cisco防火墙日常维护

一、Cisco Pix日常维护常用命令

1、Pix模式介绍

“>”用户模式

firewall>enable由用户模式进入到特权模式

password:

“#”特权模式

firewall#config t 由特权模式进入全局配置模式

“（config）#”全局配置模式

firewall(config)#

防火墙的配置只要在全局模式下完成就可以了。

1、基本配置介绍

○1、端口命名、设备命名、IP地址配置及端口激活

nameif ethernet0 outside security0 端口命名

nameif gb-ethernet0 inside security100

定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。firewall(config)#hostname firewall 设备名称

firewall（config）#ip address outside 1.1.1.1 255.255.255.0 内外口地址设置

firewall（config）#ip address inside 172.16.1.1 255.255.255.0

firewall（config）# interface ethernet0 100full 激活外端口

firewall（config）# interface gb-ethernet0 1000auto 激活内端口

○2、telnet、ssh、web登陆配置及密码配置

防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet 到防火墙

配置从外网远程登陆到防火墙

Firewall（config）#domain-name

firewall（config）# ca generate rsa key 800

firewall（config）#ca save all

firewall（config）#ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：

firewall（config）#ssh 218.240.6.81 255.255.255.255 outside

firewall（config）#enable password cisco 由用户模式进入特权模式的口令

firewall（config）#passrd cisco ssh远程登陆时用的口令

firewall（config）#username Cisco password Cisco Web登陆时用到的用户名

firewall（config）#http enable 打开http允许内网10网断通过http访问防火墙firewall（config）#http 192.168.10.0 255.255.255.0 inside

firewall（config）#pdm enable

firewall（config）#pdm location 192.168.10.0 255.255.255.0 inside

web登陆方式：https://172.16.1.1

○3、保证防火墙能上网还要有以下的配置

firewall（config）#nat （inside）1 0 0 对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发

firewall（config）#nat (inside) 1 192.168.10.0 255.255.255.0

fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0

firewall (config) # global (outside) 1 interface 对进行nat转换得地址转换为防火墙外接口地址

firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2指一条默认路由器到ＩＳＰ

做完上面的配置内网用户就可以上网了，内部有３层交换机且划分了Ｖｌａｎ，若要保证每个Ｖｌａｎ都能够上网，还要在防火墙上指回到其他ＶＬａｎ的路由，如：

Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.2

○4、内网服务器映射

如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。服务器映射可以是一对一的映射，也可以是端口映射，一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。下面以发布内网一台WEB服务器来举例说明：

Firewall(config)#static (inside,outside) tcp 222.128.124.1 80 192.168.1.100 80

上述命令便将内部的web服务器放到了公网上面，但外面的用户并不能访问到，因为防火墙的外界口安全级别最低，从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开，如下：

Firewall(config)#access-list outside permit tcp any host 222.128.124.1 eq 80

Firewall(config)#access-group outside in interface outside

必须将用access-group命令将访问控制列表应用到外端口，上述完成后就可以从外网上来访问服务器了。

○5、防火墙上常用的show命令

Firewall (config) #show interface查看所有端口的状态，端口是否出于连接状态

interface ethernet0 "outside" is up, line protocol is up端口和协议都出于“ｕｐ”状态，正常。

pixfirewall# show cpu usage查看ＣＰＵ的使用情况，如果ＣＰＵ的使用情况超过６０％是不正常的，说明内部有ＰＣ对外占用了设备大量资源

CPU utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1%

如果内部有终端中毒（或利用Ｐ２Ｐ下载）向网关送大量的数据包，会导致防火墙只能来处理病毒机器的请求，而无暇顾及正常流量，导致正常用户不能上网，要找到不正常终端可以利用show conn来查看

Firewall(config)#show conn

若用show conn查看到某个内部ＩＰ到互联网上的链接特别多，且都是ＵＤＰ高端口号的，

可以断定此机器是在Ｐ２Ｐ下载，然后可以通过在防火墙上的show arp命令查看到此计算机的ＭＡＣ地址，在用上面交换机维护命令讲到的命令确认他连接在交换机的端口，然后将此端口shotdown，或通过机房点位直接找到用户要求其停止，否则会占用出口带宽和防火墙的资源。

Firewall(config)#show conn local 192.168.40.69查看具体一个ＩＰ地址的链接项：Firewall(config)#show version查看防火墙的硬件信息

Firewall(config)#show xlate查看内部地址时否转换成外端口地址来上网Fierwall(config)#clear arp 清除ＡＲＰ表

Firewall(config)#clear xlate清除内部所有地址的转换项，网络中断一下Firewall(config)#clear xlate local 192.168.40.69清除内部具体一台机器的转换项Firewall(config)#show runnint-config查看防火墙的当前配置文件