一、Cisco Pix日常维护常用命令 1、Pix模式介绍 “>”用户模式 firewall>enable 由用户模式进入到特权模式 password: “#”特权模式 firewall#config t 由特权模式进入全局配置模式 “(config)#”全局配置模式 firewall(config)# 防火墙的配置只要在全局模式下完成就可以了。 1、 基本配置介绍 1、端口命名、设备命名、IP地址配置及端口激活 nameif ethernet0 outside security0 端口命名 nameif gb-ethernet0 inside security100 定义端口的名字以及安全级别,“outside”的安全级别默认为0,“inside”安全级别默认为100,及高安全级别的可以访问低安全级别的,但低安全级别不能主动地到高安全级别。 firewall(config)#hostname firewall 设备名称 firewall(config)#ip address outside 1.1.1.1 255.255.255.0 内外口地址设置 firewall(config)#ip address inside 172.16.1.1 255.255.255.0 firewall(config)# interface ethernet0 100full 激活外端口 firewall(config)# interface gb-ethernet0 1000auto 激活内端口 2、telnet、ssh、web登陆配置及密码配置 防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的,需要相应得开启功能。 firewall(config)#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet到防火墙 配置从外网远程登陆到防火墙 Firewall(config)#domain-name cisco.com firewall(config)# crypto key generate rsa firewall(config)#ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址可以远程登录防火墙,也可以定义一格具体的地址可以从外网登陆到防火墙上,如: firewall(config)#ssh 218.240.6.81 255.255.255.255 outside firewall(config)#enable password cisco 由用户模式进入特权模式的口令 firewall(config)#passrd cisco ssh远程登陆时用的口令 firewall(config)#username Cisco password Cisco Web登陆时用到的用户名 firewall(config)#http enable 打开http允许内网10网断通过http访问防火墙 firewall(config)#http 192.168.10.0 255.255.255.0 inside firewall(config)#pdm enable firewall(config)#pdm location 192.168.10.0 255.255.255.0 inside web登陆方式:https://172.16.1.1 3、保证防火墙能上网还要有以下的配置 firewall(config)#nat (inside)1 0 0 对内部所有地址进行NAT转换,或如下配置,对内部固定配置的地址进行NAT转化,未指定的不予转发 firewall(config)#nat (inside) 1 192.168.10.0 255.255.255.0 fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0 firewall (config) # global (outside) 1 interface 对进行nat转换得地址转换为防火墙外接口地址 firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2 指一条默认路由器到ISP 做完上面的配置内网用户就可以上网了,内部有3层交换机且划分了Vlan,若要保证每个Vlan都能够上网,还要在防火墙上指回到其他VLan的路由,如: Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.2 4、内网服务器映射 如果在局域网内有服务器要发布到互联网上,需要在PIX对内网服务器进行映射。服务器映射可以是一对一的映射,也可以是端口映射,一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。下面以发布内网一台WEB服务器来举例说明: Firewall(config)#static (inside,outside) tcp 222.128.124.1 80 192.168.1.100 80 上述命令便将内部的web服务器放到了公网上面,但外面的用户并不能访问到,因为防火墙的外界口安全级别最低,从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开,如下: Firewall(config)#access-list outside permit tcp any host 222.128.124.1 eq 80 Firewall(config)#access-group outside in interface outside 必须将用access-group命令将访问控制列表应用到外端口,上述完成后就可以从外网上来访问服务器了。 5、防火墙上常用的show命令 Firewall (config) #show interface 查看所有端口的状态,端口是否出于连接状态 interface ethernet0 "outside" is up, line protocol is up 端口和协议都出于“up”状态,正常。 pixfirewall# sh cpu usage 查看CPU的使用情况,如果CPU的使用情况超过60%是不正常的,说明内部有PC对外占用了设备大量资源 CPU utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1% 如果内部有终端中毒(或利用P2P下载)向网关送大量的数据包,会导致防火墙只能来处理病毒机器的请求,而无暇顾及正常流量,导致正常用户不能上网,要找到不正常终端可以利用show conn来查看 Firewall(config)#show conn 若用show conn查看到某个内部IP到互联网上的链接特别多,且都是UDP高端口号的,可以断定此机器是在P2P下载,然后可以通过在防火墙上的show arp命令查看到此计算机的MAC地址,在用上面交换机维护命令讲到的命令确认他连接在交换机的端口,然后将此端口shotdown,或通过机房点位直接找到用户要求其停止,否则会占用出口带宽和防火墙的资源。 Firewall(config)#show conn local 192.168.40.69 查看具体一个IP地址的链接项: Firewall(config)#show version 查看防火墙的硬件信息 Firewall(config)#show xlate 查看内部地址时否转换成外端口地址来上网 Fierwall(config)#clear arp 清除ARP表 Firewall(config)#clear xlate 清除内部所有地址的转换项,网络中断一下 Firewall(config)#clear xlate local 192.168.40.69 清除内部具体一台机器的转换项 Firewall(config)#show runnint-config 查看防火墙的当前配置文件 二、防火墙配置简介 1、以前的防火墙的系统版本是6.3以下,在这种版本里面不能用“tab”键补齐命令,而且用“?”来查询命令也很不方便; 目前的ASA5500的系统版本为7.0以上,和路由器的命令相同,可以用“tab”键补齐命令,可以用“?”来查看参数、同样也可以在全局模式用show命令。 防火墙的几种工作模式: 用户模式:如果您看到>那么现在代表是在用户模式下,在用户模式下只有简单的命令可以操作。由用户模式进入特权模式的命令为:enable 特权模式:如果您看到当前的位置显示#那么您处于特权模式下,在特权模式下用户可以查看所有信息,而前可以进入全局配置模式对防火墙配置进行修改。由特权模式进入全局配置模式下的命令为:config t 全局配置模式:当您看到(config)#时,表示现在处于全局配置模式,可以对防火墙的设置进行修改。 在“>”、“#”、“(config)#”左侧显示的为设备的名称。 2、 1)、防火墙接口配置 Pix配置 Pix>enable 进入特权模式 Pix#config t 进入全局配置模式 Pix(config)#ip address outside 222.128.1.1 255.255.255.0 配置外接口地址 Pix(config)#ip address inside 1.1.1.1 255.255.255.0 配置内接口地址 Pix(config)#interface ethernet0 auto 激活外端口 Pix(config)#interface ethernet1 auto 激活内端口 (默认端口是出于shutdown状态的) 防火墙6.3以下系统默认将ethernet0端口做为外端口,默认安全级别为0,ethernet1作为内端口,默认安全级别为100,对于防火墙而言,高安全级别的用户可以访问到低安全级别,而由低安全级别主动发起的到高安全级别的链接是不允许的。 Pix系列产品默认只有两个端口及0和1,DMZ端口都是另外添加的模块,DMZ端口的默认安全级别50,配置DMZ接口的地址和配置inside和outside类似 Pix(config)#ip address dmz 3.3.3.3 255.255.255.0 Pix(config)# interface gb-ethernet0 1000auto 激活DMZ端口,DMZ的端口号需要您用show running-config命令查看,如: Pix(config)#show running-config sh run : Saved : PIX Version 6.3(5) interface ethernet0 100full interface ethernet1 auto interface gb-ethernet0 1000auto 新添加的DMZ端口 2)、防火墙nat设置 2.1、内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址, 防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址,这些配置都要在全局配置模式下完成, 2.2、Nat配置如下: Pix(config)#nat (inside) 1 0 0 上面inside代表是要被转换得地址, 1要和global 后面的号对应,类似于访问控制列表号,也是从上往下执行, 0 0 代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。 2.3、Global配置 Pix(config)#global (outside)1 interface Gobalb定义了内网将要被转换成的地址, Interface 代表外端口的地址 当然,如果您有更多的公网IP地址,您也可以设置一个地址池,上面一条也是必须的,地址转换首先会用地址池内陆址,一旦地址被用完后会用到上面一条及外端口做PAT转换上网。 Pix(config)#global (outside)1 222.128.1.100-222.128.1.254 3)、防火墙路由设置 3.1、因为我们为末节网络,所以对于我们来说路由比较简单,只要将从防火墙过来的所有流量全部导向ISP就可以了,具体到各个网站的路由在ISP那里会有。如果在我们的内部没有Vlan划分,那么我们之需要在防火墙上指一条向外出的路由就可以了,如下: Pix(config)#route outside 0.0.0.0 0.0.0.0 222.128.1.2 Route outside代表是外出的路由 0.0.0.0 代表目的地址,及全部匹配 0.0.0.0 代表子网掩码,及全部匹配 1.1.1.2代表下一跳,及和我们防火墙互联的ISP的地址 3.2、如果在我们的内部有好多VLAN划分,那么我们需要往回指到各个Vlan的路由,下一跳需要指向和我们防火墙直接相连的内网的地址,比如在我们的内部有VLAN 2:1.1.1.0/24;VLAN 3:3.3.3.0/24;如果VLAN 2是和防火墙直接相连的,那么我们不需要对VLAN 2回指路由,因为他和防火墙在同一网段,而VLAN 3没有和防火墙直接相连,如果想让vlan 3 也能上网我们就需要在防火墙上回指一条到vlan 3 的路由,如下: Pix(config)#route inside 3.3.3.0 255.255.255.0 1.1.1.2 3.3.3.0 255.255.255.0 目的网络及掩码 1.1.1.2下一跳及和防火墙相连的同一网段的vlan interface地址, 4)、服务器映射配置 4.1、如果在内网有一台web服务器需要向外提供服务,那么需要在防火墙上映射,公网地址多的情况下可以做一对一的映射,如下 Pix(config)#static (inside,outside)222.128.100.100 1.1.1.50 如果只有一个公网地址,那么可以做端口映射,如下 Pix(config)#static (inside,outside)tcp 222.128.100.100 80 1.1.1.50 80 4.2、映射完毕后还必须配置访问控制列表,允许外部来访问映射的WEB服务器,如下: Pix(config)#access-list outside per tcp any host 222.128.100.100 eq 80 Pix(config)#access-group outside in interface outside 其中“access-list”和“access-group”后面的outside为防问控制列表的名字,“access-group”最后的outside为端口名。 允许外面任意一台主机通过TCP的80端口访问到222.128.100.100这台主机,下面还要把此条访问控制列表应用到outside接口上,这样互联网上的用户才能访问到WEB服务器。 如果有多条地址映射请重复上述操作。 5)、图形界面登陆设置和用户名密码添加 Pix(config)#pdm history enable Pix(config)#pdm location 1.1.1.0 255.255.255.0 inside Pix(config)#http server enable Pix(config)#http 1.1.1.1 255.255.255.0 inside Pix(config)#username cisco password cisco cisco为用户名和密码 上述配置完毕后您就可以通过图形界面来登陆,登陆方式:https://1.1.1.1 如果要打开外网图形界面配置,如下: Pix(config)#http location 0.0.0.0 0.0.0.0 outside 外网所有的地址都可以通过图形界面来登陆防火墙如果知道用户名和密码。 当然我们也可以定义特定的一台多多台可以通过图形界面登陆防火墙,只要将网段改为特定的地址就可以了。 6)、防火墙密码 Pix(config)#enable password cisco 设置进入enable的密码 Pix(config)#passwd cisco ssh登陆是第一次输入的密码 7)、防火墙内网Telnet和外网SSH登陆设置 Telnet Configuration Pix(config)#telnet 1.1.1.0 255.255.255.0 inside 允许内网1.1.1.0telnet防火墙 Pix(config)#telnet timeout 1 1分钟未作任何操作后超时退出 SSH Configuration 通过外网不能用Telnet防火墙,必须用SSH加密方式,在配置SSH之前要先定义一个domain-name,然后再生成一个key,如下: Pix(config)#domain-name cisco.com Pix(config)# ca generate rsa key 800 Pix(config)#ca save all Pix(config)#ssh 0.0.0.0 0.0.0.0 outside SSH也可以定义外网特定的一台主机或固定的一段地址可以来远程登陆。 8)、防火墙DHCP配置 Pix(config)#dhcpd address 1.1.1.200-1.1.1.254 inside 定义地址池并在inside接口开启DHCP功能 Pix(config)# dhcpd dns 202.106.196.115 202.106.0.20 定义给客户分发的DNS Pix(config)# dhcpd enable inside 打开DHCP功能 9)、如何修改已存在的访问控制列表 比如,我们在内接口上定义了一些访问控制列表,如下: Pix(config)#access-list inside deny ip host 1.1.1.100 any Pix(config)#access-list inside permit tcp any any range 1 1024 Pix(config)#access-list inside permit ucp any any range 1.1024 Pix(config)#access-list inside permit tcp any any eq 1863 Pix(config)#access-group inside in interface inside 上面是我已经在内接口存在的访问控制列表,我拒绝了1.1.1.100到外面所有,而其他的用户只能访问外面的TCP和UDP的1—1024 的端口以及TCP的1863端口(msn),如果我还希望在拒绝IP地址为1.1.1.101的主机到外面所有的,那么我必须将deny 1.1.1.101 的访问控制列表写到access-list inside permit tcp any any range 1 1024列表的上面,因为访问控制列表是从上往下执行,如果将deny 1.1.1.101的访问控制列表放在access-list inside permit tcp any any eq 1863下面,那么对于1.1.1.101 的限制将不能生效,可以按照下面步骤操作: 1、先用show access-list命令查看访问控制列表 Pix(config)#show access-list access-list inside line 1 deny ip host 1.1.1.100 any (hitcnt=100000) access-list inside line 2 permit tcp any any range 1 1024 (hitcnt=8000000) access-list inside line 3 permit udp any any range 1 1024 (hitcnt=100000) access-list inside line 4 permit udp any any eq 1863 (hitcnt=8000) 2、将deny 1.1.1.101的列表插入,格式如下: Pix(config)#access-list inside line 1 deny ip host 1.1.1.101 any 做完后,在用show running-config可以看到在访问控制列表位置第一行已经多了一条,显示结果如下: Pix(config)#show run access-list inside deny ip host 1.1.1.101 any access-list inside deny ip host 1.1.1.100 any access-list inside permit tcp any any range 1 1024 access-list inside permit ucp any any range 1.1024 access-list inside permit tcp any any eq 1863 三、ASA5500端口配置 对于ASA5500系列来说,您定义的参数要多一些,以ASA5520来举例。(asa5500系列中asa5505有8个端口,全部是二层接口,需要划分Vlan然后再vlan接口下配置地址及端口名,其他配置都一样): ASA5520默认就有4个Gigabit Ethernet(0-4)和1个百兆的带外管理接口(此接口下默认有有IP地址,并在此接口下有DHCP功能开启),一个扩展插槽可以可安装IPS模块或防病毒模块。 1)、端口配置 ASA5520的4个端口默认没有定义端口名,您需要手动的添加,我们还以0端口为外接口,1为内接口,2为DMZ口说明 Asa5520>enable 进入特权模式 Passwrod: 默认情况下这里会提示让您输入密码,其实没有密码,直接回车就可以。 Asa5520#config t 进入全局配置模式 Asa5520(config)#interface GigabitEthernet0/0 Asa5520(config-if)#name-if outside 定义端口名字,您将此端口设置为外端口是他的安全级别会自动为0 Asa5520(config-if)#ip address 222.128.1.1 255.255.255.0 定义地址 Asa5520(config)#interface gigabitethernet0/1 Asa5520(config-if)#name-if inside 定义端口名字,您将此端口设置为内端口是他的安全级别会自动为100 Asa5520(config-if)#ip address 1.1.1.1 255.255.255.0 定义地址 2)、图形界面登陆设置 Asa5500系列配置图形界面与pix有一点不同,pix图形界面管理调用的PDM,而asa是调用ASDM。 Asa5520(config)# asdm image disk0:/asdm-507.bin 调用ASDM软件,默认好像有。 Asa5520(config)#http 1.11.0 255.255.255.0 inside 其他不管是从外网登陆或通过telnet、ssh、登陆asa的配置都是一样的。 ASA5500系列防火墙的地址映射、路由指向、密码设置、DHCP配置、访问控制列表设置和Pix系列防火墙的配置是一样。请参考上面设置。 |
|