思科防火墙设置

第五章防火墙的具体应用远键实业公司是一个典型的中小企业。

大概100 人左右。

是一家科技企业，主要从事计算机系统集成服务，大约有100 人左右，分为市场部、财务部、销售部、人力资源部、办公室、网络管理部、工程部，网络分成内网、外网。

内网经常感染病毒，蠕虫，而且某些员工使用工具进行大数据量下载也影响网络正常工作，有时也发现来自外网黑客攻击现象，同时公司随着业务的发展也将扩大宣传，考虑建立一个Web 服务器用来对外发布信息。

公司领导和网络部经过仔细讨论，决定在公司现有网络基础上部署一台防火墙。

防火墙有很多种，国外和国内有很多防火墙。

经过选型后公司选择一款Cisco PIX 515 防火墙。

公司拓扑结构如下：公司网络要求一、配置公司PIX划分内网、外网及DMZ区域：远键实业公司的规模并不是很大，网络拓扑结构如上图，分为内网、外网。

在满足内网用户快速访问INTERNET 的同时有效防止来自外网黑客攻击；此外，公司随着业务的发展也需要扩大宣传，市场部考虑建立电子营销，所以希望建立一个Web 服务器用来对外发布业务信息。

公司网络管理部门决定在公司的防火墙上部署在内网和外网之间配置PIX划分内网、外网及DMZ区域。

pixfirewall>enapixfirewall##进入全局配置模式pixfirewall# conf t#配置防火墙接口的名字，并指定安全级别（nameif）。

pixfirewall(config)#int e0pixfirewall(config-if)# nameif insidepixfirewall(config-if)# security-level 100pixfirewall(config)#int e1pixfirewall(config-if)# nameif dmzpixfirewall(config-if)# security-level 50pixfirewall(config)#int e2pixfirewall(config-if)# nameif outsidepixfirewall(config-if)# security-level 0security-leve 0 是外部端口outside 的安全级别（0 安全级别最高）security-leve 100 是内部端口inside 的安全级别,如果中间还有以太口，则security-leve 10，security-leve 20 等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz security-leve 50 是停火区dmz 的安全级别。

思科PIX 防火墙的基本配置【项目目标】掌握PIX 防火墙基本配置方法。

【项目背景】某公司使用Cisco PIX 515防火墙连接到internet ，ISP 分配给该公司一段公网IP 地址。

公司具有Web 服务器和Ftp 服务器，要求让内网用户和外网用户都能够访问其web 服务和FTP 服务，但外部网络用户不可以访问内网。

【方案设计】1.总体设计ISP 分配给该公司一段公网IP 地址为61.1.1.2—61.1.1.254。

在DMZ 区域放置一台Web 服务器和一台Ftp 服务器，使用61.1.1.3和61.1.1.4这两个全局IP 地址分别将Web 服务器和Ftp 服务器发布到Internet 。

利用访问控制列表来控制外网用户的访问。

2.任务分解任务1：防火墙基本配置。

任务2：接口基本配置。

任务3：配置防火墙默认路由。

任务4：配置内网用户访问外网规则。

任务5：发布DMZ 区域的服务器。

任务6：配置访问控制列表。

任务7：查看与保存配置。

3.知识准备所有的防火墙都是按以下两种情况配置的：（1）拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型。

（2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

不过大多数防火墙默认都是拒绝所有的流量作为安全选项。

一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。

换句话说，如果你想让你的内部用户能够发送和接收Email ，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP 的进程。

4.拓扑结构：如图8-17所示。

图8-17 项目拓扑结构5.设备说明PIX515dmzoutsidinside File ServerWeb192.168.1.Interne以PIX515防火墙7.X 版本的操作系统为例，介绍其配置过程。

在配置之前先假设pix515防火墙的ethernet0接口作为外网接口(命名为outside)，并分配全局IP 地址为61.1.1.2；ethernet1接口作为内网接口(命名为inside)，并分配私有IP 地址为192.168.1.1；ethernet2接口作为DMZ 接口，并分配私有IP 地址为192.168.2.1。

cisco防火墙怎么样设置最好cisco防火墙用处很大，你会进行设置吗?下面由店铺给你做出详细的cisco防火墙设置方法介绍!希望对你有帮助!cisco防火墙设置(日志)方法一：要指定日志服务器，使用软件来存储和查看日志，如Kiwi Syslog Daemon在防火墙上配置：log logging on (启动日志服务)logging trap severity_level 7 (设置最高级别，默认是3)logging host inside 192.168.1.100 (设置inside接口下的主机接收日志信息)cisco防火墙设置(时间)方法二：cisco的log时间有两种显示格式：日期时间(datetime)，这个时间是用机器的时钟时间 clock;更新时间(uptime)，日志发生的时间到现在的时间。

按照习惯，使用datetime的较多。

更改命令：service timestamps log datetime localtimecisco防火墙设置(log)方法三：如果你只是本地log的话。

缺省不需要特别配置：加个：logging facility local0 就可以了。

如果不行，你看看你的logging buffer是不是设置小了。

如果是远程log：远程服务器启动syslog服务，然后配置/etc/syslog.conf ,里面的配置local0要和交换机配置是一样的，交换机是local1，你服务器那配置文件也需要配置成local1.然后设置log文件路径就行。

相关阅读：cisco等级划分一般性认证和专业认证思科提供了三个一般性认证等级，它们所代表的专业水平逐级上升：工程师、资深工程师和专家(CCIE)。

在这些等级中，不同的发展途径对应不同的职业需求。

思科还提供了多种专门的思科合格专家认证，以考察在特定的技术、解决方案或者职业角色方面的知识。

一般性认证一般性认证：三个认证等级工程师(CCNA--Cisco认证网络支持工程师)：思科网络认证计划的第一步首先从工程师级别开始。

C. 配置fixup协议fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。

见下面例子：例1．Pix525(config)#fixup protocol ftp 21启用ftp协议，并指定ftp的端口号为21例2．Pix525(config)#fixup protocol http 80Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。

例3．Pix525(config)#no fixup protocol smtp 80禁用smtp协议。

D. 设置telnettelnet有一个版本的变化。

在pix OS 5.0（pix操作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。

在pix OS 5.0及后续版本中，可以在所有的接口上启用telnet 到pix的访问。

当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。

另外就是在PIX上配置SSH，然后用SSH client从外部telnet到PIX防火墙，PIX支持SSH1和SSH2，不过SSH1是免费软件，SSH2是商业软件。

相比之下cisco路由器的telnet就作的不怎么样了。

telnet配置语法：telnet local_ip [netmask] local_ip 表示被授权通过telnet访问到pix的ip 地址。

如果不设此项，pix的配置方式只能由console进行。

说了这么多，下面给出一个配置实例供大家参考。

Welcome to the PIX firewallType help or '?' for a list of available commands.PIX525> enPassword:PIX525#sh config: Saved:PIX Version 6.0(1) ------ PIX当前的操作系统版本为6.0Nameif ethernet0 outside security0Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口Enable password 7Y051HhCcoiRTSQZ encryptedPassed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为ciscoHostname PIX525 ------ 主机名称为PIX525Domain-name ------ 本地的一个域名服务器，通常用作为外部访问Fixup protocol ftp 21Fixup protocol http 80fixup protocol h323 1720fixup protocol rsh 514fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol sip 5060 ------ 当前启用的一些服务或协议，注意rsh服务是不能改变端口号names ------ 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空pager lines 24 ------ 每24行一分页interface ethernet0 autointerface ethernet1 auto ------ 设置两个网卡的类型为自适应mtu outside 1500mtu inside 1500 ------ 以太网标准的MTU长度为1500字节ip address outside 61.144.51.42 255.255.255.248ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1ip audit info action alarmip audit attack action alarm ------ pix入侵检测的2个命令。

思科ASA防火墙基本配置思科ASA防火墙基本配置Fire Wall 防火墙，它是一种位于内部网络与外部网络之间的网络安全系统，当然，防火墙也分软件防火墙与硬件防火墙。

硬件防火墙又分为：基于PC架构与基于ASIC芯片今天来聊一聊思科的'硬件防火墙 Cisco ASACisco ASA 防火墙产品线挺多：Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等ASA 的基本配置步骤如下：配置主机名、域名hostname [hostname]domain-name xx.xxhostname Cisco-ASA 5520domain-name 配置登陆用户名密码password [password]enable password [password]配置接口、路由interface interface_namenameif [name]name 有三种接口类型 insdie outside dmzsecurity-level xx(数值)数值越大接口安全级别越高注：默认inside 100 ,outside 0 ,dmz 介于二者之间静态路由route interface_number network mask next-hop-addressroute outside 0.0.0.0 0.0.0.0 210.210.210.1配置远程管理接入Telnettelnet {network | ip-address } mask interface_nametelnet 192.168.1.0 255.255.255.0 insidetelnet 210.210.210.0 255.255.255.0 outsideSSHcrypto key generate rsa modulus {1024| 2048 }指定rsa系数，思科推荐1024ssh timeout minutesssh version version_numbercrypto key generate rsa modulus 1024ssh timeout 30ssh version 2配置 ASDM(自适应安全设备管理器)接入http server enbale port 启用功能http {networdk | ip_address } mask interface_nameasdm image disk0:/asdm_file_name 指定文件位置username user password password privilege 15NATnat-controlnat interface_name nat_id local_ip maskglobal interface_name nat_id {global-ip [global-ip] |interface} nat-controlnat inside 1 192.168.1.0 255.255.255.0global outside 1 interfaceglobal dmz 1 192.168.202.100-192.168.202.150ACLaccess-list list-name standad permit | deny ip maskaccess-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask portaccess-group list-name in | out interface interface_name如果内网服务器需要以布到公网上staic real-interface mapped-interface mapped-ip real-ip staic (dmz,outside) 210.210.202.100 192.168.202.1保存配置wirte memory清除配置clear configure (all)【思科ASA防火墙基本配置】。

思科ASA防火墙精华配置总结思科防火墙PIX ASA 配置总结一（基础）：下面是我工作以来的配置总结，有些东西是6.3版本的，但不影响在7.＊版本的配置。

一：6个基本命令：nameif、interface、ip address 、nat、global、route。

二：基本配置步骤：step1: 命名接口名字nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security50＊＊7版本的配置是先进入接口再命名。

step2：配置接口速率interface ethernet0 10full autointerface ethernet1 10full autointerface ethernet2 10fullstep3：配置接口地址ip address outside 218.106.185.82ip address inside 192.168.100.1 255.255.255.0ip address dmz 192.168.200.1 255.255.255.0step4：地址转换（必须）* 安全高的区域访问安全低的区域（即内部到外部）需NAT 和global;nat(inside) 1 192.168.1.1 255.255.255.0global(outside) 1 222.240.254.193 255.255.255.248＊＊＊nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。

直接转发出去。

* 如果内部有服务器需要映像到公网地址(外网访问内网)则需要static和conduit或者acl.static (inside, outside) 222.240.254.194 192.168.1.240static (inside, outside) 222.240.254.194 192.168.1.240 10000 10后面的10000为限制连接数，10为限制的半开连接数。

如何配置思科IOS防火墙如何配置思科IOS防火墙思科依靠自身的技术和对网络经济模式的深刻理解，使他成为了网络应用的成功实践者之一，其制造的路由器也是全球顶尖的，那么你知道如何配置思科IOS防火墙吗?下面是店铺整理的一些关于如何配置思科IOS防火墙的相关资料，供你参考。

配置思科IOS防火墙的方法：拓扑图配置思科IOS防火墙步骤第一步：在R1 、 R2 、 R3上的预配置r1(config)#int e0/0r1(config-if)#ip add 172.16.1.1 255.255.255.0r1(config-if)#no shr1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2配置静态路由r1(config)#^Zr2(config)#int e0/0r2(config-if)#ip add 172.16.1.2 255.255.255.0r2(config-if)#no shr2(config-if)#int e2/0r2(config-if)#ip add 192.168.1.2 255.255.255.0r2(config-if)#no shr3(config)#int e2/0r3(config-if)#ip add 192.168.1.3 255.255.255.0r3(config-if)#no shr3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 配置静态路由r3(config)#^Zr3(config)#li vty 0 4r3(config-line)#passr3(config-line)#password ciscor3(config-line)#exit第二步：在R2上配置zhangr2#conf tEnter configuration commands, one per line. End with CNTL/Z.r2(config)#ip inspect name zhang tcp 检查TCPr2(config)#ip inspect name zhang udp 检查udpr2(config)#ip inspect udp idle-time 60 检查udp 的时间是60S r2(config)#ip inspect name zhang icmp timeout 5 超时时间是5Sr2(config)#ip inspect name zhang http alert off 控制HTTPr2(config)#r2(config)#int e0/0r2(config-if)#ip inspect zhang in 在e0/0接口检查流量是否满足以上所定义过的任何一条r2(config-if)#exitr2(config)#acce 100 deny ip any any log 做ACL拒绝IP的任何包通过r2(config)#int e2/0r2(config-if)#ip acce 100 in 将ACL要用到e2/0的进接口上第三步：从R1上TELNET R3r1#telnet 192.168.1.3Trying 192.168.1.3 ... OpenUser Access VerificationPassword:r3>从R3上TELNET R1r3#telnet 172.16.1.1Trying 172.16.1.1 ...% Destination unreachable; gateway or host down第四步：从R1上ping R2直连接口r1#ping 172.16.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 28/54/92 ms从R2上ping R1直连接口r2#ping 172.16.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 16/67/124 ms从R2ping R3直连接口r2#ping*Mar 1 00:15:20.615: %SYS-5-CONFIG_I: Configured from console by consoler2#ping 192.168.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:*Mar 1 00:15:28.055: %SEC-6-IPACCESSLOGDP: list 100 denied icmp 192.168.1.3 -> 192.168.1.2 (0/0), 1 packet..... //说明icmp包可以到达，但是没有回包Success rate is 0 percent (0/5)从R3ing R2连接口r3#ping 192.168.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:U.U.U //说明icmp包不可以到达目的地Success rate is 0 percent (0/5)r1#ping 192.168.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 76/124/156 msr2#debug ip inspect icmpINSPECT ICMP Inspection debugging is onr2#*Mar 1 00:35:09.187: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3*Mar 1 00:35:09.187: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3*Mar 1 00:35:09.191: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3*Mar 1 00:35:09.263: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1*Mar 1 00:35:09.375: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3*Mar 1 00:35:09.423: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1*Mar 1 00:35:09.467: CBAC: ICMP Echo pkt 172.16.1.1 =>192.168.1.3*Mar 1 00:35:09.531: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1*Mar 1 00:35:09.563: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3r2#*Mar 1 00:35:09.623: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1*Mar 1 00:35:09.671: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3*Mar 1 00:35:09.735: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1。

增加一台服务器具体要求。

新增一台服务器地址：10.165.127.15/255.255.255.128。

需要nat 转换成公网地址16.152.91.223 映射出去，并对外开通这台服务器的80端口。

在对外pix525上面增加如下：access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223可是为什么转换后，不能访问16.52.91.223的网页，但确可以ping通16.52.91.223，但是访问10.165.127.15的主页是正常的？？具体配置如下：pix-525> enablePassword: *****pix-525# sh run: Saved:PIX Version 6.3(5)interface ethernet0 100fullinterface ethernet1 100fullnameif ethernet0 outside security0nameif ethernet1 inside security100enable password FVHQD7n.FuCW78fS level 7 encryptedenable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname wgqpix-525fixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69namesaccess-list acl_out permit tcp any host 16.152.91.221 eq wwwaccess-list acl_out permit icmp any anyaccess-list acl_out permit tcp any host 16.152.91.220 eq httpsaccess-list acl_out permit tcp any host 16.152.91.223 eq wwwaccess-list outbound permit icmp any anyaccess-list outbound permit ip any anypager lines 24mtu outside 1500mtu inside 1500ip address outside 16.152.91.222 255.255.255.128ip address inside 10.165.127.254 255.255.255.252ip audit info action alarmip audit attack action alarmno failoverfailover timeout 0:00:00failover poll 15no failover ip address outsideno failover ip address insideno pdm history enablearp timeout 14400static (inside,outside) 16.152.91.221 10.165.127.11 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.220 10.165.127.23 netmask 255.255.255.255 0 0 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 access-group acl_out in interface outsideaccess-group outbound in interface insideroute outside 0.0.0.0 0.0.0.0 16.152.91.129 1route inside 10.165.0.0 255.255.0.0 10.165.127.253 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout sip-disconnect 0:02:00 sip-invite 0:03:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server TACACS+ max-failed-attempts 3aaa-server TACACS+ deadtime 10aaa-server RADIUS protocol radiusaaa-server RADIUS max-failed-attempts 3aaa-server RADIUS deadtime 10aaa-server LOCAL protocol localhttp server enableno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable trapsfloodguard enabletelnet 10.165.6.225 255.255.255.255 insidetelnet 10.165.127.12 255.255.255.255 insidetelnet 10.165.127.250 255.255.255.255 insidetelnet 10.165.6.15 255.255.255.255 insidetelnet 10.165.6.16 255.255.255.255 insidetelnet timeout 5ssh timeout 5console timeout 0username admin password iuQeTKNaNbruxBKd encrypted privilege 2terminal width 80Cryptochecksum:b2e1195d144f48f01fe66606cd31d0f2: endwgqpix-525#最佳答案( 回答者: xintao800 )PIX防火墙提供4种管理访问模式：²非特权模式。

Cisco路由器交换机防火墙配置命令详解cisco思科公司是全球领先的网络解决方案供应商，其出产的设备配置起来也跟别的不太一样，下面是Cisco路由器交换机防火墙配置命令详解,希望对你有所帮助。

Cisco路由器交换机防火墙配置命令详解1、交换机支持的命令交换机基本状态switch: ;ROM状态，路由器是rommon>hostname> ;用户模式hostname# ;特权模式hostname(config)# ;全局配置模式hostname(config-if)# ;接口状态交换机口令设置switch>enable ;进入特权模式switch#config terminal ;进入全局配置模式switch(config)#hostname ;设置交换机的主机名switch(config)#enable secret xxx ;设置特权加密口令switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口switch(config-line)#line vty 0 4 ;进入虚拟终端switch(config-line)#login ;允许登录switch(config-line)#password xx ;设置登录口令xxswitch#exit ;返回命令交换机VLAN设置switch#vlan database ;进入VLAN设置switch(vlan)#vlan 2 ;建VLAN 2switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f0/1 ;进入端口1switch(config-if)#switchport access vlan 2 ;当前端口加入vlan2switch(config-if)#switchport mode trunk ;设置为干线switch(config-if)#switchport trunk allowed vlan 1，2 ;设置允许的vlanswitch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名switch(config)#vtp password ;设置发vtp密码switch(config)#vtp mode server ;设置发vtp模式switch(config)#vtp mode client ;设置发vtp模式交换机设置IP地址switch(config)#inte***ce vlan 1 ;进入vlan 1switch(config-if)#ip address ;设置IP地址switch(config)#ip default-gateway ;设置默认网关switch#dir flash: ;查看闪存交换机显示命令switch#write ;保存配置信息switch#show vtp ;查看vtp配置信息switch#show run ;查看当前配置信息switch#show vlan ;查看vlan配置信息switch#show inte***ce ;查看端口信息switch#show int f0/0 ;查看指定端口信息2. 路由器支持的命令路由器显示命令router#show run ;显示配置信息router#show inte***ce ;显示接口信息router#show ip route ;显示路由信息router#show cdp nei ;显示邻居信息router#reload;重新起动。

Cisco网络防火墙配置方法是什么用哪些命令防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。

这篇文章主要介绍了Cisco网络防火墙配置方法,需要的朋友可以参考下方法步骤由于网络防火墙默认禁止所有的通信，因为，只有对其进行适当配置后，才能实现正常的网络通信。

如何配置Cisco网络防火墙1.进入全局配置模式ciscoasa# configure terminal2.选择欲作为网络防火墙外部接口的网络接口ciscoasa(config)# interface interface-id3.为该接口指定IP地址和网掩码ciscoasa(config-if)#4.将该接口指定IP地址和网掩码ciscoasa(config-if)# nameif outsideINFO：Security level for "outside" set to 0 by default5.激活该外部接口ciscoasa(config-if)# no shutdown6.返回至全局配置模式ciscoasa(config-if)# exit7.选择欲作为网络防火墙内部接口的网络接口ciscoasa(config-if)# interface interface-id8.为了该接口指定为内部接口。

ciscoasa(config-if)# ip address ip-address subnet-mask9.将该接口指定为内容接口ciscoasa(config-if)# nameif insideINFO:Security level for "outside" set to 100 by default10.激活该外部接口ciscoasa(config-if)# no shutdown11.返回至全局配置模式ciscoasa(config-if)# exit12.启动Web___ciscoasa(config)# web___13.允许___对外访问ciscoasa(config-web___)#enable outside14.指定SSL ___客户端(SSL VP___linet,SVC)文件位置。

一、防火墙登陆过程telnet 192.168.0.1输入：123用户名：en密码：srmciscoConf tShow run二、公网IP与内网IP映射：static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0三、再打开端口：输入以下一笔命今如access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端口) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端口) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端口)四、登出防火墙：logout五、增加上网电脑1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0（上网电脑IP地址）2、arp inside 192.168.0.188 000f.eafa.645d alias（绑定上网电脑网卡MAC地址）六、取消上网电脑1、no nat (inside) 1 192.168.0.188 255.255.255.255 0 0（上网电脑IP地址）2、no arp inside 192.168.0.188 000f.eafa.645d alias（绑定上网电脑网卡MAC地址）七、增加可以远程控制防火墙电脑telnet 192.168.0.188 255.255.255.255 inside八、保存已做改动设置wr me九、以下为现存防火墙配置。

下面我讲一下一般用到的最基本配置1、建立用户和修改密码跟Cisco IOS路由器基本一样。

2、激活以太端口必须用enable进入，然后进入configure模式PIX525>enablePassword:PIX525#config tPIX525(config)#interface ethernet0 autoPIX525(config)#interface ethernet1 auto在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

3、命名端口与安全级别采用命令nameifPIX525(config)#nameif ethernet0 outside security0PIX525(config)#nameif ethernet0 outside security100security0是外部端口outside的安全级别（0安全级别最高）security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。

4、配置以太端口IP 地址采用命令为：ip address如：内部网络为：192.168.1.0 255.255.255.0外部网络为：222.20.16.0 255.255.255.0PIX525(config)#ip address inside 192.168.1.1 255.255.255.0PIX525(config)#ip address outside 222.20.16.1 255.255.255.05、配置远程访问[telnet]在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。

要想配置思科的防火墙得先了解这些命令：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global(if_name)nat_id ip_address-ip_address[netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat(if_name)nat_id local_ip[netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route(if_name)00gateway_ip[metric]其中：(if_name)：表示接口名称。

00：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name)outside_ip_addr inside_ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

思科ASA和PIX防火墙配置手册目录第一章配置基础 (1)1.1 用户接口 (1)1.2 防火墙许可介绍 (2)1.3 初始配置 (2)第二章配置连接性 (3)2.1 配置接口 (3)2.2 配置路由 (5)2.3 DHCP (6)2.4 组播的支持 (7)第三章防火墙的管理 (8)3.1 使用Security Context建立虚拟防火墙（7.x特性） (8)3.2 管理Flash文件系统 (9)3.3 管理配置文件 (10)3.4 管理管理会话 (10)3.5 系统重启和崩溃 (11)3.6 SNMP支持 (12)第四章用户管理 (13)4.1 一般用户管理 (13)4.2 本地数据库管理用户 (13)4.3 使用AAA服务器来管理用户 (14)4.4 配置AAA管理用户 (14)4.5 配置AAA支持用户Cut-Through代理 (15)4.6 密码恢复 (15)第五章防火墙的访问控制 (16)5.1 防火墙的透明模式 (16)思科ASA 和PIX 防火墙配置手册5.2 防火墙的路由模式和地址翻译 (17)5.3 使用ACL进行访问控制 (20)第六章配置Failover增加可用性 (23)6.1 配置Failover (23)6.2 管理Failover (25)6.3 升级Failover模式防火墙的OS镜像 (25)第七章配置负载均衡 (26)7.1 配置软件实现(只在6500 native ios模式下) (26)7.2 配置硬件实现 (27)7.3 配置CSS实现 (29)第八章日志管理 (30)8.1 时钟管理 (30)8.2 日志配置 (30)8.3 日志消息输出的微调 (32)8.4 日志分析 (33)第九章防火墙工作状态验证 (34)9.1 防火墙健康检查 (34)9.2 流经防火墙数据的监控 (34)9.3 验证防火墙的连接性 (35)思科ASA 和PIX 防火墙配置手册第一章配置基础1.1 用户接口思科防火墙支持下列用户配置方式：Console，Telnet，SSH（1.x或者2.0，2.0为7.x新特性，PDM的http方式（7.x以后称为ASDM）和VMS的Firewall Management Center。

思科PIX防火墙设置命令详解设置当你第一次启动PIX防火墙的时候，你应该看到一个这样的屏幕显示：你将根据提示回答“是”或者“否”来决定是否根据这个互动提示来设置PIX防火墙。

对这个问题回答“否”，因为你要学习如何真正地设置防火墙，而不仅仅是回答一系列问题。

然后，你将看到这样一个提示符：pixfirewall>在提示符的后面有一个大于号“>”，你处在PIX用户模式。

使用en或者enable命令修改权限模式。

在口令提示符下按下“enter”键。

下面是一个例子：pixfirewall> enPassword:pixfirewall#你现在拥有管理员模式，可以显示内容，但是，你必须进入通用设置模式来设置这个PIX防火墙。

现在让我们学习PIX防火墙的基本设置：PIX防火墙的基本设置我所说的基本设置包括三样事情：·设置主机名·设置口令（登录和启动）·设置接口的IP地址·启动接口·设置一个默认的路由在你做上述任何事情之前，你需要进入通用设置模式。

要进入这种模式，你要键入：pixfirewall# config tpixfirewall(config)#要设置主机名，使用主机名命令，像这样：pixfirewall(config)# hostname PIX1PIX1(config)#注意，提示符转变到你设置的名字。

下一步，把登录口令设置为“cisco”（思科），像这样：PIX1(config)# password ciscoPIX1(config)#这是除了管理员之外获得访问PIX防火墙权限所需要的口令。

现在，设置启动模式口令，用于获得管理员模式访问。

PIX1(config)# enable password ciscoPIX1(config)#现在，我们需要设置接口的IP地址和启动这些接口。

同路由器一样，PIX没有接口设置模式的概念。

要设置内部接口的IP地址，使用如下命令：PIX1(config)# ip address inside 10.1.1.1 255.0.0.0PIX1(config)#现在，设置外部接口的IP地址：PIX1(config)# ip address outside 1.1.1.1 255.255.255.0PIX1(config)#下一步，启动内部和外部接口。

配置设备介绍：（只为做实验实际应用请根据自己具体情况更改相关参数即可）核心交换机4507 提供VLAN3 网关地址：192。

168.3.254 提供DNS 服务器连接:192。

168。

0.1 接入交换机2960 提供VLAN3 TURNK 连接，可用IP 地址为192.168.3.0－192.168。

3。

240 掩码：255.255。

255。

0 网关:192。

168.3。

254DNS：192.168。

0。

1 内网实验防火墙CISCO ASA 5510E0/0 IP:192。

168.3.234E0/1 IP 10。

1.1.1 实现配置策略1。

动态内部PC1 DHCP 自动获得IP 地址，可访问INTERNET，并PING 通外部网关.PC1 Ethernet adapter 本地连接:Connection-specific DNS Suffix . : gametuziDescription 。

. 。

. . 。

：Broadcom 440x rollerPhysical Address。

. . . 。

. ：00-13-77—04-9Dhcp Enabled. 。

. . 。

. : YesAutoconfiguration Enabled 。

. 。

. ：YesIP Address。

. . 。

. 。

. 。

. . ：10。

1.1。

20Subnet Mask . . . . . . . 。

. 。

：255.255。

0.0Default Gateway 。

. 。

. ：10.1.1。

1DHCP Server . . . . 。

. . 。

. . ：10.1.1.1DNS Servers 。

. . 。

. 。

. : 192。

168。

0.12. 静态内部PC2 手动分配地址，可访问INTERNET ,并PING 通外部网关。

PC1 Ethernet adapter 本地连接：Connection—specific DNS Suffix . : gametuziDescription . 。