没有合适的资源?快使用搜索试试~ 我知道了~
首页思科 ASA 和 PIX 防火墙配置手册
资源详情
资源推荐
![](https://csdnimg.cn/release/download_crawler_static/10225127/bg1.jpg)
思科
思科思科
思科 ASA 和
和和
和 PIX 防火墙配置手册
防火墙配置手册防火墙配置手册
防火墙配置手册
一、 配置基础 ................................................................................................................................. 2
1.1 用户接口 ............................................................................................................................ 2
1.2 防火墙许可介绍 ................................................................................................................ 3
1.3 初始配置 ............................................................................................................................ 3
二、 配置连接性 ............................................................................................................................. 4
2.1 配置接口 ............................................................................................................................ 4
2.2 配置路由 ............................................................................................................................ 6
2.3 DHCP .................................................................................................................................. 7
2.4 组播的支持 ........................................................................................................................ 7
三、 防火墙的管理 ......................................................................................................................... 7
3.1 使用 Security Context 建立虚拟防火墙(7.x 特性) ..................................................... 7
3.2 管理 Flash 文件系统 ......................................................................................................... 8
3.3 管理配置文件 .................................................................................................................... 9
3.4 管理管理会话 .................................................................................................................... 9
3.5 系统重启和崩溃 .............................................................................................................. 10
3.6 SNMP 支持 ....................................................................................................................... 10
四、 用户管理 ............................................................................................................................... 11
4.1 一般用户管理 .................................................................................................................. 11
4.2 本地数据库管理用户 ...................................................................................................... 11
4.3 使用 AAA 服务器来管理用户 ....................................................................................... 11
4.4 配置 AAA 管理用户 ....................................................................................................... 12
4.5 配置 AAA 支持用户 Cut-Through 代理 ........................................................................ 12
4.6 密码恢复 .......................................................................................................................... 12
五、 防火墙的访问控制 ............................................................................................................... 12
5.1 防火墙的透明模式 .......................................................................................................... 12
5.2 防火墙的路由模式和地址翻译 ...................................................................................... 13
5.3 使用 ACL 进行访问控制 ................................................................................................ 15
六、 配置 Failover 增加可用性 ................................................................................................... 17
6.1 配置 Failover ................................................................................................................... 17
6.2 管理 Failover ................................................................................................................... 19
七、 配置负载均衡 ....................................................................................................................... 19
7.1 配置软件实现 (只在 6500 native ios 模式下) ........................................................ 19
7.2 配置硬件实现 .................................................................................................................. 20
7.3 配置 CSS 实现................................................................................................................. 22
八、 日志管理 ............................................................................................................................... 22
8.1 时钟管理 .......................................................................................................................... 22
8.2 日志配置 .......................................................................................................................... 23
8.3 日志消息输出的微调 ...................................................................................................... 24
8.4 日志分析 .......................................................................................................................... 25
九、 防火墙工作状态验证 ........................................................................................................... 25
9.1 防火墙健康检查 .............................................................................................................. 25
9.2 流经防火墙数据的监控 .................................................................................................. 26
![](https://csdnimg.cn/release/download_crawler_static/10225127/bg2.jpg)
9.3 验证防火墙的连接性 ...................................................................................................... 26
十、 Syslog 服务 ........................................................................................................................... 28
Syslog 简介 ............................................................................................................................ 28
Syslog 服务器的部署 ............................................................................................................ 29
10.1 内置 syslogd 的配置 ..................................................................................................... 29
10.2 配置基于 linux 的 syslog-ng 服务器 ............................................................................ 29
10.3 配置基于 Windows 的 syslog 服务器 .......................................................................... 30
10.4 路由器下 syslog 支持的配置 ........................................................................................ 30
10.5 交换机下 syslog 支持的配置 ........................................................................................ 31
10.6 PIX 防火墙下 syslog 支持的配置 ................................................................................. 32
10.7 VPN Concentrator 下 syslog 支持的配置 ...................................................................... 33
十一、 Cisco PIX 防火墙的问题集锦 ........................................................................................ 33
11.1 如何允许外网用户 Telnet 至 PIX 的 outside? ........................................................... 33
11.2 我想通过在 pix 515e 上进行设置使某些内网用户只能上一个特定的网站 ........... 34
11.3 请教 pix515 acl 如何屏蔽一个网段? ........................................................................ 35
11.4 在 515E 中配置 DHCP 网关的命令是什么 ................................................................. 36
11.5 pix 能不能实现 dmz 和 inside 透明模式呢? ............................................................... 36
11.6 如何配置 PIX 透明模式? .............................................................................................. 37
11.7 为什么 ping 不通 515E 的 outside 地址? ................................................................... 37
11.8 pix515 的问题 ................................................................................................................. 40
一
一一
一、
、、
、
配置基础
配置基础配置基础
配置基础
1.1
用户接口
用户接口用户接口
用户接口
思科防火墙支持下列用户配置方式:
Console,Telnet,SSH(1.x 或者 2.0,2.0 为 7.x 新特性,PDM 的 http 方式(7.x 以后称为 ASDM)
和 VMS 的 Firewall Management Center。
支持进入 Rom Monitor 模式,权限分为用户模式和特权模式,支持 Help,History 和命令输出的搜索
和过滤。
注:Catalyst6500 的 FWSM 没有物理接口接入,通过下面 CLI 命令进入:
Switch# session slot slot processor 1 (FWSM 所在 slot 号)
用户模式:
![](https://csdnimg.cn/release/download_crawler_static/10225127/bg3.jpg)
Firewall> 为用户模式,输入 enable 进入特权模式 Firewall#。特权模式下可以进入配置模式,在
6.x 所有的配置都在一个全局模式下进行,7.x 以后改成和 IOS 类似的全局配置模式和相应的子模式。
通过 exit,ctrl-z 退回上级模式。
配置特性:
在原有命令前加 no 可以取消该命令。Show running-config 或者 write terminal 显示当前配置,
7.x 后可以对 show run 的命令输出进行搜索和过滤。Show running-config all 显示所有配置,包
含缺省配置。Tab 可以用于命令补全,ctrl-l 可以用于重新显示输入的命令(适用于还没有输入完命
令被系统输出打乱的情况),help 和 history 相同于 IOS 命令集。
Show 命令支持 begin,include,exclude,grep 加正则表达式的方式对输出进行过滤和搜索。
Terminal width 命令用于修改终端屏幕显示宽度,缺省为 80 个字符,pager 命令用于修改终端显示
屏幕显示行数,缺省为 24 行,pager lines 0 命令什么效果可以自己试试。
1.2
防火墙许可介绍
防火墙许可介绍防火墙许可介绍
防火墙许可介绍
防火墙具有下列几种许可形式,通过使用 show version 命令可以看设备所支持的特性:
Unrestricted (UR) 所有的限制仅限于设备自身的性能,也支持 Failover
Restricted (R) 防火墙的内存和允许使用的最多端口数有限制,不支持 Failover
Failover (FO) 不能单独使用的防火墙,只能用于 Failover
Failover-Active/Active (FO-AA) 只能和 UR 类型的防火墙一起使用,支持 active/active failover
注:FWSM 内置 UR 许可。
activation-key 命令用于升级设备的许可,该许可和设备的 serial number 有关(show version 输
出可以看到),6.x 为 16 字节,7.x 为 20 字节。
1.3
初始配置
初始配置初始配置
初始配置
跟路由器一样可以使用 setup 进行对话式的基本配置。
![](https://csdnimg.cn/release/download_crawler_static/10225127/bg4.jpg)
二
二二
二、
、、
、
配置连接性
配置连接性配置连接性
配置连接性
2.1
配置接口
配置接口配置接口
配置接口
接口基础:
防火墙的接口都必须配置接口名称,接口 IP 地址和掩码(7.x 开始支持 IPv6)和安全等级。接口可
以是物理接口也可以是逻辑接口(vlan),从 6.3 贾С?lt;/SPAN>trunk,但只支持 802.1Q 封装,
不支持 DTP 协商。
接口基本配置:
注:对于 FWSM 所有的接口都为逻辑接口,名字也是 vlan 后面加上 vlanid。例如 FWSM 位于 6500 的
第三槽,配置三个接口,分别属于 vlan 100,200,300.
Switch(config)# firewall vlan-group 1 100,200,300
Switch(config)# firewall module 3 vlan-group 1
Switch(config)# exit
Switch# session slot 3 processor 1
经过此配置后形成三个端口 vlan100.vlan200,vlan300
PIX 6.x
Firewall(config)# interface hardware-id [hardware-speed] [shutdown] (Hardware-id 可以用
show version 命令看到)
PIX 7.x
Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown
命名接口
FWSM 2.x
![](https://csdnimg.cn/release/download_crawler_static/10225127/bg5.jpg)
Firewall(config)# nameif vlan-id if_name securitylevel
PIX 6.x
Firewall(config)# nameif {hardware-id | vlan-id} if_name securitylevel
PIX 7.x
Firewall(config)# interface hardware_id[.subinterface]
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level
注:Pix 7.x 和 FWSM 2.x 开始支持不同接口有相同的 security level,前提是全局配置模式下使用
same-security-traffic permit inter-interface 命令。
配置 IP 地址
静态地址:Firewall(config)# ip address if_name ip_address [netmask]
动态地址:Firewall(config)# ip address outside dhcp [setroute] [retry retry_cnt]
注:setroute 参数可以同时获得来自 DHCP 服务器的缺省路由,再次输入此命令可以 renew 地址。
PPPOE:Firewall(config)# vpdn username JohnDoe password JDsecret
Firewall(config)# vpdn group ISP1 localname JohnDoe
Firewall(config)# vpdn group ISP1 ppp authentication chap
Firewall(config)# vpdn group ISP1 request dialout pppoe
Firewall(config)# ip address outside pppoe setroute
验证接口
Firewall# show ip
IPv6 地址配置(7.x 新特性)
暂略
ARP 配置
配置一个静态的 ARP 条目:Firewall(config)# arp if_name ip_address mac_address [alias]
剩余42页未读,继续阅读
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://profile-avatar.csdnimg.cn/default.jpg!1)
rampage_ant
- 粉丝: 0
- 资源: 5
上传资源 快速赚钱
我的内容管理 收起
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![](https://csdnimg.cn/release/wenkucmsfe/public/img/voice.245cc511.png)
会员权益专享
最新资源
- BSC绩效考核指标汇总 (2).docx
- BSC资料.pdf
- BSC绩效考核指标汇总 (3).pdf
- C5000W常见问题解决方案.docx
- BSC概念 (2).pdf
- ESP8266智能家居.docx
- ESP8266智能家居.pdf
- BSC概念 HR猫猫.docx
- C5000W常见问题解决方案.pdf
- BSC模板:关键绩效指标示例(财务、客户、内部运营、学习成长四个方面).docx
- BSC概念.docx
- BSC模板:关键绩效指标示例(财务、客户、内部运营、学习成长四个方面).pdf
- BSC概念.pdf
- 各种智能算法的总结汇总.docx
- BSC概念 HR猫猫.pdf
- bsc概念hr猫猫.pdf
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035111.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![](https://csdnimg.cn/release/wenkucmsfe/public/img/green-success.6a4acb44.png)