Cisco Pix日常维护常用命令
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、Cisco Pix日常维护常用命令
1、Pix模式介绍
“>”用户模式
firewall>enable
由用户模式进入到特权模式
password:
“#”特权模式
firewall#config t
由特权模式进入全局配置模式
“(config)#”全局配置模式
firewall(config)#
防火墙的配置只要在全局模式下完成就可以了。
1、
基本配置介绍
1、端口命名、设备命名、IP地址配置及端口激活
nameif ethernet0 outside security0
端口命名
nameif gb-ethernet0 inside security100
定义端口的名字以及安全级别,“outside”的安全级别默认为0,“inside”安全级别默认为100,及高安全级别的可以访问低安全级别的,但低安全级别不能主动地到高安全级别。firewall(config)#hostname firewall
设备名称
firewall(config)#ip address outside 1.1.1.1 255.255.255.0
内外口地址设置
firewall(config)#ip address inside 172.16.1.1 255.255.255.0
firewall(config)# interface ethernet0 100full
激活外端口
firewall(config)# interface gb-ethernet0 1000auto
激活内端口
2、telnet、ssh、web登陆配置及密码配置
防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的,需要相应得开启功能。firewall(config)#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet 到防火墙
配置从外网远程登陆到防火墙
Firewall(config)#domain-name
firewall(config)# crypto key generate rsa
firewall(config)#ssh 0.0.0.0 0.0.0.0 outside
允许外网所有地址可以远程登录防火墙,也可以定义一格具体的地址可以从外网登陆到防火墙上,如:
firewall(config)#ssh 218.240.6.81 255.255.255.255 outside
firewall(config)#enable password cisco
由用户模式进入特权模式的口令
firewall(config)#passrd cisco
ssh远程登陆时用的口令
firewall(config)#username Cisco password Cisco
Web登陆时用到的用户名
firewall(config)#http enable
打开http允许内网10网断通过http访问防火墙
firewall(config)#http 192.168.10.0 255.255.255.0 inside
firewall(config)#pdm enable
firewall(config)#pdm location 192.168.10.0 255.255.255.0 inside
web登陆方式:https://172.16.1.1
3、保证防火墙能上网还要有以下的配置
firewall(config)#nat (inside)1 0 0
对内部所有地址进行NAT转换,或如下配置,对内部固定配置的地址进行NAT转化,未指定的不予转发
firewall(config)#nat
(inside)
1 192.168.10.0 255.255.255.0
fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0
firewall (config) # global
(outside) 1 interface
对进行nat转换得地址转换为防火墙外接口地址
firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2指一条默认路由器到ISP
做完上面的配置内网用户就可以上网了,内部有3层交换机且划分了Vlan,若要保证每个Vlan都能够上网,还要在防火墙上指回到其他VLan的路由,如:
Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.2
4、内网服务器映射
如果在局域网内有服务器要发布到互联网上,需要在PIX对内网服务器进行映射。服务器映射可以是一对一的映射,也可以是端口映射,一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。下面以发布内网一台WEB服务器来举例说明:
Firewall(config)#static (inside,outside) tcp 222.128.124.1 80 192.168.1.100 80
上述命令便将内部的web服务器放到了公网上面,但外面的用户并不能访问到,因为防火墙的外界口安全级别最低,从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开,如下:
Firewall(config)#access-list outside permit tcp any host 222.128.124.1 eq 80
Firewall(config)#access-group outside in interface outside
必须将用access-group命令将访问控制列表应用到外端口,上述完成后就可以从外网上来访问服务器了。
5、防火墙上常用的show命令
Firewall (config) #show interface 查看所有端口的状态,端口是否出于连接状态
interface ethernet0 "outside" is up, line protocol is up端口和协议都出于“up”状态,正常。
pixfirewall# sh cpu usage
查看CPU的使用情况,如果CPU的使用情况超过60%是不正常的,说明内部有PC对外占用了设备大量资源
CPU utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1%
如果内部有终端中毒(或利用P2P下载)向网关送大量的数据包,会导致防火墙只能来