cisco 防火墙技术汇总
cisco 防火墙技术汇总
一、集成在路由器中的防火墙技术
1、路由器IOS标准设备中的ACL技术
ACL即Access Control Lis Access List(访问列表),它是后续所述的IOS Firewall Feature Set的基础,也是Cisco全线路由器统一界面的操作系统IOS(Internet Operation System,网间操作系统)标准配置的一部分。这就是说在购买了路由器后,ACL功能已经具备,不需要额外花钱去买。
2、 IOS Firewall Feature Set(IOS防火墙软件包)
IOS Firewall Feature Set是在ACL的基础上对安全控制的进一步提升,由名称可知,它是一套专门针对防火墙功能的附加软件包,可通过IOS升级获得,并且可以加载到多个Cisco路由器平台上。
目前防火墙软件包适用的路由器平台包括Cisco 1600、1700、2500、2600和3600,均属中、低端系列。对很多倾向与使用"all-in-one solution"
(一体化解决方案),力求简单化管理的中小企业用户来说,它能很大程度上满足需求。之所以不在高端设备上实施集成防火墙功能,这是为了避免影响大型网络的主干路由器的核心工作--数据转发。在这样的网络中,应当使用专用的防火墙设备。
Cisco IOS防火墙特征:
l 基于上下文的访问控制(CBAC)为先进应用程序提供基于应用程序的安全筛选并支持最新协议
l Java能防止下载动机不纯的小应用程序
l 在现有功能基础上又添加了拒绝服务探测和预防功能,从而增加了保护l 在探测到可疑行为后可向中央管理控制台实时发送警报和系统记录错误信息
l TCP/UDP事务处理记录按源/目的地址和端口对跟踪用户访问
l 配置和管理特性与现有管理应用程序密切配合
二、专用防火墙--PIX
PIX(Private Internet eXchange)属于四类防火墙中的第四种--软硬件结合的防火墙,它的设计是为了满足高级别的安全需求,以较好的性能价格比提供严密的、强有力的安全防范。除了具备第四类防火墙的共同特性,并囊括了IOS Firewall Feature Set的应有功能。
PIX成为Cisco在网络安全领域的旗舰产品已有一段历史了,它的软硬件结构也经历了较大的发展。现在的PIX有515和520两种型号(520系列容量大于515系列),从原来的仅支持两个10M以太网接口,到10/100M 以太网、令牌环网和FDDI的多介质、多端口(最多4个)应用;其专用操作系统从v5.0开始提供对IPSec这一标准隧道技术的支持,使PIX能与更多的其它设备一起共同构筑起基于标准VPN连接。
Cisco的PIX Firewall能同时支持16,000多路TCP对话,并支持数万用户而不影响用户性能,在额定载荷下,PIX Firewall的运行速度为45Mbps,支持T3速度,这种速度比基于UNIX的防火墙快十倍。
主要特性:
l 保护方案基于适应性安全算法(ASA),能提供任何其它防火墙都不能提供的最高安全保护
l 将获专利的"切入代理"特性能提供传统代理服务器无法匹敌的高性能
l 安装简单,维护方便,因而降低了购置成本
l 支持64路同时连接,企业发展后可扩充到16000路
l 透明支持所有通用TCP/IP Internet服务,如万维网(WWW)文件传输协议(FTP)、Telnet、Archie、Gopher和rlogin
l 支持多媒体数据类型,包括Progressive网络公司的Real Audio,Xing 技术公司的Steamworks,White Pines公司的CUSeeMe,Vocal Te公司的Internet Phone,VDOnet公司的VDOLive,Microsoft公司的NetShow和Uxtreme公司的Web Theater 2
l 支持H323兼容的视频会议应用,包括Intel的Internet Video Phone 和Microsoft的NetMeeting
l 无需因安装而停止运行
l 无需升级主机或路由器
l 完全可以从未注册的内部主机访问外部Internet
l 能与基于Cisco IOS的路由器互操作
三、两种防火墙技术的比较
IOS FIREWALL FEATURE SET PIX FIREWALL
网络规模中小型网络,小于250节点的应用。大型网络,可支持多于500用户的应用
工作平台路由器IOS操作系统专用PIX工作平台
性能最高支持T1/E1(2M)线路可支持多条T3/E3(45M)线路
工作原理基于数据包过滤,核心控制为CBAC 基于数据包过滤,核心控制为ASA 配置方式命令行或图形方式(通过ConfigMaker)命令行方式或图形方式(通过Firewall Manager)
应用的过滤支持Java小程序过滤支持Java小程序过滤
身份认证通过IOS命令,支持TACACS+、RADIUS服务器认证。支持TACACS+、RADIUS集中认证
虚拟专网(VPN)通过IOS软件升级可支持IPSec、L2F和GRE隧道技术,支持40或56位DES加密。支持Private Link或IPSec隧道和加密技术
网络地址翻译(NAT)集成IOS Plus实现支持
冗余特性通过路由器的冗余协议HSRP实现支持热冗余
自身安全支持Denial-of-Service 支持Denial-of-Service
代理服务无,通过路由器的路由功能实现应用切入的代理服务功能
管理通过路由器的管理工具,如Cisco Works 通过Firewall Manager实现管理
审计功能一定的跟踪和报警功能状态化数据过滤,可通过Firewall Manager 实现较好的额监控、报告功能
四、 Centri防火墙
主要特性:
l 核心代理体系结构
l 针对Windows NT定制TCP/IP栈
l 图形用户结构可制订安全政策
l 可将安全政策拖放到网络、网络组、用户和用户组
l ActiveX、Java小应用程序、Java和Vb模块
l 通用资源定位器(URL)模块
l 端口地址转换
l 网络地址转换
l 透明支持所有通用TCP/IP应用程序,包括WWW、文件传输协议(FTP)Telnet 和邮件
l 为Web、Telnet和FTP提供代理安全服务
l 根据IP地址、IP子网和IP子网组进行认证
l 使用sl口令和可重复使用口令Telnet、Web和ftp提供联机用户认证
l 使用Windows NT对所有网络服务进行带外认证
l 防止拒绝服务型攻击,包括SYN Flood、IP地址哄骗和Ping-of-Death
订购信息
Cisco Centri产品
Centri Firewall v4.0 for Windows NT,50个用户 Centri-50
Centri Firewall v4.0 for Windows NT,100个用户 Centri-100
Centri Firewall v4.0 for Windows NT,250个用户 Centri-250
Centri Firewall v4.0 for Windows NT,用户不限 Centri-UNR
Centri Firewall v4.0 for Windows NT,从100个用户升级到250个
Centri-UDP-100-250
Centri Firewall v4.0 for Windows NT,从250个用户升级到无穷多
Centri-250-UNR
五、Cisco PIX防火墙的安装流程
1. 将PIX安放至机架,经检测电源系统后接上电源,并加电主机。
2. 将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall>。
3. 输入命令:enable,进入特权模式,此时系统提示为pixfirewall#。
4. 输入命令: configure terminal,对系统进行初始化设置。
5. 配置以太口参数:
interface ethernet0 auto (auto选项表明系统自适应网卡类型)interface ethernet1 auto
6. 配置内外网卡的IP地址:
ip address inside ip_address netmask
ip address outside ip_address netmask
7. 指定外部地址范围:
global 1 ip_address-ip_address
8. 指定要进行要转换的内部地址:
nat 1 ip_address netmask
9. 设置指向内部网和外部网的缺省路由
route inside 0 0 inside_default_router_ip_address
route outside 0 0 outside_default_router_ip_address
10. 配置静态IP地址对映:
static outside ip_address inside ip_address
11. 设置某些控制选项:
conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的地址
port 指的是所作用的端口,其中0代表所有端口
protocol 指的是连接协议,比如:TCP、UDP等
foreign_ip 表示可访问global_ip的外部ip,其中表示所有的ip。
12. 设置telnet选项:
telnet local_ip
local_ip 表示被允许通过telnet访问到pix的ip地址(如果不设此项, PIX 的配置只能由consle方式进行)。
13. 将配置保存:
wr mem
14. 几个常用的网络测试命令:
#ping
#show interface 查看端口状态
#show static 查看静态地址映射
六、PIX与路由器的结合配置
(一)、PIX防火墙
1、设置PIX防火墙的外部地址:
ip address outside 131.1.23.2
2、设置PIX防火墙的内部地址:
ip address inside 10.10.254.1
3、设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池:global1 131.1.23.10-131.1.23.254
4、允许网络地址为10.0.0.0的网段地址被PIX翻译成外部地址:
nat 110.0.0.0
5、网管工作站固定使用的外部地址为131.1.23.11:
static 131.1.23.11 10.14.8.50
6、允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙:
conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255
7、允许从外部发起的对邮件服务器的连接(131.1.23.10):
mailhost 131.1.23.10 10.10.254.3
8、允许网络管理员通过远程登录管理IPX防火墙:
telnet 10.14.8.50
9、在位于网管工作站上的日志服务器上记录所有事件日志:
syslog facility 20.7
syslog host 10.14.8.50
(二)、路由器RTRA
RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP 服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。
1、阻止一些对路由器本身的攻击:https://www.wendangku.net/doc/e74579398.html,
no service tcps mall-servers
2、强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取列表拒绝的包和路由器配置的改变;这个动作可以作为对系统管理员的早期预警,预示有人在试图攻击路由器,或者已经攻入路由器,正在试图攻击防火墙:logging trapde bugging
3、此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上:logging 131.1.23.11
4、保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击(见存取列表):enable secret xxxxxxxxxxx
interface Ethernet 0
ipaddress 131.1.23.1 255.255.255.0
interfaceSerial 0
ip unnumbered ethernet 0
ip access-group 110 in
5、禁止任何显示为来源于路由器RTRA和PIX防火墙之间的信息包,这可以防止欺骗攻击:
access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog
6、防止对PIX防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接PIX防火墙外部接口的事件:
access-list 110 deny ip any host 131.1.23.2 log
7、允许已经建立的TCP会话的信息包通过:
access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
8、允许和FTP/HTTP服务器的FTP连接:
access-list 110 permit tcp any host 131.1.23.3 eq ftp
9、允许和FTP/HTTP服务器的FTP数据连接:
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
10、允许和FTP/HTTP服务器的HTTP连接:
access-list 110 permit tcp any host 131.1.23.2 eq www
11、禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的事件:
access-list 110 deny ip any host 131.1.23.2 log
12、允许其他预定在PIX防火墙和路由器RTRA之间的流量:
access-list 110 permit ip any 131.1.23.0 0.0.0.255
13、限制可以远程登录到此路由器的IP地址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
14、只允许网管工作站远程登录到此路由器,当你想从Internet管理此路由器时,应对此存取控制列表进行修改:
access-list 10 permit ip 131.1.23.11
(三)、路由器RTRB
RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口。
1、记录此路由器上的所有活动到网管工作站上的日志服务器,包括配置的修改:https://www.wendangku.net/doc/e74579398.html,
logging trap debugging
logging 10.14.8.50
2、允许通向网管工作站的系统日志信息:
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
3、禁止所有别的从PIX防火墙发来的信息包:
access-list 110 deny ip any host 10.10.254.2 log
4、允许邮件主机和内部邮件服务器的SMTP邮件连接:
access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp 5、禁止别的来源与邮件服务器的流量:
access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255
6、防止内部网络的信任地址欺骗:
access-list deny ip any 10.10.254.0 0.0.0.255
7、允许所有别的来源于PIX防火墙和路由器RTRB之间的流量:
access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255 8、限制可以远程登录到此路由器上的IP地址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
9、只允许网管工作站远程登录到此路由器,当你想从Internet管理此路由器时,应对此存取控制列表进行修改:
access-list 10 permit ip 10.14.8.50
按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判断出内部任何一台主机的IP地
址,即使告诉了内部主机的IP地址,要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护
Cisco ASA配置
Cisco ASA配置 思科防火墙ASA5520配置 思科防火墙ASA5520配置: 目的:1、内网可以上网 2、内网可以访问DMZ区域的服务器 3、外网可以通过公网IP访问DMZ区域的服务器 要求:1、内网的网段192.168.10.0 2、DMZ的网段192.168.5.0 3、外网IP地址:200.200.200.82 200.200.200.83 网关255.255.255.248(这个地址一般是运营商提供) 4、外网路由:200.200.200.81 5、DMZ区域的服务器IP地址:192.168.5.2 步骤1:配置接口inside、outside和dmz interface g0/0 speed auto duplex auto nameif inside Security-level 100 ip address 192.168.10.1 255.255.255.0 no shut exit interface g0/1 speed auto duplex auto nameif outside Security-level 0 ip address 200.200.200.82 255.255.255.248 no shut exit interface g0/2 speed auto duplex auto nameif dmz Security-level 50 ip address 192.168.5.1 255.255.255.0 no shut exit 步骤2、添加外网路由 route outside 0 0 200.200.200.81
Cisco ASA5505防火墙详细配置教程及实际配置案例
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
Cisco ASA 5500防火墙个人基本配置手册
Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区,Security-Level:0,接Router F0/0;ASA 防火墙eth1接口定义为insdie 区,Security-Level:100,接Switch 的上联口;ASA 防火墙Eth2接口定义为DMZ 区,Security-Level:60,接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ,即Switch 能够ping 通Router 的F0/0(202.100.10.2);dmz 区能够访问outside ,即Mail Server 能够ping 通Router 的F0/0(202.100.10.2); outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口(110)、smtp 端口(25). 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供
四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供
CISCO+ASA+5520配置手册
CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能
cisco防火墙配置的基本配置
cisco防火墙配置的基本配置 1、nameif 设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。 使用命令: PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态,常见状态有:auto、100full、shutdown。 auto:设置网卡工作在自适应状态。 100full:设置网卡工作在100Mbit/s,全双工状态。 shutdown:设置网卡接口关闭,否则为激活。 命令: PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围:定义地址池。 Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address:表示一段ip地址范围。 [netmarkglobal_mask]:表示全局ip地址的网络掩码。 5、nat 地址转换命令,将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法: route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译,使内部地址与外部地址一一对应。 语法: static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法: conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
CiscoASAFailover防火墙冗余
Failover Failover是思科防火墙一种高可用技术,能在防火墙发生故障时数秒内转移配置到另一台设备,使网络保持畅通,达到设备级冗余的目的。 原理 前提需要两台设备型号一样(型号、内存、接口等),通过一条链路连接到对端(这个连接也叫)。该技术用到的两台设备分为Active设备(Primary)和Stanby设备(Secondary),这种冗余也可以叫AS模式。活跃机器处于在线工作状态,备用处于实时监控活跃设备是否正常。当主用设备发生故障后(接口down,设备断电),备用设备可及时替换,替换为Avtive的角色。Failover启用后,Primary 设备会同步配置文件文件到Secondary设备,这个时候也不能在Scondary添加配置,配置必须在Active进行。远程管理Failover设备时,登录的始终是active设备这一点一定要注意,可以通过命令(show failover)查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步,比如NAT转换需要再次建立。 配置Active设备: interface Ethernet0 nameif outside security-level 0 ip address standby //standby为备份设备地址
interface Ethernet1 nameif inside security-level 100 ip address standby ASA1(config)# failover lan unit primary //指定设备的角色主 ASA1(config)# failover lan interface failover Ethernet2 //Failover接口名,可自定义 ASA1(config)# failover link Fover Ethernet2//状态信息同步接口ASA1(config)# failover interface ip failover stan //配置Failover IP地址,该网段可使用私网地址 ASA1(config)# failover lan key xxxx //配置Failover 认证对端 ASA1(config)# failover //启用Failover;注意,此命令一定要先在Active上输入,否则会引起配置拷错; 将一个接口指定为failover 接口后,再show inter 的时候,该接口就显示为:interface Ethernet3 description LAN Failover Interface //确保接口up 配置standby设备: ASA2(config)# inte Ethernet3 ASA2(configif)# no shutdown ASA2(configif)# exit
思科ASA防火墙ASDM安装和配置
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.wendangku.net/doc/e74579398.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
防火墙技术报告.
一、摘要 随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大,所以网络的安全问题也是现在注重考虑的问题。本文介绍网络安全可行的解决方案——防火墙技术,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施,它实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用它阻止保密信息从受保护网络上被非法输出。 关键词:防火墙网络安全外部网络内部网络
二、防火墙技术 1、什么是防火墙 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet 上的人也无法和公司内部的人进行通信。 2、防火墙的类型和各个类型的特点及原理 防火墙的类型有个人防火墙、网络层防火墙、应用层防火墙。 2.1、个人防火墙 个人防火墙是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的free ZoneAlarm 等,都能帮助您对系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在使用时十分方便及实用。 2.2、网络层防火墙 网络层防火墙可视为一种IP 封包过滤器,运作在底层的TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
cisco防火墙作用有哪些
cisco防火墙作用有哪些 cisco防火墙作用介绍一: cisco ios 防火墙为每一个网络周边集成了稳健的放火墙功能性和入侵检测,丰富了cisco软件的安全功能。 cisco防火墙作用介绍二: 1个管理口-mgmt 该接口用做带外管理。 1个console口,调试口 1个aux,辅助调试口 2个usb,扩展usbflash 4个千兆口,业务口。 还有一个flash插槽。 搜索 cisco防火墙作用介绍三: 可以把ip地址进行文字命名,可以在acl里调用的时候用命名来代替地址,比如 name 1.1.1.1(地址) test(对该地址命名) deion xxx(对该命名的描述) 然后acl里只需要在写地址的地方写上test这个名字就行了相关阅读: cisco企业文化: 很多公司把企业文化写出来挂在墙上,思科也有一张文化卡,
但我认为公司的文化绝不是一句动听的话语,它表现在我们的行为里,根植于我们的思维中。比如,说一个人没有文化,这是从他的行为做出的判断,同样道理,一个企业的文化就是它的行为,就是企业每一个员工做出来的行为。如果企业的员工都不知道老板想什么,怎么可能形成一个企业的文化?这样,就带出了另一个问题,沟通。如果一个企业既没有价值观和做事的准则,又没有沟通的途径,就谈不上管理,根本无从管理。换句话说,一个企业没有文化、公司有要求,员工的行为体现,加上鼓励机制。在考虑升降一个员工,能否适应变化是很重要的一条。我们每半年对员工进行一次挑战评估,其中的versatility(多功能性)很重要,一个员工的适应能力有多强,是否只能做销售或其他?适应性不强,员工总的价值就不会高。没有沟通,就没有管理,这三者是三位一体的关系。 公司愿景 改变网络的局限性,让网络成为最时尚的潮流。 公司使命 为顾客、员工和商业伙伴创造前所未有的价值和机会,构建网络的未来世界。 质量第一、顾客至上、超越目标、无技术崇拜、节约、回馈、信任、公平、融合、团队精神、市场转变、乐在其中、驱动变革充分授权、公开交流。 看了“cisco防火墙作用有哪些”文章的
CISCO ASA5520配置手册
CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010
思科防火墙登陆及设置过程
一、防火墙登陆过程telnet 192.168.0.1 输入:123 用户名:en 密码:srmcisco
Conf t Show run 二、公网IP与内网IP映射: static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0
三、再打开端口:输入以下一笔命今如 access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端口) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端口) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端口)
四、登出防火墙:logout 五、增加上网电脑 1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0(上网电脑IP地址) 2、arp inside 192.168.0.188 000f.eafa.645d alias(绑定上网电脑网卡MAC地址)
思科ASA5505防火墙配置成功实例
配置要求: 1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。 2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。 3、Dmz服务器分别开放80、21、3389端口。 说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下:希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !
interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob
思科防火墙设置
增加一台服务器具体要求。新增一台服务器地址:10.165.127.15/255.255.255.128。需要nat 转换成公网地址16.152.91.223 映射出去,并对外开通这台服务器的80端口。 在对外pix525上面增加如下:access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223 可是为什么转换后,不能访问16.52.91.223的网页,但确可以ping通16.52.91.223,但是访问10.165.127.15的主页是正常的?? 具体配置如下: pix-525> enable Password: ***** pix-525# sh run : Saved : PIX Version 6.3(5) interface ethernet0 100full interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password FVHQD7n.FuCW78fS level 7 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname wgqpix-525 fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl_out permit tcp any host 16.152.91.221 eq www access-list acl_out permit icmp any any access-list acl_out permit tcp any host 16.152.91.220 eq https access-list acl_out permit tcp any host 16.152.91.223 eq www
思科PIX防火墙简单配置实例
思科PIX防火墙简单配置实例 在本期应用指南中,管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。 假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说,这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后,这个设置就很容易了。下面,让我们看看如何进行设置。 基础 思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中,我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。 PIX防火墙有内部和外部接口的概念。内部接口是内部的,通常是专用的网络。外部接口是外部的,通常是公共的网络。你要设法保护内部网络不受外部网络的影响。 PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。 下面是显示“nameif”命令的输出情况: pixfirewall# show nameif nameif ethernet0 outside security0 nameif ethernet1 inside security100 pixfirewall# 请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。 指南 在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是: ·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。 ·内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。
ASA防火墙配置命令-王军
ASA防火墙配置命令(v1.0) 版本说明
目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置(ssl vpn) (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)
1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注:最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中
Cisco FWSM防火墙透明模式配置例子
Cisco FWSM防火墙透明模式配置例子 透明模式配置例子 以下内容需要回复才能看到 hostname Farscape password passw0rd enable password chr1cht0n interface vlan 4 interface vlan 5 interface vlan 6 interface vlan 7 interface vlan 150 interface vlan 151 interface vlan 152 interface vlan 153 admin-context admin context admin allocate-interface vlan150 allocate-interface vlan4 config-url disk://admin.cfg member default context customerA description This is the context for customer A allocate-interface vlan151 allocate-interface vlan5 config-url disk://contexta.cfg member gold context customerB description This is the context for customer B allocate-interface vlan152 allocate-interface vlan6 config-url disk://contextb.cfg member silver context customerC description This is the context for customer C
ASA5510防火墙配置手册
ASA5510防火墙配置手册 1. 设置主机名: #hostname szhndasa 2. 设置时区: szhndasa#clocktimezone EST 7 3. 设置时钟: Szhndasa#clock set 15:45:30 28 FEB 2008 4. 配置内接口 IP Szhndasa#int Ethernet 0/0 Szhndasa#nameif inside Szhndasa#security-level 100 Szhndasa#ip address 192.168.55.254 255.255.255.0 5 配置外部接口 IP Szhndasa#int Ethernet 0/1 Szhndasa#nameif outside Szhndasa#security-level 0 Szhndasa#ip address 210.X.X.X 255.255.255.248 6.配置用户名和密码 Szhndasa#username admin password ********* encrypted privilege 15 注:15 表示有最高权限 7.配置 HTTP 和 TELNET Szhndasa#aaa authentication telnet console LOCAL Szhndasa#http server enable Szhndasa#http 192.168.55.0 255.255.255.0 inside Szhndasa#telnet 192.168.55.0 255.255.255.0 inside 8.配置 site to site vpn crypto map outside_map 20 match address outside_cryptomap_20_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 210.75.1.X
- Cisco ASA 5505 防火墙常用配置案例
- Cisco路由器防火墙配置命令及实例
- Cisco+Pix+525+防火墙配置手册
- Cisco ASA5505防火墙详细配置教程及实际配置案例
- CiscoASA防火墙详细图文配置实例
- cisco-asa-5505基本配置
- CiscoAA防火墙详细图文配置实例
- Cisco路由器与防火墙配置大全
- Cisco ASA5505防火墙配置实例
- cisco防火墙配置的基本配置
- 思科5505防火墙配置
- CISCO ASA防火墙 ASDM 安装和配置
- Cisco路由器、防火墙WEB配置方法、SDM
- ciscoASA防火墙详细配置
- 思科防火墙telnet 的正确配置方法
- 思科ASA5505防火墙配置成功实例
- cisco防火墙配置手册
- ASA防火墙疑难杂症与Cisco ASA5520防火墙配置
- Cisco防火墙配置笔记
- 思科防火墙使用及功能配置