收藏 分享(赏)
下载资源 加入VIP,免费下载

思科ASA和PIX防火墙配置手册.doc

上传人:scg750829 文档编号:6957027 上传时间:2019-04-28 格式:DOC 页数:43 大小:312.50KB
下载 相关 举报
思科ASA和PIX防火墙配置手册.doc_第1页
第1页 / 共43页
思科ASA和PIX防火墙配置手册.doc_第2页
第2页 / 共43页
思科ASA和PIX防火墙配置手册.doc_第3页
第3页 / 共43页
思科ASA和PIX防火墙配置手册.doc_第4页
第4页 / 共43页
思科ASA和PIX防火墙配置手册.doc_第5页
第5页 / 共43页
点击查看更多>>
资源描述

1、思科 ASA 和 PIX 防火墙配置手册一、 配置基础 21.1 用户接口 .21.2 防火墙许可介绍 .31.3 初始配置 .3二、 配置连接性 42.1 配置接口 .42.2 配置路由 .62.3 DHCP.72.4 组播的支持 .7三、 防火墙的管理 73.1 使用 Security Context 建立虚拟防火墙(7.x 特性) 73.2 管理 Flash 文件系统 83.3 管理配置文件 .93.4 管理管理会话 .93.5 系统重启和崩溃 .103.6 SNMP 支持 10四、 用户管理 114.1 一般用户管理 .114.2 本地数据库管理用户 .114.3 使用 AAA 服务器

2、来管理用户 114.4 配置 AAA 管理用户 124.5 配置 AAA 支持用户 Cut-Through 代理 .124.6 密码恢复 .12五、 防火墙的访问控制 125.1 防火墙的透明模式 .125.2 防火墙的路由模式和地址翻译 .135.3 使用 ACL 进行访问控制 .15六、 配置 Failover 增加可用性 176.1 配置 Failover 176.2 管理 Failover 19七、 配置负载均衡 197.1 配置软件实现 (只在 6500 native ios 模式下) .197.2 配置硬件实现 .207.3 配置 CSS 实现 .22八、 日志管理 228.1 时

3、钟管理 .228.2 日志配置 .238.3 日志消息输出的微调 .248.4 日志分析 .25九、 防火墙工作状态验证 259.1 防火墙健康检查 .259.2 流经防火墙数据的监控 .269.3 验证防火墙的连接性 .26十、 Syslog 服务 28Syslog 简介 .28Syslog 服务器的部署 .2910.1 内置 syslogd 的配置 2910.2 配置基于 linux 的 syslog-ng 服务器 .2910.3 配置基于 Windows 的 syslog 服务器 .3010.4 路由器下 syslog 支持的配置 3010.5 交换机下 syslog 支持的配置 311

4、0.6 PIX 防火墙下 syslog 支持的配置 3210.7 VPN Concentrator 下 syslog 支持的配置 33十一、 Cisco PIX 防火墙的问题集锦 .3311.1 如何允许外网用户 Telnet 至 PIX 的 outside? .3311.2 我想通过在 pix 515e 上进行设置使某些内网用户只能上一个特定的网站 3411.3 请教 pix515 acl 如何屏蔽一个网段? .3511.4 在 515E 中配置 DHCP 网关的命令是什么 .3611.5 pix 能不能实现 dmz 和 inside 透明模式呢? .3611.6 如何配置 PIX 透明模式

5、? 3711.7 为什么 ping 不通 515E 的 outside 地址? .3711.8 pix515 的问题 .40一、 配置基础1.1 用户接口思科防火墙支持下列用户配置方式:Console,Telnet,SSH(1.x 或者 2.0,2.0 为 7.x 新特性,PDM 的 http 方式(7.x 以后称为 ASDM)和 VMS 的 Firewall Management Center。支持进入 Rom Monitor 模式,权限分为用户模式和特权模式,支持 Help,History 和命令输出的搜索和过滤。注:Catalyst6500 的 FWSM 没有物理接口接入,通过下面 CL

6、I 命令进入:Switch# session slot slot processor 1 (FWSM 所在 slot 号)用户模式:Firewall 为用户模式,输入 enable 进入特权模式 Firewall#。特权模式下可以进入配置模式,在6.x 所有的配置都在一个全局模式下进行,7.x 以后改成和 IOS 类似的全局配置模式和相应的子模式。通过 exit,ctrl-z 退回上级模式。配置特性:在原有命令前加 no 可以取消该命令。Show running-config 或者 write terminal 显示当前配置,7.x 后可以对 show run 的命令输出进行搜索和过滤。Sho

7、w running-config all 显示所有配置,包含缺省配置。Tab 可以用于命令补全,ctrl-l 可以用于重新显示输入的命令(适用于还没有输入完命令被系统输出打乱的情况),help 和 history 相同于 IOS 命令集。Show 命令支持 begin,include,exclude,grep 加正则表达式的方式对输出进行过滤和搜索。Terminal width 命令用于修改终端屏幕显示宽度,缺省为 80 个字符,pager 命令用于修改终端显示屏幕显示行数,缺省为 24 行,pager lines 0 命令什么效果可以自己试试。1.2 防火墙许可介绍防火墙具有下列几种许可形式

8、,通过使用 show version 命令可以看设备所支持的特性:Unrestricted (UR) 所有的限制仅限于设备自身的性能,也支持 FailoverRestricted (R) 防火墙的内存和允许使用的最多端口数有限制,不支持 FailoverFailover (FO) 不能单独使用的防火墙,只能用于 FailoverFailover-Active/Active (FO-AA) 只能和 UR 类型的防火墙一起使用,支持 active/active failover 注:FWSM 内置 UR 许可。activation-key 命令用于升级设备的许可,该许可和设备的 serial nu

9、mber 有关(show version输出可以看到),6.x 为 16 字节,7.x 为 20 字节。1.3 初始配置跟路由器一样可以使用 setup 进行对话式的基本配置。二、 配置连接性2.1 配置接口接口基础:防火墙的接口都必须配置接口名称,接口 IP 地址和掩码(7.x 开始支持 IPv6)和安全等级。接口可以是物理接口也可以是逻辑接口(vlan),从 6.3 贾 ?lt;/SPANtrunk,但只支持 802.1Q 封装,不支持 DTP 协商。接口基本配置:注:对于 FWSM 所有的接口都为逻辑接口,名字也是 vlan 后面加上 vlanid。例如 FWSM 位于 6500 的第三

10、槽,配置三个接口,分别属于 vlan 100,200,300.Switch(config)# firewall vlan-group 1 100,200,300Switch(config)# firewall module 3 vlan-group 1Switch(config)# exitSwitch# session slot 3 processor 1经过此配置后形成三个端口 vlan100.vlan200,vlan300PIX 6.xFirewall(config)# interface hardware-id hardware-speed shutdown (Hardware-id

11、可以用 show version 命令看到)PIX 7.xFirewall(config)# interface hardware-idFirewall(config-if)# speed auto | 10 | 100 | nonegotiateFirewall(config-if)# duplex auto | full | halfFirewall(config-if)# no shutdown命名接口FWSM 2.xFirewall(config)# nameif vlan-id if_name securitylevel PIX 6.xFirewall(config)# nameif

12、 hardware-id | vlan-id if_name securitylevel PIX 7.xFirewall(config)# interface hardware_id.subinterfaceFirewall(config-if)# nameif if_nameFirewall(config-if)# security-level level注:Pix 7.x 和 FWSM 2.x 开始支持不同接口有相同的 security level,前提是全局配置模式下使用same-security-traffic permit inter-interface 命令。配置 IP 地址静态地

13、址:Firewall(config)# ip address if_name ip_address netmask动态地址:Firewall(config)# ip address outside dhcp setroute retry retry_cnt注:setroute 参数可以同时获得来自 DHCP 服务器的缺省路由,再次输入此命令可以 renew 地址。PPPOE:Firewall(config)# vpdn username JohnDoe password JDsecretFirewall(config)# vpdn group ISP1 localname JohnDoeFir

14、ewall(config)# vpdn group ISP1 ppp authentication chapFirewall(config)# vpdn group ISP1 request dialout pppoeFirewall(config)# ip address outside pppoe setroute验证接口Firewall# show ipIPv6 地址配置(7.x 新特性)暂略ARP 配置配置一个静态的 ARP 条目:Firewall(config)# arp if_name ip_address mac_address alias配置 timeout 时间:Firewa

15、ll(config)# arp timeout seconds 缺省为 4 小时注:一般情况下使用 clear arp 会清除所有的 ARP 缓存,不能针对单个的条目,但是可以通过以下变通方法:配置一个静态的条目,映射有问题的 ip 为一个假的 mac 地址,然后 no 掉该命令就会重新建立一个 arp 条目。MTU 和分段配置 MTU:Firewall(config)# mtu if_name bytes 使用 show mtu (6.3) 或者 show running-config mtu (7.x)来验证分段(fragment)的几个命令:限制等待重组的分段数 Firewall(con

16、fig)# fragment size database-limit if_name限制每个包的分段数 Firewall(config)# fragment chain chain-limit if_name限制一个数据包分段到达的时间 Firewall(config)# fragment timeout seconds if_name配置接口的优先队列(7.x 新特性)暂略2.2 配置路由启用 PRF 防止地址欺骗 Firewall(config)# ip verify reverse-path interface if_name配置静态路由 Firewall(config)# route

17、if_name ip_address netmask gateway_ip metric配置 RIP被动听 RIP 更新(v1,v2)Firewall(config)# rip if_name passive version 1 (Firewall(config)# rip if_name passive version 2 authentication text | md5 key (key_id))宣告该接口为缺省路由 Firewall(config)# rip if_name default version 1 | 2 authentication text | md5 key key_

18、id配置 OSPF定义 OSPF 进程 Firewall(config)# router ospf pid指定相应网络到 OSPF 区域 Firewall(config-router)# network ip_address netmask area area_id可选:定义 Router ID Firewall(config-router)# router-id ip_address记录 OSPF 邻居状态更新 Firewall(config-router)# log-adj-changes detail启用 OSPF 更新认证 Firewall(config-router)# area a

19、rea_id authentication message-digest宣告缺省路由 Firewall(config-router)# default-information originate always metric value metric-type 1 | 2 route-map name调节 OSPF 参数 Firewall(config-router)# timers spf spf_delay spf_holdtime |lsa-group-pacing seconds2.3 DHCP配置成为 DHCP Server:配置地址池 Firewall(config)# dhcpd

20、address ip1-ip2 if_name (最多 256 个客户端)配置 DHCP 参数 Firewall(config)# dhcpd dns dns1 dns2 Firewall(config)# dhcpd wins wins1 wins2 Firewall(config)# dhcpd domain domain_name Firewall(config)# dhcpd lease lease_length Firewall(config)# dhcpd ping_timeout timeout启用 DHCP 服务 Firewall(config)# dhcpd enable i

21、f_name验证:show dhcdp, show dhcpd bindings, show dhcpd statistics配置 DHCP 中继:定义真实 DHCP Server Firewall(config)# dhcprelay server dhcp_server_ip server_ifc(最多4 个)中继参数 Firewall(config)# dhcprelay timeout seconds Firewall(config)# dhcprelay setroute client_ifc启用中继 Firewall(config)# dhcprelay enable client

22、_ifc验证 show dhcprelay statistics2.4 组播的支持暂略三、 防火墙的管理 3.1 使用 Security Context 建立虚拟防火墙(7.x 特性) 特性介绍:从 PIX7.0 和 FWSM 2.2(1)开始,可以把物理的一个防火墙配置出多个虚拟的防火墙,每个防火墙称为 context,这样一个防火墙就支持两种工作模式:single-context 和 multiple-context,处于后者工作模式的防火墙被分为三个功能模块:system execution space(虽然没有 context 的功能,但是是所有的基础),administrative

23、context(被用来管理物理的防火墙) 和 user contexts(虚拟出来的防火墙,所有配置防火墙的命令都适用) 配置:首先使用 show activation-key 来验证是否有 multiple-context 的许可,然后通过 mode multiple 和 mode single 命令在这两个模式之间进行切换,当然也可以用 show mode 来验证现在工作在什么模式下。在不同 context 下进行切换使用 Firewall# changeto system | context name,由于所有的 context 的定义都必须在 system execution spac

24、e 下,所以要首先使用 changeto system转入该模式,Firewall(config)# context name 接着要把物理接口映射到 context 中 只要这样才能在相应的 context 下显示出物理接口,从而配置其属性 Firewall(config-ctx)# allocate-interface physical-interface map-name 最后定义 context 的 startup-config 的存放位置 Firewall(config-ctx)# config-url url 通过 show context 验证 注:当防火墙工作在 multipl

25、e-context 模式下,admin context 就自动生成。(show context 来验证) 由于所有的 context 都共享设备的资源,所以要限制各个 context 的资源分配 首先定义 class Firewall(config)# class name 然后 Firewall(config-class)# limit-resource all number% Firewall(config-class)# limit-resource rate resource_name number% 最后在相应的 context 配置下 Firewall(config-ctx)# m

26、ember class 通过以下命令验证 show class, show resource allocation, show resource usage 等 注:缺省 telnet, ssh,IPsec 5 sessions,MAC address 65535 条目 3.2 管理 Flash 文件系统 6.x 文件系统 只有六种文件可以保存到 Flash,没有文件名只有代号,没有目录结构 0 OS 镜像 1 启动文件 2 VPN 和密匙证书 3 PDM 镜像 4 崩溃信息 5 0 的文件大小 show flashfs 显示 flash 文件 7.x 和 FWSM 文件系统 7.x 和 FW

27、SM 更像 IOS 的文件系统,具有层级目录,要被格式化后才可以使用, 7.x 使用 flash:/代表 Flash 文件系统, FWSM 分别使用 flash:/ (系统镜像)和 disk:/(配置文件) 由于该系统使用类 Unix 的指令,所以可以使用下列常用命令来对该文件系统操作: dir pwd cd more delete copy rename mkdir rmdir format erase fsck(检查文件系统完整性) 6.x 在 Flash 里面只能保存一个系统镜像,7.x 则废除了此种限制通过使用 Firewall(config)# boot system flash:f

28、ilename 来选取不同的系统镜像, show bootvar 进行验证 OS 升级 见附录 3.3 管理配置文件 7.0 以后可以使用多个启动配置文件 Firewall(config)# boot config url 显示启动配置文件 Firewall# show startup-config Firewall# show configuration (6.x 为 show configure) 保存当前配置文件 write memory, copy running-config startup-config, write net server-ip-address:filename (

29、7.x 也支持 copy 至 tftp) 强制 standby 同步当前配置文件 write standby 删除启动配置文件 write erase 合并启动配置文件为当前配置文件 configure memory 从 Web 导入配置文件 configure https:/user:passwordlocation:port/ http-pathname (7.x 支持 copy 自以上源) 合并配置文件自自动更新服务器 Firewall(config)# auto-update device-id hardware-serial | hostname | ipaddress if_nam

30、e | mac-address if_name | string text Firewall(config)# auto-update server https:/username:password AUSserver-IP-address:port/autoupdate/AutoUpdateServlet verify-certificate 3.4 管理管理会话 Firewall(config)# console timeout minutes 配置 console 登录的超时(缺省 0 不超时) 禁止来自 outside 端口的 telnet,启用 telnet Firewall(con

31、fig)# telnet ip_address netmask if_name Firewall(config)# telnet timeout minutes 配置 telnet 超时 启用 SSH 配置 首先生成 RSA 密匙对 Firewall(config)# domain-name name Firewall(config)# ca generate rsa key modulus (7.x 使用 crypto key generate rsa general-keys modulus modulus) Firewall(config)# ca save all (7.x 自动保存

32、) 使用 show ca mypubkey rsa 来验证(7.x show crypto key mypubkey rsa) ca zeroize rsa 作废原有密匙对(7.x crypto key zeroize rsa default) 最后允许 ssh 会话 Firewall(config)# ssh ip_address netmask if_name ssh version 命令可以选择 ssh 的版本,ssh timeout 定义超时时间 PDM/ASDM 配置 由于 PDM 存放位置固定,所以不需要指定镜像的位置,ASDM 使用 Firewall(config)# asdm

33、image device:/path 来指定镜像位置,如果没有可以使用 copy 命令来安装。然后配置访问许可 Firewall# http ip_address subnet_mask if_name 启用 HTTP 进程 Firewall# http server enable 使用https:/ip-address/admin 来访问。 Banner 配置 Firewall(config)# banner exec | login | motd text 对 banner 不能修改,只能用 no 来删除,或者 clear banner 来清除所有的 banner(7.0 clear co

34、nfigure banner) 监控管理会话 who 监控 telnet 会话 kill telnet-id 来清除会话,show ssh sessions 监控 ssh 会话,ssh disconnect session-id 清除 ssh 会话,show pdm sessions 监控 pdm 会话,pdm disconnect session-id 清除 pdm 会话 3.5 系统重启和崩溃 通常使用 reload 命令重启系统,从 7.0 以后支持在特定的时间重启系统 Firewall# reload at hh:mm month day | day month max-hold-ti

35、me minutes | hhh:mm noconfirm quick save-config reason text或者经过一定的时间间隔后重启 Firewall# reload in minutes | hh:mm max-hold-time minutes | hhh:mm noconfirm quick save-config reason text 启用崩溃信息生成 Firewall(config)# crashinfo save enable (7.0 no crashinfo save disable) show crashinfo 来看崩溃信息 clear crashinfo

36、删除信息(FWSM 使用 crashdump) 3.6 SNMP 支持 系统 SNMP 信息 Firewall(config)# snmp-server location string (contact string) SNMP 访问许可 Firewall(config)# snmp-server host if_name ip_addr poll | trap Firewall(config)# snmp-server community key四、 用户管理4.1 一般用户管理 注:缺省情况下认证用户仅需要 password,这样的一般用户缺省用户名就是 enalbe_1,在 ssh 情况

37、下缺省用户名就是 pix,然后用 password 来认证。 非特权模式密码配置 Firewall(config)# password | passwd password encrypted (恢复缺省密码cisco 用 clear password | passwd) 特权模式密码配置 Firewall(config)# enable password pw level priv_level encrypted 4.2 本地数据库管理用户 定义用户 Firewall(config)# username username nopassword | password password encry

38、pted privilege level 启用本地认证 Firewall(config)# aaa authentication serial | telnet | ssh | http console LOCAL 注:缺省情况特权模式密码使用 enable password 定义,这样用户通过认证后使用 enable 来进入特权模式,而不管用户初始什么等级的权限,所有用户使用相同的密码。这里也可以使用本地 enable认证(aaa authentication enable console LOCAL),用户使用 username password 的密码来进入enable,用户 enabl

39、e 密码独立从而增加安全性。 本地授权:Firewall(config)# aaa authorization command LOCAL 配置命令的特权等级:Firewall(config)# privilege show | clear | configure level level mode enable | configure command command 使用 show privilege 来看当前命令的特权等级(7.x 使用 show run all privilege) 4.3 使用 AAA 服务器来管理用户 定义 AAA 服务器组和协议 Firewall(config)# a

40、aa-server server_tag protocol tacacs+ | radius (7.x还增加了 kerberos,ldap,nt,sdi 协议的支持) 加入服务器到组 Firewall(config)# aaa-server server_tag (if_name) host server_ip key timeout seconds 可选命令 定义服务器失败阀值 FWSM Firewall(config)# aaa-server server_tag max-attempts number PIX 6.x Firewall(config)# aaa-server server

41、_tag max-failed-attempts number PIX 7.x Firewall(config-aaa-server-group)# max-failed-attempts number 定义统计策略(7.x 特性) Firewall(config-aaa-server-group)# accounting-mode single | simultaneous 具体各协议参数配置暂略 4.4 配置 AAA 管理用户 启用鉴权 Firewall(config)# aaa authentication serial | telnet | ssh | http console ser

42、ver_tag LOCAL 启用授权 Firewall(config)# aaa authorization command server_tag LOCAL 启用统计 Firewall(config)# aaa accounting command privilege level server_tag 注:AAA 服务器配置略 4.5 配置 AAA 支持用户 Cut-Through 代理 4.6 密码恢复五、 防火墙的访问控制 5.1 防火墙的透明模式 特性介绍:从 PIX 7.0 和 FWSM 2.2 开始防火墙可以支持透明的防火墙模式,接口不需要配置地址信息,工作在二层。只支持两个接口

43、inside 和 outside,当然可以配置一个管理接口,但是管理接口不能用于处理用户流量,在多 context 模式下不能复用物理端口。由于连接的是同一地址段的网络,所以不支持 NAT,虽然没有 IP 地址但是同样可以配置 ACL 来检查流量。 进入透明模式 Firewall(config)# firewall transparent (show firewall 来验证当前的工作模式,由于路由模式和透明模式工作方式不同,所以互相切换的时候会清除当前配置文件) 配置接口 Firewall(config)# interface hardware-id Firewall(config-if)#

44、 speed auto | 10 | 100 |nonegotiate Firewall(config-if)# duplex auto | full | half Firewall(config-if)# no shutdown Firewall(config-if)# nameif if_name Firewall(config-if)# security-level level 注:不用配置 IP 地址信息,但是其它的属性还是要配置的,接口的安全等级一般要不一样,same-security-traffic permit inter-interface 命令可以免除此限制。 配置管理地址

45、Firewall(config)# ip address ip_address subnet_mask Firewall(config)# route if_name foreign_network foreign_mask gateway metric MAC 地址表的配置 Firewall# show mac-address-table 显示 MAC 地址表 Firewall(config)# mac-address-table aging-time minutes 设置 MAC 地址表过期时间 Firewall(config)# mac-address-table static if_n

46、ame mac_address 设置静态 MAC 条目 Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn 验证) ARP 检查 Firewall(config)# arp if_name ip_address mac_address 静态 ARP 条目 Firewall(config)# arp-inspection if_name enable flood | no-flood 端口启用 ARP 检查 为非 IP 协议配置转发策略 Firewall(config)# access-list acl_id

47、 ethertype permit | deny any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype Firewall(config)# access-group acl_id in | out interface if_name 5.2 防火墙的路由模式和地址翻译 特性介绍:从高安全等级到低安全等级的访问称为 outbound 访问,需要配置地址翻译和 outbound访问控制,PIX 缺省情况下不用配置 ACL 就允许此类访问,FWSM 则需要配置 ACL 来允许此类型的访问。而从低安全等级到高安全等级的访问称为 inb

48、oud 访问,也需要配置地址翻译和 inboud 访问控制,此类型必须配置 ACL.同一安全等级的访问也可以配置地址翻译。 支持下列几种 NAT 类型 Translation Type Application Basic Command Direction in Which Connections Can Be Initiated Static NAT Real source addresses (and ports) are translated to mapped addresses (and ports) static Inbound or outbound Policy NAT Con

49、ditionally translates real source addresses (and ports) to mapped addresses static access-list Inbound or outbound Identity NAT No translation of real source addresses nat 0 Outbound only NAT exemption No translation of real source addresses matched by the access list nat 0 access-list Inbound or outbound Dynamic NAT Translates real source addresses to a pool of mapped addresses nat id global id

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报