CISCO防火墙常见功能实现.ppt

1、2018/12/28,Inspur group,CISCO防火墙常见功能实现,Inspur group,主要内容,ASA/PIX基本配置 访问控制 VPN配置 双机配置 特殊情况使用 防火墙板卡,Inspur group,ASA/PIX基本配置,1、设备名称asa（config） hostname asa 2、接口 信息配置interface fastehernet 0/1ip add 10.1.1.1 25.255.255.0nameif outside security-level 0 6.0及以前版本使用如下命令：nameif fastethernet0/1 outside securi

2、ty-level 0ip address outside 10.1.1.1 255.255.255.0 3、路由配置route outside 0.0.0.0 0.0.0.0 10.1.1.2,Inspur group,ASA/PIX基本配置,Nameif：为每个端口确定名字security-level ：安全级别，你可以给每个端口分配1-99的任何一个安全级别，数值越大，安全级别越高。默认inside 100、 manage 100、outside0,2018/12/28,Inspur group,访问控制,当你从一个高安全级别的端口访问低安全级别的端口时,使用NAT(insideoutsi

3、de、inside dmz、dmz outside) 当你从一个低安全级别的端口访问高安全级别的端口时,使用STATIC + ACL(outsideinside、outsidedmz、dmzinside),Inspur group,访问控制-NAT,动态NAT 静态NAT BYPASS NAT,Inspur group,访问控制-NAT,动态NAT 将内网的多个私有地址转换成外网地址Global （outside） 1 202.102.111.1 Nat （inside） 1 192.168.0.0 255.255.255.0 上述命令表示内部192.168.0.0/24网段访问外网的时将转换

4、成 202.102.111.1的地址访问internet,若以外网端口地址转换则称为PAT Global （outside） 1 interface Nat （inside） 1 192.168.0.0 255.255.255.0,Inspur group,访问控制-NAT,动态NAT global 指定公网地址范围：定义地址池。 Global命令的配置语法： global (if_name) nat_id ip_address-ip_address netmark global_mask 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(n

5、at要引用)。 ip_address-ip_address：表示一段ip地址范围。 netmark global_mask：表示全局ip地址的网络掩码。,Inspur group,访问控制-NAT,动态NATnat 地址转换命令，将内网的私有ip转换为外网公网ip。 nat命令配置语法：nat (if_name) nat_id local_ip netmark 其中： (if_name)：表示接口名称，一般为inside. nat_id： 表示地址池，由global命令定义。 local_ip： 表示内网的ip地址。对于0.0.0.0表示内网所有主机。 netmark：表示内网ip地址的子网掩

6、码。,Inspur group,访问控制-NAT,静态NAT 配置内网地址与外网地址一一对应，也可以配置基于应用端口的静态 转换，称为static PAT,Inspur group,访问控制-NAT,静态NATStatic （inside,outside) 209.165.201.1 10.1.1.1 netmask 255.255.255.255Static (inside,outside) tcp 209.165.201.1 23 10.1.1.1 23 Netmask 255.255.255.255,Inspur group,访问控制-NAT,静态NAT static(internal_

7、if_name,external_if_name) outside_ip_addr inside_ ip_address 其中： internal_if_name表示内部网络接口，安全级别较高，如inside。 external_if_name表示外部网络接口，安全级别较低，如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ ip_address表示内部网络的本地ip地址。,Inspur group,访问控制-NAT,BYPASS NAT 高安全级别区域地址以原地址访问低安全级别区域,Inspur group,访问控制-NAT,BYPASS N

8、AT 1、整体 hostname(config)# nat (inside) 0 10.1.1.0 255.255.255.0 2、匹配策略 Access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 Nat (inside) 0 access-list 100,Inspur group,访问控制-ACL,标准 Access-list test stand permit 192.168.0.0 255.255.255.0 扩展 Access-list test extended permit ip

9、192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0使用方法： Access-group test in interface outside,Inspur group,VPN配置,LAN-LAN (L2L) Remote-access （ra）,Inspur group,VPN配置-L2L,环境说明两地用户，内部网段分别为10.1.1.0/24与10.1.2.0/24 要求使用L2L进行数据加密处理,Inspur group,VPN配置-L2L,1、定义IKE policy ，并在接口启用 crypto isakmp policy 10 aut

10、hentication pre-share /pre-share认证方式encryption 3des /加密hash sha /完整性验证group 2 /密钥位数1024，group1为768lifetime 86400 /sa周期默认一天 crypto isakmp enable outside,Inspur group,VPN配置-L2L,2、定义触发流量 access-list 100 extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 3、配置VPN流量以原地址访问 access-list nonat e

11、xtended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 nat (inside) 0 access-list nonat,Inspur group,VPN配置-L2L,4、定义IPSEC转换集 crypto ipsec transform-set myset esp-3des esp-sha-hmac Esp-3des 加密算法；esp-sha-hmac 验证算法 5、配置加密图并应用在相关接口 crypto map outside_map 20 match address 100 crypto map outside_m

12、ap 20 set peer 192.168.1.1 crypto map outside_map 20 set transform-set myset crypto map outside_map interface outside,Inspur group,VPN配置-L2L,6、配置虚拟通道及属性 tunnel-group 192.168.1.1 type ipsec-l2l tunnel-group 192.168.1.1 ipsec-attributespre-shared-key *,Inspur group,VPN配置-Remote ACCESS,1、配置用户地址池ip loca

13、l pool vpnpool 192.168.10.1-192.168.10.100 2、配置IKE协商策略，并应用在外网接口 crypto isakmp policy 10 authentication pre-share /pre-share认证方式encryption 3des /加密hash sha /完整性验证group 2 /密钥位数1024，group1为768lifetime 86400 /sa周期默认一天 crypto isakmp enable outside,Inspur group,VPN配置-Remote ACCESS,3、定义转换集 crypto ipsec tra

14、nsform-set myset esp-3des esp-sha-hmac 4、配置动态加密图 Crypto dynamic-map ravpn 10 set transform-set myset Crypto dynamic-map ravpn 10 set reverse-route 5、配置静态加密图调用动态加密图并应用在外部接口 crypto map vpn 10 ipsec-isakmp dynamic ravpn crypto map vpn interface outside,Inspur group,VPN配置-Remote ACCESS,6、允许nat穿越 Crypto

15、isakmp nat-traversal 7、创见并设置组策略 Group-policy vpnclient internal Group-policy vpnclient attributesdns-server value 1.1.1.1split-tunnel-policy tunnelall,Inspur group,VPN配置-Remote ACCESS,8、隧道组建立及属性设置 Tunnel-group vpnclient type ipsec-ra Tunnel-group vpnclient ipsec-attributespre-shared key cisco Tunnel

16、-group vpnclient general-attributesaddress-pool vpnpoolauthentication-server-group (outside) LOCALdefault-group-policy vpnclient,Inspur group,VPN配置-Remote ACCESS,8、设置账户 Username cisco password cisco Username cisco attributes 9、配置VPN用户与内部网络访问（假设内网为192.168.1.0）acl 192.168.10.0 192.168.1.0 (outside)no

17、nat 192.168.1.0 192.168.10.0 (inside),Inspur group,VPN配置-讨论,假设用户既有l2l又有remote access 的VPN需求，防火墙设备改 如何实现此功能 ？,Inspur group,ASA Failover配置,配置Failover时，需要两台完全一样的ASA设备，同时需要硬件、 软件及License的支持。 Failover主要有两种模式Active/Active failover and Active/Standby ，前者相当于负载均衡的械式，后 者则是主备的方式，同时只有一台设备有流量通过。配置Failover需要配置Fai

18、lover Link，Link的方式有两处，一种 是基于serial cable，另一种是基于Lan的，ASA设备都是基于Lan的。,Inspur group,ASA Failover配置,主用ASA配置 ASA-1(config)#failover ASA-1(config)#failover lan unit primary ASA-1(config)#failover lan interface HA Ethernet0/2 ASA-1(config)#failover link HA Ethernet0/2 ASA-1(config)#failover key test)!) ASA-

19、1(config)#failover interface ip HA 192.168.110.1 255.0.0.0 standby 192.168.110.2 ASA-1(config)#failover 使用no shut 启用接口,Inspur group,ASA Failover配置,备用ASA配置 ASA-2(config)#failover ASA-2(config)#failover lan unit secondary ASA-2(config)#failover lan interface HA Ethernet0/2 ASA-2(config)#failover link

20、HA Ethernet0/2 ASA-2(config)#failover key test)!) ASA-2(config)#failover interface ip HA 192.168.110.1 255.0.0.0 standby 192.168.110.2 ASA-2(config)#failover 使用no shut 启用接口,Inspur group,特殊情况使用,CISCO防火墙的安全特性，导致内部用户在使用外部dns的时候不 能正确访问自己的网站应用。若单位内部www服务器192.168.1.1， 转换成202.102.111.1，以 对外提供服务器，则内部 用户不能使用

21、域名访问。可以使用alias别名方法解决alias（inside）192.168.1.1 202.102.111.1 255.255.255.255 或dns修改static (inside,outside ) 202.102.111.1 192.168.1.1 netmask 255.255.255.255 dns,Inspur group,防火墙板卡,1、登陆到防火墙板卡 cisco7609#session slot 3 professor 1 2、防火墙工作模式 FWSM有2种context工作模式：一种为single context mode即为一个物理FWSM；另一 种为Multip

22、le Context Mode即将FWSM虚拟成多个FW，可通过show mode命令查看。 !切换至multiple context mode ，会提示重新启动设备 FWSM(config)# mode multiple !重启后验证一下： FWSM# sh mode Security context mode: multiple,Inspur group,防火墙板卡,3、在交换机创建VLAN并添加到FWSM cisco7609(config)#firewall multiple-vlan-interfaces cisco7609(config)#firewall module 3 vlan

23、-group 1,2 cisco7609(config)#firewall vlan-group 1 10,12,110,112 cisco7609(config)#firewall vlan-group 2 80-92,180-192 4、FWSM配置 创建CONTEXT 配置多个context必须先创建admin context，然后再创建其他的,Inspur group,防火墙板卡,FWSM(config)# admin-context admin FWSM(config)# context admin FWSM(config-ctx)# allocate-interface vlan1

24、2 FWSM(config-ctx)# allocate-interface vlan112 FWSM(config-ctx)# config-url disk:/admin.cfg FWSM(config-ctx)# context test FWSM(config-ctx)# allocate-interface vlan10 FWSM(config-ctx)# allocate-interface vlan110 FWSM(config-ctx)# config-url disk:/test.cfg,Inspur group,防火墙板卡,配置CONTEXT 用changeto conte

25、xt name直接切换至某一context,下面以test为例 FWSM#changeto context test FWSM/test#conf t FWSM/test(config)#int vlan 10 FWSM/test(config-if)#nameif inside FWSM/test(config-if)#ip add 192.168.1.1 255.255.255.0 INFO: Security level for “inside“ set to 100 by default. FWSM/test(config-if)#int vlan 110 FWSM/test(config-if)#nameif outside INFO: Security level for “outside“ set to 0 by default.,Inspur group,防火墙板卡,FWSM/test(config-if)# ip address 172.30.0.130 255.255.255.248 FWSM/test (config)#route outside 0 0 172.16.0.33其他配置可参考ASA 附录ASA SSH配置,2018/12/28,Inspur group,谢谢大家!,