cisco防火墙配置
本文讲述了作者第一次亲手接触Cisco PIX防火墙,总结了防火墙基本配置十个方面的内容。
cisco防火墙配置基本信息
| 中文名称 | cisco防火墙配置 | 性 质 | 硬件防火墙 |
|---|---|---|---|
| 建立用户 | 与Cisco IOS路由器基本一样 | 配 置 | 采用windows系统里的"超级终端 |
我想应该是跟Cisco路由器使用差不多吧,于是用配置线从电脑的COM2连到PIX 525的console口,进入PIX操作系统采用windows系统里的"超级终端",通讯参数设置为默认。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。
进入Pix 525采用超级用户(enable),默然密码为空,修改密码用passwd命令。一般情况下Firewall配置,我们需要做些什么呢?当时第一次接触我也不知道该做些什么,随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用,用于几个小时把几百面的英文书看完了,对命令的使用的知道了一点了,但是对如何配置PIX还是不大清楚该从何入手,我想现在只能去找cisco了,于是在官网下载了一些资料,边看边实践了PIX。
防火墙是处网络系统里,因此它跟网络的结构密切相关,一般会涉及的有Router(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。
cisco防火墙配置造价信息
建立用户
建立用户和修改密码跟。Cisco IOS路由器基本一样
激活
激活以太端口必须用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside,
inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
命名端口
采用命令nameif
PIX525(config)#nameif ethernet0 outside security0
security100
security0是外部端口outside的安全级别(100安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。
配置地址
采用命令为:ip address
如:内部网络为:192.168.1.0 255.255.255.0
外部网络为:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
配置远程
在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
测试telnet
在[开始]->[运行]
telnet 192.168.1.1
PIX passwd:
输入密码:cisco
访问列表
此功能与Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80
PIX525(config)#access-list 100permit ip any host 222.20.16.254 eq www
deny ip any any
PIX525(config)#access-group 100 in interface outside
地址转换
NAT跟路由器基本是一样的,
首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (inside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask
255.255.255.0
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0
DHCP
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面简单配置DHCP Server,地址段为192.168.1.100-192.168.1.200
DNS: 主202.96.128.68 备202.96.144.47
主域名称:
DHCP Client 通过PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain
静态端口
静态端口重定向(Port Redirection with Statics)
在PIX 版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX
传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99
telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.99
FTP,通过PIX重定向到内部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.208
www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。
www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.201
HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.5
smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
显示保存
显示命令show config
保存命令write memory
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟工控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那种EEPROM,操作系统跟Cisco IOS相似,都是命令行(Command)式,我第一次亲手拿到的防火墙是Cisco Firewall Pix525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩展口。
cisco防火墙配置常见问题
-
我想想啊
-
一般会遇到以下N种情况,你看有没有你的那种: 调制解调器不工作。 原因: 调制解调器不兼容。 解决方案: 如果有另一台计算机可以访问 Internet,那么请查看兼容调制解调器的列表。要查找由 Win...
-
区别:1、实现隔离内外部网络的方式不同硬件防火墙:通过硬件和软件的组合,基于硬件的防火墙专门保护本地网络软件防火墙:通过纯软件,单独使用软件系统来完成防火墙功能2、安全性不同硬件防火墙的抗攻击能力比软...
cisco防火墙配置文献
一般硬件防火墙配置讲解
1 / 16 本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。 但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌, 就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配 置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同 而有较大区别。首先介绍一些基本的配置原则。 一 .防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的 一些类型。 ●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证 地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙 后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问 系统。换句话说,如果你想让你的员工们能够发送和接收 Email,你必须在防火 墙上设置相应的规则或
山石防火墙配置
hillstone 防火墙配置步骤 (以 hillstone SA5040 为例讲解 ) 厦门领航立华科技有限公司 目 录 1 需要从客户方获取的基本信息 ................................................................................................. 3 2 配置步骤 .................................................................................................................................... 3 2.1 配置安全域 ...................................................................
Cisco 安全设备管理工具:Cisco SDM,简称SDM。
Cisco SB 100系列
小型企业
· Cisco IOS软件的可管理性和可靠性
基本安全
· 状态化检测防火墙
固定配置
· 非对称DSL(ADSL), ADSL over ISDN,或一个以太网WAN接口,带一个4端口10/100交换机
Cisco SOHO 系列
小型办公机构/家庭办公机构
· Cisco IOS软件的可管理性和可靠性
商业级安全
· 状态化检测防火墙
固定配置
· 3DES软件加密(Cisco SOHO 91,96,97)
· 一些型号带集成4端口集线器或4端口10/100交换机
· 双以太网、ADSL、ADSL over ISDN和G.SHDSL
Cisco 820/830系列
远程工作人员
小型远程机构
· Cisco IOS软件的可管理性和可靠性
商业级安全
· 状态化检测防火墙
· VPN 3DES加密(Cisco 830提供基于硬件的加密)
· 语音和数据集成(Cisco 827-4v)
固定配置
· 一些型号带集成4端口集线器或4端口10/100交换机
· 双以太网、ADSL、ADSL over ISDN和G.SHDSL
Cisco 850 系列
小型办公机构
· Cisco IOS软件的可管理性和可靠性
安全连接
· 状态化检测防火墙
· VPN 3DES加密(硬件加速)
固定配置
· 在模拟电话线连接上提供非对称DSL(ADSL)(Cisco 857)
· 100MB以太网(Cisco 851)
· 安全WLAN 802.11b/g选项,带单一固定天线
· 4端口10/100Base-T交换机,带自动检测MDI/MDX,用于自动交叉
Cisco 870系列
小型办公机构和远程工作人员部署
· 为宽带接入提供安全的并发服务
· Cisco IOS软件的可管理性和可靠性
商业级安全
· 状态化检测防火墙
· VPN 3DES加密和高级加密标准(AES)加密
· 入侵防御系统(IPS)
固定配置
· 非对称DSL(ADSL),ADSL over ISDN,或一个以太网WAN接口,带一个4端口10/100交换机
· 安全WLAN 802.11b/g选项,带单一固定天线和可更换分集天线
· 100MB以太网(Cisco 871)
· ADSL over ISDN(Cisco 876)
· 模拟电话线ADSL(Cisco 877)
· G.SHDSL(Cisco 878)
Cisco 1700系列
中小型企业,小型企业分支机构
· 内置快速以太网(10/100)LAN
· Cisco IOS软件的可管理性和可靠性
商业级安全性
· 状态化检测防火墙
· VPN:软件和硬件加密,Cisco Easy VPN Server/Remote
· 入侵防御系统(IPS)
多业务数据/语音
· 模拟和数字语音
· 远程电话应急呼叫(SRST)
· IP Communications Express (CCME/CUE)
模块化特性
· WAN/语音模块化插槽
· 范围广泛的WAN/语音接口卡
· 通过网络准入控制提供T1/E1、ISDN、ADSL、G.SHDSL、帧中继选项
Cisco 1800固定系列
小型办公机构和小型企业分支机构
· 为宽带接入提供安全的并发服务,具备WAN高可用性
· Cisco IOS®软件的可管理性和可靠性
商业级安全
· 状态化防火墙,带URL过滤
· VPN 3DES加密和高级加密标准(AES)加密
· 动态多点VPN(DMVPN)
· 入侵防御系统(IPS)
固定配置
· 以宽带性能提供安全宽带接入
· 集成化ISDN基本速率S/T接口(BRI)、模拟调制解调器或以太网备用端口,用于冗余WAN链路和负载均衡
· 通过使用多个天线,同时为802.11a和802.11b/g提供了安全无线局域网选项
· 8端口10/100可管理交换机,带802.1q VLAN支持和可选以太网供电(PoE)
Cisco 1800模块化系列
中小型企业和小型企业分支机构
· 线速性能,在高达T1/E1/xDSL速率下支持安全数据服务
· 提高安全数据服务的服务密度
· 支持下一代高速WAN接口卡
· 通过为高速VPN和未来应用支持内部AIM插槽,提高了灵活性
· 内置双快速以太网端口
· 支持30多种现有和新增模块
安全联网
· 主板上基于硬件的VPN加速
· 病毒防御
· 入侵防御系统(IPS)
· SDM支持
集成交换
· 支持4端口10/100可管理EtherSwitch模块
Cisco 2600系列
中小型企业分支机构
· 内置快速以太网(10/100)LAN
商业级安全
· 状态化检测防火墙
· VPN:软件和硬件加密,Cisco Easy VPN
· 入侵防御系统(IPS)
多业务数据/语音
· 模拟和数字语音
· IP Communications Express (CCME/SRST/CUE)
模块化特性
· 范围广泛的WAN/语音接口卡
· 网络和高级集成模块(AIM)支持
· 支持70多种网络模块、AIM、语音/WAN接口
Cisco 2800系列
中小型企业和企业分支机构
· 高达多T1/E1/xDSL速率的线速性能
· 提高了安全、语音、缓存、视频、网络分析和L2交换的服务密度
· 支持增强接口(NME、HWIC、EVM和PVDM2)
· 内置双快速以太网或千兆以太网端口
· 支持90多种现有和新增模块
· 提供可选的集成以太网供电(PoE)支持
安全联网
· 主板上基于硬件的VPN加速
· 病毒防御
· 入侵防御系统(IPS)
· SDM支持
IP通信和IP电话支持
· IP Communications Express (CCME/SRST/CUE)
· 增强模块化特性(EVM和PVDM2支持)
集成交换
· 多达56个可供电10/100交换机端口
· 支持802.3af以太网供电
Cisco 3700系列
集成企业分支机构
· 内置快速以太网(10/100)LAN
· Cisco IOS软件的可管理性和可靠性
· 在紧凑的机型中提供高密度的服务
· 单平台IP电话基础设施
· 可选集成馈线供电低密度交换
商业级安全
· 状态化检测防火墙
· VPN:软件和硬件加密,Cisco Easy VPN
· 入侵防御系统(IPS)
· 软件压缩
多业务数据/语音
· 模拟和数字语音
· IP Communications Express (CCME/SRST/CUE)
模块化特性
· 范围广泛的WAN/语音接口卡
· 网络和高级集成模块(AIM)支持
· 支持70多种网络模块、AIM和语音/WAN接口
Cisco 3800系列
大中型企业和企业分支机构
· 以T3/E3速率提供线速性能的多种并发服务
· 更高的安全、语音、缓存、视频、网络分析和L2交换服务密度
· 支持增强接口(NME、HWIC、EVM和PVDM2)
· 内置双千兆以太网端口
· 支持90多种现有和新增模块
· 提供一个小型可插拔(SFP)以太网端口
· 通过在线插拔支持,以及冗余系统和可选馈线电源,提供高可用性和永续性
安全联网
· 主板上基于硬件的VPN加速
· 通过网络准入控制提供病毒防御
· 入侵防御系统(IPS)
· SDM支持
IP通信和IP电话支持
· IP Communications Express (CCME/SRST/CUE)
· 增强模块化特性(EVM和PVDM2支持)
集成交换
· 多达96个可供电10/100交换机端口
· 支持802.3af以太网供电
Cisco 7200/7301系列
企业总部环境
· 应用多样性-可管理网络服务、WAN汇聚、MPLS、VPN、宽带汇聚、QoS和多业务
企业级安全/VPN
· 状态化检测防火墙
· VPN:软件和硬件加密,Cisco Easy VPN
· 服务级别校正特性
· 入侵检测系统(IDS)
多业务数据/语音
· 模拟和数字语音
· 远程电话应急呼叫(SRST)
· 支持多业务交换(MIX)的背板提供了服务集成
模块化特性
· 支持70多种接口,提供了从FE到GE、DS0到OC-12 DPT的全面连接选项
· 与Cisco 7400、Cisco 7500和Cisco 7600系列共用接口,可插入通用备件
· NPE-G1处理器上的内置FE/GE端口提供高性能LAN连接
· 通过并行快速转发提供灵活的处理选项,包括硬件加速IP服务
· 通过思科(Cisco)组件管理器框架(CEMF)提供了全面的管理服务
Cisco 7304系列
企业总部环境
· 速度高达OC-48的高性能连接
· 内置GE提供了高性能LAN连接
· 通过并行快速转发提供硬件加速服务
· 可选冗余处理器和电源在单机箱解决方案中提供了高可用性
· 多协议支持
企业级安全/VPN
· 硬件加速访问控制列表
· 状态化检测防火墙
· 软件压缩
模块化特性
· 20多种网络线卡
· 机箱支持多达4个线卡或端口适配器
· 处理器上内置GE端口
· 支持7x00端口适配器
· Cisco IOS软件的可管理性和可靠性
Cisco 7600系列
企业总部
高端CPE小型电信运营商POP环境
· 适用于企业WAN汇聚或电信运营商环境
企业级安全/VPN
· 支持IPSec、防火墙、SSL VPN等服务模块
· 入侵防御系统(IPS)
模块化特性
· 机箱支持多达4个插槽,用于冗余交换管理引擎和线卡
· 交换管理引擎支持最高15Mpps,提供范围广泛的边缘服务
· 支持共享端口适配器(SPA)和SPA接口处理器(SIP),提供智能服务,最多支持12个SPA槽位
· 支持增强FlexWAN模块,提供端口适配器投资保护
· Cisco IOS®软件的可管理性和可靠性
Cisco职业认证培训系列。 本书全面系统地介绍了配置端到端IP电话的解决方案。全书共分为14章,分别介绍了Cisco IP电话的组成;系统设置与菜单介绍;Cisco IP电话设备;理解和使用批量管理工具;Cisco Manager服务器的安装、备份和配置;Cisco IP电话的LAN基础设施;Cisco IP电话的呼叫保留;Cisco IP电话的媒体资源;Cisco IP电话网络的WA
cisco防火墙配置相关推荐
- 相关百科
- 相关知识
- 相关专栏
- 2009款威志CA7150U三厢标准型国3
- 软件防火墙
- SPI防火墙
- 电筒数
- 防火墙设计规则
- 防火墙技术与应用
- 管工识图
- WEB应用防火墙
- 应用防火墙
- 防火墙技术
- 内置防火墙
- 趣味手电筒
- 防火墙原理与技术
- 防火墙管理
- 矿井防火墙
- 多级防火墙
- 异构分布式防火墙与入侵检测联动构架的通信机制
- 园林景观中的植物配置
- 广州帽峰山森林公园植物景观季相配置分析_金超
- 关于加强建设工程施工项目部配置管理通知(天津市)
- 广西各级疾病预防控制中心实验室仪器设备配置状况分析
- 国家建筑材料工业局职能配置、内设机构和人员编制规定
- 基于LINGO11.0土地资源优化配置方法
- 交换机路由器配置管理路由器接口IP地址设计
- 精装修楼盘设备配置
- 基于工作过程系统化网络设备配置与管理项目式课程开发
- 检测机构应配置主要仪器设备及检测用房建筑面积要求
- 基于策略域名解析和硬件防火墙校园网双出口解决方案
- 基于工作过程网络设备配置与管理项目课程开发
- 基于多目标函数道路施工机械资源优化配置方法
- 施工现场组织机构及主要资源配置计划
- H3C3600交换机配置及说明文档自动侦测命令
最新词条
安徽省政采项目管理咨询有限公司
数字景枫科技发展(南京)有限公司
怀化市人民政府电子政务管理办公室
河北省高速公路京德临时筹建处
中石化华东石油工程有限公司工程技术分公司
手持无线POS机
广东合正采购招标有限公司
上海城建信息科技有限公司
甘肃鑫禾国际招标有限公司
烧结金属材料
齿轮计量泵
广州采阳招标代理有限公司河源分公司
高铝碳化硅砖
博洛尼智能科技(青岛)有限公司
烧结刚玉砖
深圳市东海国际招标有限公司
搭建香蕉育苗大棚
SF计量单位
福建省中亿通招标咨询有限公司
泛海三江
威海鼠尾草
Excel 数据处理与分析应用大全
广东国咨招标有限公司
甘肃中泰博瑞工程项目管理咨询有限公司
山东创盈项目管理有限公司
当代建筑大师
广西北缆电缆有限公司
拆边机
大山槟榔
上海地铁维护保障有限公司通号分公司
甘肃中维国际招标有限公司
舌花雏菊
湖北鑫宇阳光工程咨询有限公司
GB8163标准无缝钢管
中国石油炼化工程建设项目部
华润燃气(上海)有限公司
韶关市优采招标代理有限公司
莎草目
建设部关于开展城市规划动态监测工作的通知
电梯平层准确度
广州利好来电气有限公司
四川中泽盛世招标代理有限公司