Default Gateway172.16.19.1PC-2NIC10.3.19.100Default Gateway10.3.19.1Server1NIC192.168.19.100Default Gateway192.168.19.3配置扩展ACL前先把地址分配端⼝，⽹络连通，然后配置静态路由。

R1(config)#ip route 172.16.19.0 255.255.255.0 10.1.19.2R1(config)#ip route 10.2.19.0 255.255.255.0 10.1.19.2R1(config)#ip route 192.168.19.0 255.255.255.0 10.1.19.2R2(config)#ip route 172.16.19.0 255.255.255.0 10.1.19.1R2(config)#ip route 10.3.19.0 255.255.255.0 10.1.19.1R2(config)#ip route 192.168.19.0 255.255.255.0 10.2.19.3R3(config)#ip route 10.1.19.0 255.255.255.0 10.2.19.2R3(config)#ip route 172.16.19.0 255.255.255.0 10.2.19.2R3(config)#ip route 10.3.19.0 255.255.255.0 10.2.19.2R1#show ip route 查看路由表：试从PC-1 ping 到Server1，查看测试结果：静态路由配置完成，开始完成扩展ACL实验。

思科ASA和PIX防火墙配置手册目录第一章配置基础 (1)1.1 用户接口 (1)1.2 防火墙许可介绍 (2)1.3 初始配置 (2)第二章配置连接性 (3)2.1 配置接口 (3)2.2 配置路由 (5)2.3 DHCP (6)2.4 组播的支持 (7)第三章防火墙的管理 (8)3.1 使用Security Context建立虚拟防火墙（7.x特性） (8)3.2 管理Flash文件系统 (9)3.3 管理配置文件 (10)3.4 管理管理会话 (10)3.5 系统重启和崩溃 (11)3.6 SNMP支持 (12)第四章用户管理 (13)4.1 一般用户管理 (13)4.2 本地数据库管理用户 (13)4.3 使用AAA服务器来管理用户 (14)4.4 配置AAA管理用户 (14)4.5 配置AAA支持用户Cut-Through代理 (15)4.6 密码恢复 (15)第五章防火墙的访问控制 (16)5.1 防火墙的透明模式 (16)思科ASA 和PIX 防火墙配置手册5.2 防火墙的路由模式和地址翻译 (17)5.3 使用ACL进行访问控制 (20)第六章配置Failover增加可用性 (23)6.1 配置Failover (23)6.2 管理Failover (25)6.3 升级Failover模式防火墙的OS镜像 (25)第七章配置负载均衡 (26)7.1 配置软件实现(只在6500 native ios模式下) (26)7.2 配置硬件实现 (27)7.3 配置CSS实现 (29)第八章日志管理 (30)8.1 时钟管理 (30)8.2 日志配置 (30)8.3 日志消息输出的微调 (32)8.4 日志分析 (33)第九章防火墙工作状态验证 (34)9.1 防火墙健康检查 (34)9.2 流经防火墙数据的监控 (34)9.3 验证防火墙的连接性 (35)思科ASA 和PIX 防火墙配置手册第一章配置基础1.1 用户接口思科防火墙支持下列用户配置方式：Console，Telnet，SSH（1.x或者2.0，2.0为7.x新特性，PDM的http方式（7.x以后称为ASDM）和VMS的Firewall Management Center。

配置与ASDM的Active Directory集成，以实现单点登录和强制网络门户身份验证（机上管理）目录简介先决条件要求使用的组件背景信息配置步骤1.为单点登录配置Firepower用户代理。

步骤2.将Firepower模块(ASDM)与用户代理集成。

步骤3.将Firepower与Active Directory集成。

第3.1步创建领域。

第3.2步添加目录服务器IP地址/主机名。

第3.3步修改领域配置。

第3.4步下载用户数据库。

步骤4.配置身份策略。

步骤5.配置访问控制策略。

步骤6.部署访问控制策略。

步骤7.监控用户事件。

验证Firepower模块与用户代理之间的连接（被动身份验证）FMC和Active Directory之间的连接ASA和终端系统之间的连接（主动身份验证）策略配置和策略部署故障排除相关信息简介本文档介绍使用ASDM（自适应安全设备管理器）在Firepower模块上配置强制网络门户身份验证（主动身份验证）和单点登录（被动身份验证）。

先决条件要求Cisco 建议您了解以下主题：ASA（自适应安全设备）防火墙和ASDM知识qFirePOWER模块知识q轻量级目录服务(LDAP)qFirepower用户代理q使用的组件本文档中的信息基于以下软件和硬件版本：运行软件版本5.4.1及更高版本的ASA FirePOWER模块(ASA 5506X/5506H-X/5506W-X、ASA q5508-X、ASA 5516-X)。

运行软件版本6.0.0及更高版本的ASA FirePOWER模块(ASA 5515-X、ASA 5525-X、ASA q5545-X、ASA 5555-X)。

本文档中的信息都是基于特定实验室环境中的设备编写的。

本文档中使用的所有设备最初均采用原始（默认）配置。

如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息强制网络门户身份验证或主动身份验证提示登录页面和用户凭证是主机访问互联网所必需的。

Cisco ASA 5500不同安全级别区域实现互访实验一、 网络拓扑二、 实验环境ASA防火墙eth0接口定义为outside区，Security-Level:0，接Router F0/0；ASA防火墙eth1接口定义为insdie区，Security-Level:100，接Switch的上联口；ASA防火墙Eth2接口定义为DMZ区，Security-Level:60，接Mail Server。

三、 实验目的实现inside区域能够访问outside，即Switch能够ping通Router的F0/0（202.100.10.2）；dmz区能够访问outside，即Mail Server能够ping通Router的F0/0（202.100.10.2）；outside能够访问insdie区的Web Server的http端口(80)和dmz区的Mail Server的pop3端口（110）、smtp端口（25）.四、 详细配置步骤1、端口配置CiscoASA(config)# interface ethernet 0CiscoASA(config)#nameif ousideCiscoASA(config-if)# security-level 0CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 1CiscoASA(config)#nameif insideCiscoASA(config-if)# security-level 100CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 2CiscoASA(config)#nameif dmzCiscoASA(config-if)# security-level 50CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0CiscoASA(config-if)# no shut2、路由配置CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)# nat (inside) 1 0 0CiscoASA(config)# nat (dmz) 1 0 04、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)# global (outside) 1 interfaceCiscoASA(config)# global (dmz) 1 interface5、定义静态IP映射（也称一对一映射）CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255#实现从outside区访问inside区10.1.1.1的80端口时，就直接访问10.1.1.1:80 对outside区的映射202.100.10.1:80CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的110时，就直接访问172.16.1.2:110 对outside区的映射202.100.10.1:110CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的25时，就直接访问172.16.1.2:25 对outside区的映射202.100.10.1:256、定义access-listCiscoASA(config)# access-list 101 extended permit ip any anyCiscoASA(config)# access-list 101 extended permit icmp any anyCiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq wwwCiscoASA(config)# access-list 102 extended permit icmp any anyCiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp7、在接口上应用access-listCiscoASA(config)# access-group 101 in interface outsideCiscoASA(config)#access-group 102 in interface insideCiscoASA(config)#access-group 103 in interface dmz五、 实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了，无须配置nat/global，也无须配置access-list，就可以直接telnet低权限区域主机;2、只要路由配通了，同时配置了access-list，无须配置nat/global，就可以直接ping通低权限区域主机；3、只要路由配通了，同时配置了nat/global/access-list，此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了，也不能成功访问；2、路由已经配通了，同时必须正确配置了static IP地址映射及access-list，才能成功访问；3、调通路由是基础，同时只跟static/access-list有关，而跟nat/global毫无关系。

配置设备介绍：（只为做实验实际应用请根据自己具体情况更改相关参数即可）核心交换机4507 提供VLAN3 网关地址：192。

168.3.254 提供DNS 服务器连接:192。

168。

0.1 接入交换机2960 提供VLAN3 TURNK 连接，可用IP 地址为192.168.3.0－192.168。

3。

240 掩码：255.255。

255。

0 网关:192。

168.3。

254DNS：192.168。

0。

1 内网实验防火墙CISCO ASA 5510E0/0 IP:192。

168.3.234E0/1 IP 10。

1.1.1 实现配置策略1。

动态内部PC1 DHCP 自动获得IP 地址，可访问INTERNET，并PING 通外部网关.PC1 Ethernet adapter 本地连接:Connection-specific DNS Suffix . : gametuziDescription 。

. 。

. . 。

：Broadcom 440x rollerPhysical Address。

. . . 。

. ：00-13-77—04-9Dhcp Enabled. 。

. . 。

. : YesAutoconfiguration Enabled 。

. 。

. ：YesIP Address。

. . 。

. 。

. 。

. . ：10。

1.1。

20Subnet Mask . . . . . . . 。

. 。

：255.255。

0.0Default Gateway 。

. 。

. ：10.1.1。

1DHCP Server . . . . 。

. . 。

. . ：10.1.1.1DNS Servers 。

. . 。

. 。

. : 192。

168。

0.12. 静态内部PC2 手动分配地址，可访问INTERNET ,并PING 通外部网关。

PC1 Ethernet adapter 本地连接：Connection—specific DNS Suffix . : gametuziDescription . 。

思科防火墙基本配置指导下面我讲一下一般用到的最基本配置1、建立用户和修改密码跟Cisco IOS路由器基本一样。

2、激活以太端口必须用enable进入，然后进入configure模式PIX525>enablePassword:PIX525#config tPIX525(config)#interface ethernet0 autoPIX525(config)#interface ethernet1 auto在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

3、命名端口与安全级别采用命令nameifPIX525(config)#nameif ethernet0 outside security0PIX525(config)#nameif ethernet0 outside security100security0是外部端口outside的安全级别（0安全级别最高）security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。

4、配置以太端口IP 地址采用命令为：ip address如：内部网络为：192.168.1.0 255.255.255.0外部网络为：222.20.16.0 255.255.255.0PIX525(config)#ip address inside 192.168.1.1 255.255.255.0PIX525(config)#ip address outside 222.20.16.1 255.255.255.05、配置远程访问[telnet]在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。

..Cisco ASA 防火墙图文配置实例本文是基于ASA5540 和 ASA5520 的配置截图所做的一篇配置文档，从最初始的配置开始：1、连接防火墙登陆与其他的 Cisco 设备一样，用 Console 线连接到防火墙，初始特权密码为空。

2、配置部接口和 IP 地址进入到接口配置模式，配置接口的 IP 地址，并指定为 inside。

防火墙的地址配置好后，进行测试，确认可以和防火墙通讯。

3、用 dir 命令查看当前的 Image 文件版本。

4、更新 Image 文件。

准备好 TFTP 服务器和新的 Image 文件，开始更新。

5、更新 ASDM。

6、更新完成后，再用 dir 命令查看8、存盘，重启9、用 sh version 命令验证启动文件，可以发现当前的 Image 文件就是更新后的10、设置允许用图形界面来管理 ASA 防火墙表示部接口的任意地址都可以通过 http 的方式来管理防火墙。

11、打开浏览器，在地址栏输入防火墙部接口的 IP 地址选择“是”按钮。

12、出现安装 ASDM 的画面选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组14、运行 ASDM Launcher，出现登陆画面15、验证证书单击“是”按钮后，开始登陆过程16、登陆进去后，出现防火墙的配置画面，就可以在图形界面下完成 ASA 防火墙的配置17、选择工具栏的“Configuration”按钮18、选择“Interface”，对防火墙的接口进行配置，这里配置g0/3接口选择 g0/3 接口，并单击右边的“Edit”按钮19、配置接口的 IP 地址，并将该接口指定为 outside单击 OK 后，弹出“Security Level Change”对话框，单击 OK 20、编辑 g0/1 接口，并定义为 DMZ 区域21、接口配置完成后，要单击 apply 按钮，以应用刚才的改变，这一步一定不能忘22、设置静态路由单击 Routing->Static Route->Add23、设置 enable 密码24、允许 ssh 方式登录防火墙25、增加用户定义 ssh 用本地数据库验证26、用 ssh 登录测试登录成功27、建立动态 NAT 转换选择 Add Dynamic NAT RuleInterface 选择 inside，Source 处输入 any 单击 Manage 按钮单击 add，增加一个地址池Interface 选择 Outside，选择 PAT，单击 Add 按钮单击 OK完成了添加动态 NAT 转换28、静态 NAT 转换由于笔者 2009 年离开了原单位，有些配置的截图没有做，新单位又没有 ASA 防火墙，只好参考《ASA8.0/ASDM6.0 测试报告》的截图和文档来完成本文，并将该文档中部分常用的配置联接在本文后，对该文的作者表示感。