《防火墻日常維護(hù)》word版

1、.一、Cisco Pix日常維護(hù)常用命令1、Pix模式介紹“>”用戶模式firewall>enable 由用戶模式進(jìn)入到特權(quán)模式password:“#”特權(quán)模式firewall#config t 由特權(quán)模式進(jìn)入全局配置模式“（config）#”全局配置模式firewall(config)#防火墻的配置只要在全局模式下完成就可以了。1、 基本配置介紹、端口命名、設(shè)備命名、IP地址配置及端口激活nameif ethernet0 outside security0 端口命名nameif gb-ethernet0 inside security100定義端口的名字以及安全級(jí)別，“outsi

2、de”的安全級(jí)別默認(rèn)為0，“inside”安全級(jí)別默認(rèn)為100，及高安全級(jí)別的可以訪問(wèn)低安全級(jí)別的，但低安全級(jí)別不能主動(dòng)地到高安全級(jí)別。firewall(config)#hostname firewall 設(shè)備名稱firewall（config）#ip address outside 內(nèi)外口地址設(shè)置firewall（config）#ip address inside firewall（config）# interface ethernet0 100full 激活外端口firewall（config）#

3、interface gb-ethernet0 1000auto 激活內(nèi)端口、telnet、ssh、web登陸配置及密碼配置防火墻默認(rèn)是不允許內(nèi)/外網(wǎng)用戶通過(guò)遠(yuǎn)程登陸或WEB訪問(wèn)的，需要相應(yīng)得開啟功能。firewall（config）#telnet inside 允許內(nèi)網(wǎng)此網(wǎng)斷內(nèi)的機(jī)器Telnet到防火墻配置從外網(wǎng)遠(yuǎn)程登陸到防火墻Firewall（config）#domain-name firewall（config）# ca generate rsa key 800firewall（config）#ca save allfirewall（c

4、onfig）#ssh outside 允許外網(wǎng)所有地址可以遠(yuǎn)程登錄防火墻，也可以定義一格具體的地址可以從外網(wǎng)登陸到防火墻上，如：firewall（config）#ssh 1 55 outsidefirewall（config）#enable password cisco 由用戶模式進(jìn)入特權(quán)模式的口令firewall（config）#passrd cisco ssh遠(yuǎn)程登陸時(shí)用的口令firewall（config）#username Cisco password Cisco Web登陸時(shí)用到的用戶名firewall（

5、config）#http enable 打開http允許內(nèi)網(wǎng)10網(wǎng)斷通過(guò)http訪問(wèn)防火墻firewall（config）#http insidefirewall（config）#pdm enablefirewall（config）#pdm location insideweb登陸方式： 、保證防火墻能上網(wǎng)還要有以下的配置firewall（config）#nat （inside）1 0 0 對(duì)內(nèi)部所有地址進(jìn)行轉(zhuǎn)換，或如下配置，對(duì)內(nèi)部固定配置的地址進(jìn)行轉(zhuǎn)化

6、，未指定的不予轉(zhuǎn)發(fā)firewall（config）#nat (inside) 1 fierwall(config)#nat (inside) 1 firewall (config) # global (outside) 1 interface 對(duì)進(jìn)行nat轉(zhuǎn)換得地址轉(zhuǎn)換為防火墻外接口地址firewall (config) # route 指一條默認(rèn)路由器到做完上面的配置內(nèi)網(wǎng)用戶就可以上網(wǎng)了，內(nèi)部有層交換機(jī)且劃分了，若要保證每個(gè)都能夠上網(wǎng)，還要在防

7、火墻上指回到其他的路由，如：Firewall (config) # route inside 、內(nèi)網(wǎng)服務(wù)器映射如果在局域網(wǎng)內(nèi)有服務(wù)器要發(fā)布到互聯(lián)網(wǎng)上，需要在PIX對(duì)內(nèi)網(wǎng)服務(wù)器進(jìn)行映射。服務(wù)器映射可以是一對(duì)一的映射，也可以是端口映射，一般我們采用端口映射及節(jié)約IP地址又能增強(qiáng)映射服務(wù)器的安全性。下面以發(fā)布內(nèi)網(wǎng)一臺(tái)WEB服務(wù)器來(lái)舉例說(shuō)明：Firewall(config)#static (inside,outside) tcp 80 00 80上述命令便將內(nèi)部的web服務(wù)器放

8、到了公網(wǎng)上面，但外面的用戶并不能訪問(wèn)到，因?yàn)榉阑饓Φ耐饨缈诎踩?jí)別最低，從低安全級(jí)別到高安全級(jí)別主動(dòng)發(fā)起的鏈接請(qǐng)求需要我們?cè)诜阑饓ι侠迷L問(wèn)控制列表手動(dòng)放開，如下：Firewall(config)#access-list outside permit tcp any host eq 80Firewall(config)#access-group outside in interface outside必須將用access-group命令將訪問(wèn)控制列表應(yīng)用到外端口，上述完成后就可以從外網(wǎng)上來(lái)訪問(wèn)服務(wù)器了。、防火墻上常用的show命令Firewall (config)

9、#show interface 查看所有端口的狀態(tài)，端口是否出于連接狀態(tài)interface ethernet0 "outside" is up, line protocol is up端口和協(xié)議都出于“”狀態(tài)，正常。pixfirewall# sh cpu usage 查看的使用情況，如果的使用情況超過(guò)是不正常的，說(shuō)明內(nèi)部有對(duì)外占用了設(shè)備大量資源CPU utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1%如果內(nèi)部有終端中毒（或利用下載）向網(wǎng)關(guān)送大量的數(shù)據(jù)包，會(huì)導(dǎo)致防火墻只能來(lái)處理病毒機(jī)器的請(qǐng)求，而無(wú)暇顧及正常流

10、量，導(dǎo)致正常用戶不能上網(wǎng)，要找到不正常終端可以利用show conn來(lái)查看Firewall(config)#show conn若用show conn查看到某個(gè)內(nèi)部到互聯(lián)網(wǎng)上的鏈接特別多，且都是高端口號(hào)的，可以斷定此機(jī)器是在下載，然后可以通過(guò)在防火墻上的show arp命令查看到此計(jì)算機(jī)的地址，在用上面交換機(jī)維護(hù)命令講到的命令確認(rèn)他連接在交換機(jī)的端口，然后將此端口shotdown，或通過(guò)機(jī)房點(diǎn)位直接找到用戶要求其停止，否則會(huì)占用出口帶寬和防火墻的資源。Firewall(config)#show conn local 9 查看具體一個(gè)地址的鏈接項(xiàng)：Firewall(conf

11、ig)#show version 查看防火墻的硬件信息Firewall(config)#show xlate 查看內(nèi)部地址時(shí)否轉(zhuǎn)換成外端口地址來(lái)上網(wǎng)Fierwall(config)#clear arp 清除表Firewall(config)#clear xlate 清除內(nèi)部所有地址的轉(zhuǎn)換項(xiàng)，網(wǎng)絡(luò)中斷一下Firewall(config)#clear xlate local 9 清除內(nèi)部具體一臺(tái)機(jī)器的轉(zhuǎn)換項(xiàng)Firewall(config)#show runnint-config 查看防火墻的當(dāng)前配置文件二、防火墻配置簡(jiǎn)介1、以前的防火墻的系統(tǒng)版本是6.3以下，在這種版本里面

12、不能用“tab”鍵補(bǔ)齊命令，而且用“？”來(lái)查詢命令也很不方便； 目前的ASA5500的系統(tǒng)版本為7.0以上，和路由器的命令相同，可以用“tab”鍵補(bǔ)齊命令，可以用“？”來(lái)查看參數(shù)、同樣也可以在全局模式用show命令。 防火墻的幾種工作模式： 用戶模式：如果您看到>那么現(xiàn)在代表是在用戶模式下，在用戶模式下只有簡(jiǎn)單的命令可以操作。由用戶模式進(jìn)入特權(quán)模式的命令為：enable 特權(quán)模式：如果您看到當(dāng)前的位置顯示#那么您處于特權(quán)模式下，在特權(quán)模式下用戶可以查看所有信息，而前可以進(jìn)入全局配置模式對(duì)防火墻配置進(jìn)行修改。由特權(quán)模式進(jìn)入全局配置模式下的命令為：config t 全局配置模式：當(dāng)您看到（c

13、onfig）#時(shí)，表示現(xiàn)在處于全局配置模式，可以對(duì)防火墻的設(shè)置進(jìn)行修改。在“>”、“#”、“（config）#”左側(cè)顯示的為設(shè)備的名稱。2、1）、防火墻接口配置Pix配置Pix>enable 進(jìn)入特權(quán)模式Pix#config t 進(jìn)入全局配置模式Pix(config)#ip address outside 配置外接口地址Pix(config)#ip address inside 配置內(nèi)接口地址Pix(config)#interface ethernet0 auto 激活外端口Pix(co

14、nfig)#interface ethernet1 auto 激活內(nèi)端口 （默認(rèn)端口是出于shutdown狀態(tài)的）防火墻6.3以下系統(tǒng)默認(rèn)將ethernet0端口做為外端口，默認(rèn)安全級(jí)別為0，ethernet1作為內(nèi)端口，默認(rèn)安全級(jí)別為100，對(duì)于防火墻而言，高安全級(jí)別的用戶可以訪問(wèn)到低安全級(jí)別，而由低安全級(jí)別主動(dòng)發(fā)起的到高安全級(jí)別的鏈接是不允許的。Pix系列產(chǎn)品默認(rèn)只有兩個(gè)端口及0和1，DMZ端口都是另外添加的模塊，DMZ端口的默認(rèn)安全級(jí)別50，配置DMZ接口的地址和配置inside和outside類似Pix(config)#ip address dmz 255.255.25

15、5.0Pix(config)# interface gb-ethernet0 1000auto 激活DMZ端口，DMZ的端口號(hào)需要您用show running-config命令查看，如：Pix(config)#show running-configsh run: Saved:PIX Version 6.3(5)interface ethernet0 100fullinterface ethernet1 autointerface gb-ethernet0 1000auto 新添加的DMZ端口2）、防火墻nat設(shè)置2.1、內(nèi)網(wǎng)用戶要上網(wǎng)，我們必須對(duì)其進(jìn)行地址轉(zhuǎn)換，將其轉(zhuǎn)換為在公網(wǎng)上可以路由的注冊(cè)

16、地址，防火墻的nat和global是同時(shí)工作的，nat定義了我們要進(jìn)行轉(zhuǎn)換的地址，而global定義了要被轉(zhuǎn)換為的地址，這些配置都要在全局配置模式下完成，2.2、Nat配置如下：Pix(config)#nat (inside) 1 0 0上面inside代表是要被轉(zhuǎn)換得地址，1要和global 后面的號(hào)對(duì)應(yīng)，類似于訪問(wèn)控制列表號(hào)，也是從上往下執(zhí)行，0 0 代表全部匹配（第一個(gè)0代表地址，第二個(gè)0代表掩碼），內(nèi)部所有地址都回進(jìn)行轉(zhuǎn)換。2.3、Global配置Pix（config）#global （outside）1 interfaceGobalb定義了內(nèi)網(wǎng)將要被轉(zhuǎn)換成的地址，Interface

17、代表外端口的地址當(dāng)然，如果您有更多的公網(wǎng)IP地址，您也可以設(shè)置一個(gè)地址池，上面一條也是必須的，地址轉(zhuǎn)換首先會(huì)用地址池內(nèi)地址，一旦地址被用完后會(huì)用到上面一條及外端口做轉(zhuǎn)換上網(wǎng)。Pix（config）#global （outside） 00-54）、防火墻路由設(shè)置3.1、因?yàn)槲覀優(yōu)槟┕?jié)網(wǎng)絡(luò)，所以對(duì)于我們來(lái)說(shuō)路由比較簡(jiǎn)單，只要將從防火墻過(guò)來(lái)的所有流量全部導(dǎo)向就可以了，具體到各個(gè)網(wǎng)站的路由在那里會(huì)有。如果在我們的內(nèi)部沒(méi)有劃分，那么我們之需要在防火墻上指一條向外出的路由就可以了，如下：Pix（config）#route outside 0.0.

18、0.0 Route outside代表是外出的路由 代表目的地址，及全部匹配 代表子網(wǎng)掩碼，及全部匹配代表下一跳，及和我們防火墻互聯(lián)的ISP的地址 3.2、如果在我們的內(nèi)部有好多VLAN劃分，那么我們需要往回指到各個(gè)Vlan的路由，下一跳需要指向和我們防火墻直接相連的內(nèi)網(wǎng)的地址，比如在我們的內(nèi)部有VLAN 2：/24；VLAN 3：/24；如果VLAN 2是和防火墻直接相連的，那么我們不需要對(duì)VLAN 2回指路由，因?yàn)樗头阑饓υ谕痪W(wǎng)段，而VLAN 3沒(méi)有和防火墻直接相連，如果想讓vlan 3 也能上

19、網(wǎng)我們就需要在防火墻上回指一條到vlan 3 的路由，如下：Pix（config）#route inside 目的網(wǎng)絡(luò)及掩碼下一跳及和防火墻相連的同一網(wǎng)段的vlan interface地址，4）、服務(wù)器映射配置4.1、如果在內(nèi)網(wǎng)有一臺(tái)web服務(wù)器需要向外提供服務(wù)，那么需要在防火墻上映射，公網(wǎng)地址多的情況下可以做一對(duì)一的映射，如下Pix（config）#static （inside，outside）00 0如果只有一個(gè)公網(wǎng)地址，那么可以做端口

20、映射，如下Pix（config）#static （inside，outside）tcp 00 80 0 804.2、映射完畢后還必須配置訪問(wèn)控制列表，允許外部來(lái)訪問(wèn)映射的WEB服務(wù)器，如下：Pix（config）#access-list outside per tcp any host 00 eq 80Pix（config）#access-group outside in interface outside其中“access-list”和“access-group”后面的outside為防問(wèn)控制列表的名字，“access-gro

21、up”最后的outside為端口名。允許外面任意一臺(tái)主機(jī)通過(guò)TCP的80端口訪問(wèn)到00這臺(tái)主機(jī)，下面還要把此條訪問(wèn)控制列表應(yīng)用到outside接口上，這樣互聯(lián)網(wǎng)上的用戶才能訪問(wèn)到WEB服務(wù)器。如果有多條地址映射請(qǐng)重復(fù)上述操作。5）、圖形界面登陸設(shè)置和用戶名密碼添加Pix（config）#pdm history enablePix(config)#pdm location insidePix(config)#http server enablePix(config)#http ins

22、idePix(config)#username cisco password cisco cisco為用戶名和密碼上述配置完畢后您就可以通過(guò)圖形界面來(lái)登陸，登陸方式： 如果要打開外網(wǎng)圖形界面配置，如下：Pix（config）#http location outside外網(wǎng)所有的地址都可以通過(guò)圖形界面來(lái)登陸防火墻如果知道用戶名和密碼。當(dāng)然我們也可以定義特定的一臺(tái)多多臺(tái)可以通過(guò)圖形界面登陸防火墻，只要將網(wǎng)段改為特定的地址就可以了。6）、防火墻密碼Pix（config）#enable password cisco 設(shè)置進(jìn)入enable的密碼

23、Pix（config）#passwd cisco ssh登陸是第一次輸入的密碼7）、防火墻內(nèi)網(wǎng)Telnet和外網(wǎng)SSH登陸設(shè)置Telnet ConfigurationPix（config）#telnet inside 允許內(nèi)網(wǎng)telnet防火墻Pix(config)#telnet timeout 1 1分鐘未作任何操作后超時(shí)退出SSH Configuration通過(guò)外網(wǎng)不能用Telnet防火墻，必須用SSH加密方式，在配置SSH之前要先定義一個(gè)domain-name，然后再生成一個(gè)key，如下：Pix（config）#domain-na

24、me Pix（config）# ca generate rsa key 800Pix（config）#ca save allPix（config）#ssh outsideSSH也可以定義外網(wǎng)特定的一臺(tái)主機(jī)或固定的一段地址可以來(lái)遠(yuǎn)程登陸。8）、防火墻DHCP配置Pix（config）#dhcpd address 00-54 inside 定義地址池并在inside接口開啟DHCP功能Pix（config）# dhcpd dns 15 0 定義給客戶分發(fā)的DNSPix（config）# dh

25、cpd enable inside 打開DHCP功能9）、如何修改已存在的訪問(wèn)控制列表比如，我們?cè)趦?nèi)接口上定義了一些訪問(wèn)控制列表，如下：Pix（config）#access-list inside deny ip host 00 anyPix（config）#access-list inside permit tcp any any range 1 1024Pix（config）#access-list inside permit ucp any any range 1.1024 Pix（config）#access-list inside permit tcp any any

26、eq 1863Pix（config）#access-group inside in interface inside上面是我已經(jīng)在內(nèi)接口存在的訪問(wèn)控制列表，我拒絕了00到外面所有，而其他的用戶只能訪問(wèn)外面的TCP和UDP的11024 的端口以及TCP的1863端口（msn），如果我還希望在拒絕IP地址為01的主機(jī)到外面所有的，那么我必須將deny 01 的訪問(wèn)控制列表寫到access-list inside permit tcp any any range 1 1024列表的上面，因?yàn)樵L問(wèn)控制列表是從上往下執(zhí)行，如果將deny 01的訪問(wèn)

27、控制列表放在access-list inside permit tcp any any eq 1863下面，那么對(duì)于01 的限制將不能生效，可以按照下面步驟操作：1、先用show access-list命令查看訪問(wèn)控制列表Pix(config)#show access-listaccess-list inside line 1 deny ip host 00 any (hitcnt=100000) access-list inside line 2 permit tcp any any range 1 1024 (hitcnt=8000000)access-list

28、 inside line 3 permit udp any any range 1 1024 (hitcnt=100000)access-list inside line 4 permit udp any any eq 1863 (hitcnt=8000)2、將deny 01的列表插入，格式如下：Pix(config)#access-list inside line 1 deny ip host 01 any做完后，在用show running-config可以看到在訪問(wèn)控制列表位置第一行已經(jīng)多了一條，顯示結(jié)果如下： Pix（config）#show runaccess-list inside deny ip host 01 anyaccess-list inside deny ip host 00 anyaccess-list inside permit tcp any any range 1 1024access-list inside permit ucp any any range 1.1024 access-list inside permit tcp any any eq 1863三、ASA5500端口配置對(duì)于ASA5500系列來(lái)說(shuō)，