思科防火墙完全配置

思科防火墙完全配置

ID:1208712

大小:434.00 KB

页数:9页

时间:2017-11-08

上传者:U-2517
思科防火墙完全配置_第1页
思科防火墙完全配置_第2页
思科防火墙完全配置_第3页
思科防火墙完全配置_第4页
思科防火墙完全配置_第5页
资源描述:

《思科防火墙完全配置》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

第五章防火墙的具体应用远键实业公司是一个典型的中小企业。大概100人左右。是一家科技企业,主要从事计算机系统集成服务,大约有100人左右,分为市场部、财务部、销售部、人力资源部、办公室、网络管理部、工程部,网络分成内网、外网。内网经常感染病毒,蠕虫,而且某些员工使用工具进行大数据量下载也影响网络正常工作,有时也发现来自外网黑客攻击现象,同时公司随着业务的发展也将扩大宣传,考虑建立一个Web服务器用来对外发布信息。公司领导和网络部经过仔细讨论,决定在公司现有网络基础上部署一台防火墙。防火墙有很多种,国外和国内有很多防火墙。经过选型后公司选择一款CiscoPIX515防火墙。公司拓扑结构如下:公司网络要求一、配置公司PIX划分内网、外网及DMZ区域:远键实业公司的规模并不是很大,网络拓扑结构如上图,分为内网、外网。在满足内网用户快速访问INTERNET的同时有效防止来自外网黑客攻击;此外,公司随着业务的发展也需要扩大宣传,市场部考虑建立电子营销,所以希望建立一个Web服务器用来对外发布业务信息。公司网络管理部门决定在公司的防火墙上部署在内网和外网之间配置PIX划分内网、外网及DMZ区域。pixfirewall>ena pixfirewall##进入全局配置模式pixfirewall#conft#配置防火墙接口的名字,并指定安全级别(nameif)。pixfirewall(config)#inte0pixfirewall(config-if)#nameifinsidepixfirewall(config-if)#security-level100pixfirewall(config)#inte1pixfirewall(config-if)#nameifdmzpixfirewall(config-if)#security-level50pixfirewall(config)#inte2pixfirewall(config-if)#nameifoutsidepixfirewall(config-if)#security-level0security-leve0是外部端口outside的安全级别(0安全级别最高)security-leve100是内部端口inside的安全级别,如果中间还有以太口,则security-leve10,security-leve20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为dmzsecurity-leve50是停火区dmz的安全级别。#配置内外网卡的IP地址pixfirewall(config)#inte0pixfirewall(config-if)#ipaddress192.168.2.200255.255.255.0pixfirewall(config-if)#noshutpixfirewall(config)#inte1pixfirewall(config-if)#ipaddress10.1.1.2255.255.255.0pixfirewall(config-if)#noshutpixfirewall(config)#inte1pixfirewall(config-if)#ipaddress202.99.88.2255.255.255.0pixfirewall(config-if)#noshut在配置内外网卡的IP地址时注意别忘了用noshutdown命令来激活端口。(noshut是noshutdown的简写)。#允许内部网络服务器telnetpix(允许远程登录到防火墙)pixfirewall(config)#telnet192.168.2.0255.255.255.0inside#同时你也可以允许外部网络服务器远程登录到防火墙命令如下pix515(config)#telnet202.99.88.0255.255.255.0outside但为了安全最好是只允许内部网络服务器远程登录到防火墙,保证防火墙的安全。#配置远程登录密码Pix515(config)#password123456以上表明远程登录密码为123456#保存配置writememory在配置完成后,要记住保存配置,以便以后进一步的配置及管理。、配置DMZ#设置DMZ接口IP地址,设置好后可以按拓扑结构图测试从PIX上ping10.1.1.2检查连通性。pixfirewall(config)#inte1 pixfirewall(config-if)#ipaddress10.1.1.2255.255.255.0#允许DMZ主机访问外部网络icmp协议pixfirewall(config-if)#access-listacl_dmzpermiticmpanyany#应用策略到DMZ接口把acl_dmz规则邦定到dmz端口上使之生效pixfirewall(config-if)#access-groupacl_dmzininterfacedmz#发布DMZ服务器到因特网设置静态的因特网、局域网、dmz区的访问关系static(dmz,outside)202.99.88.210.1.1.2netmask255.255.255.255#设置策略允许因特网访问DMZ服务器80端口pixfirewall(config)#access-list100permittcpanyhost202.99.88.2eq80#将10.1.1.100上的www服务发布到公网202.99.88.2static(inside,outside)tcp202.99.88.2www10.1.1.100wwwnetmask255.255.255.255#允许DMZ访问外部网络tcp80端口pixfirewall(config)#access-listacl_dmzpermittcp10.1.1.0255.255.255.0anyeq80#允许DMZ访问外部网络tcp,udp53端口pixfirewall(config)#access-listacl_dmzpermittcp10.1.1.0255.255.255.0anyeq53pixfirewall(config)#access-listacl_dmzpermitudp10.1.1.0255.255.255.0anyeq53#保存配置writememory二、配置PIX静态路由CiscoPIX防火墙可以支持动态路由模式、静态路由模式、透明模式和混合模式,远键实业公司的规模并不是很大,但内网、外网和DMZ区域都需要进行频繁通信,尤其是网站管理员需要经常从内网上传一些网页信息到Web服务器,网络部希望防火墙能够支持公司网络能够在保障安全的同时,网络通信稳定。#增加一条静态路由,把DMZ区域写入静态路由。pixfirewall(config)#routeinside10.1.1.0255.255.255.0192.168.2.200#发布DMZ服务器到因特网设置静态的因特网、局域网、dmz区的访问关系pixfirewall(config)#static(dmz,outside)202.99.88.210.1.1.2netmask255.255.255.255#设置策略允许内网访问DMZ服务器80端口pixfirewall(config)#access-list100permittcpanyhost10.1.1.2eq80#保存配置writememory三、配置PIX防火墙实现NAT公司网络部希望架设防火墙后,公司要求跟外部Internet进行通信时,内网使用私有IP地址,这样可以隐藏公司网络内部拓扑结构,另外,也能提供一定程度的网络安全。另外,公司网络部也希望在防火墙上进行设置后在内网中多个公司员工可以同时公用一个合法IP与外部Internet进行通信。#用NAT的方式允许内网用户用公网ip202.99.88.2访问INTERNETnat(inside)100(00表示内网所有主机)global(outside)1interface#保存配置writememory 四、配置PIX防火墙实现反向NAT公司市场部建立了一个Web服务器,对外发布,要求外部人员可以通过Internet来访问公司网站服务器。#允许DMZ主机访问外部网络icmp协议access-listacl_dmzpermiticmpanyany#应用策略到DMZ接口把acl_dmz规则邦定到dmz端口上使之生效access-groupacl_dmzininterfacedmz#发布DMZ服务器到因特网设置静态的因特网、局域网、dmz区的访问关系static(dmz,outside)202.99.88.10.1.1.2netmask255.255.255.25500#将10.1.1.100上的www服务发布到公网202.99.88.2static(inside,outside)tcp202.99.88.28010.1.1.100wwwnetmask255.255.255.25500#设置策略允许因特网访问DMZ服务器80端口access-list100permittcpanyhost202.99.88.2eq80#允许DMZ访问外部网络tcp80端口access-listacl_dmzpermittcp10.1.1.0255.255.255.0anyeq80#允许DMZ访问外部网络tcp,udp53端口access-listacl_dmzpermittcp10.1.1.0255.255.255.0anyeq53access-listacl_dmzpermitudp10.1.1.0255.255.255.0anyeq53#保存配置writememory五、防止洪水攻击远键实业公司的规模并不是很大,网络拓扑结构如上图,分为内网、外网。在满足内网用户快速访问INTERNET的同时有效防止来自外网黑客攻击;Pixfirewall>Pixfirewall>enPassword:Pixfirewall>conftPixfirewall(config)#access-list101denyicmpanyanyPixfirewall(config)#exit六、配置防火墙入侵检测技术。Pixfirewall>Pixfirewall>enPassword:Pixfirewall>conftPixfirewall(config)#ipaduitattackactionalarmPixfirewall(config)#ipauditinfoactionalarmPixfirewall(config)#exit当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息七、防火墙的启动和性能监控启动防火墙:插上电源,打开开关。 关闭防火墙:闭合开关,断开电源。Showblocks/clearblocks显示系统缓冲区利用情况Showchecksum显示配置校验和Showconn列出所有的活跃连接Showhistory显示前面输入的行Showinterface显示接口配置显示接口的配置的接口信息,如接口的IP,子网掩码,接口速率等。Showmemory显示系统内存的使用情况Showprocesses显示进程Showtech-support查看帮助技术支持分析员诊断问题的信息Showtraffic显示接口的发送和接收活动Showversion浏览PIX防火墙操作信息Showxlate查看地址转换信息熟练的对防火墙实现自身管理,以应对防火墙自身出现问题能够快速响应而不影响公司通过网络的业务运营。八、配置PIX流量控制公司网络经常出现员工上网速度缓慢,网络管理员查明后发现有人经常上网打网络游戏,或者从网络上在线看电影,网络管理员也很头疼,因此公司网络部为此要求通过防火墙能够根据部门分配Internet带宽,并设定如果公司某员工违反公司策略打网络游戏,或者从网络上在线看电影,占用公司网络带宽,防火墙能够自动设别是哪一个员工,而且自动切断该员工与外网的连接。通过配置防火墙对流量进行限制。#进入流量管理pixfirewall(config)#priority-queueoutside#流量的最高限制为256KB/Spixfirewall(priority-queue)#queue-limit256#以字节来算的,为了保证10ms的间隔,一般来说设置为128pixfirewall(config-priority-queue)#tx-ring-limit128#查看流量信息pixfirewall#shpriority-queuestatisticsPriority-QueueStatisticsinterfaceoutsideQueueType=BEPacketsDropped=0PacketsTransmit=0PacketsEnqueued=0CurrentQLength=0MaxQLength=0QueueType=LLQPacketsDropped=0PacketsTransmit=0PacketsEnqueued=0CurrentQLength=0MaxQLength=0流量限制作用:当前公司内的网络状况非常混乱,有人经常上网打网络游戏,或者从网络上在线 看电影,所以决定进行流量限制。流量限制可以限制公司内每个员工的带宽,发现某个员工的流量异常时可以切断该员工与外网的连接。进行流量限制后,公司局域网的速度会明显提高,员工的工作效率也会提高。九、PIX防火墙口令恢复公司网络设备渐渐增加,服务器、路由器、交换机、防火墙等网络设备从物理安全考虑,都要设置安全口令,口令多了,会容易混淆或者忘记口令,网络管理员为了应对这样情况,也要求自己及时掌握防火墙口令丢失进行口令恢复的方法。PIX防火墙密码恢复方法,步骤分解。在能够通过console口连通的情况下,重新启动PIX,在出现启动消息后,根据屏幕提示在9秒内按键盘BREAK或ESC键进入monitor模式。#进入e0口(inside口)monitor>interfacee0#设置本端口地址(PIXIP)monitor>address192.168.2.200#设置服务器地址(本机IP)monitor>server192.168.2.100在本机安装tftp软件并找到PIX对应的BIN包,如7.0的np5.binpixfill#copytftpflashAddressornameofremotehost[]?192.168.2.100(TFTP服务器地址)Sourcefilename[]?np5.binDestinationfilename[np5.bin]?Doyouwanttooverwrite?[confirm]Accessingtftp://192.168.2.100/np5.bin...Eraseflash:beforecopying?[confirm]Erasingtheflashfilesystemwillremoveallfiles!Continue?[confirm]Erasingdevice...eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee...erasedeeEraseofflash:completeLoadingnp5.binfrom192.168.2.100(viaEthernet0/0):!!!!!!!!!!!!!!文件下载成功后操作终端显示器会提示:Doyouwishtoerasethepasswords?[y/n]yPasswordshavebeenerased.因为设备众多,口令也就多了,非常容易混淆和忘记口令。忘记口令后,恢复口令就相当重要了。掌握了恢复口令,会对工作有很大的帮助。十、PIX防火墙VPN的实现公司员工经常需要通过Internet与客户进行通信,由于Internet是一个不安全的网络,其中公司有一些商业文档需要机密,公司网络部希望公司员工防火墙能够保障通过Internet与公司重要客户进行通信时实现信息传输保密。对PIX防火墙进行配置,实现VPN。一、基础知识:PPTP:点对点隧道协议点对点隧道协议(PPTP:PointtoPointTunnelingProtocol)是一种支持多协议虚拟专用网络的网络技术。通过该协议,远程用户能够通过MicrosoftWindowsNT工作站、WindowsXP操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本 地ISP,通过Internet安全链接到公司网络。PPTP可以用于在IP网络上建立PPP会话隧道。在这种配置下,PPTP隧道和PPP会话运行在两个相同的机器上,呼叫方充当PNS.PPTP使用客户机-服务器结构来分离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP作为一个呼叫控制和管理协议,它允许服务器控制来自PSTN或ISDN的拨入电路交换呼叫访问并初始化外部电路交换连接。PPTP只能通过PAC和PNS来实施,其它系统没有必要知道PPTP.拨号网络可与PAC相连接而无需知道PPTP.标准的PPP客户机软件可继续在隧道PPP链接上操作。PPTP使用GRE的扩展版本来传输用户PPP包。这些增强允许为在PAC和PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP没有规定特定的算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。二、配置1、命令行方式直接在PIX上配置PPTP的VPN,即PIX作为PPTP方式VPDN的服务器iplocalpoolpptp10.0.0.1-10.0.0.50//定义一个pptp方式的vpdn拨入后获得的IP地址池,名字叫做pptp。此处地址段的定义范围不要和拨入后内网其他计算机的IP冲突,并且要根据拨入用户的数量来定义地址池的大小pixfirewall(config)#cryptoipsectransform-setxpesp-desesp-md5-hmac创建与加密相关的全局值pixfirewall(config)#cryptodynamic-mapdymap10settransform-setxp创建一个动态加密映射项pixfirewall(config)#cryptomapmymap10ipsec-isakmpdynamicdymap定义名字为mymap编号为10静态加密map,将名字为dymap的动态加密map映射到静态加密mapmymap上.pixfirewall(config)#cryptomapmymapinterfaceoutside将静态加密map应用在外部接口上pixfirewall(config)#pixfirewall(config)#isakmpenableoutside在外部接口上启用ISAKMP策略。pixfirewall(config)#isakmpkey123456address0.0.0.0netmask0.0.0.0针对分支机构的动态公有IP,配置ISAKMP预共享密钥,如123456,0.0.0.0表示适合于所有的公有IP地址。pixfirewall(config)#isakmppolicy9authenticationpre-share定义编号为9的ISAKMP策略,认证方式使用预共享密钥:Pre-ShareKeypixfirewall(config)#isakmppolicy9encryptiondes对于编号为9的ISAKMP策略的加密算法使用despixfirewall(config)#isakmppolicy9hashsha对于编号为9的ISAKMP策略的hash完整性算法使用shapixfirewall(config)#isakmppolicy9group2对于编号为9的ISAKMP策略,密钥交换组DH(Diffie-Hellman)长度为group2pixfirewall(config)#isakmppolicy9lifetime86400对于编号为9的ISAKMP策略生存时期为86400秒。 pptp使用1723端口,而通常pix里面的服务器对外都是做的静态NAT转换,但是光双向开放1723端口仍旧无法建立pptp的vpn连接,那么对于pix6.3以上版本的pptp穿透可以用一条命令fixupprotocolpptp1723来解决这个问题。通过对PIX防火墙的设置,实现了VPN。公司内的一些商业机密能有了保障。通过Internet与公司重要客户进行通信时实现信息传输保密。十一、建立Pix防火墙日志重定向黑客攻击进来后,有时间会把防火墙的日志进行擦除以逃避责任,公司网络部希望网络管理员能够有效地保存防火墙日志。建立Pix防火墙日志重定向。linux配置:1、vi/etc/sysconfig/syslog(按i进入vi的编辑状态。):SYSLOGD_OPTIONS="-m0"修改为SYSLOGD_OPTIONS="-r-m0"//-r允许从远端主机写入messages(编辑完成后按ESC回到命令行状态,然后输入:wq,存盘退出,如果不存盘输入:q)2、vi/etc/syslog.conf加入下列内容把设备号为local4(pix的默认设备号,对应pix端的facility为20)的所有的日志记录到/var/log/pix.log中#Savepixmessagesalltopix.loglocal4.*/var/log/pix.log3、为了避免日志过大,配置日志轮循(manlogrotate查看详细的帮助信息)vi/etc/logrotate.conf增加下列内容:#system-specificlogsmaybealsobeconfiguredhere./var/log/pix.log{weeklyrotate4&4、重起syslog服务:[root@localhost&etc]#servicesyslogrestartpix配置:Pix#loggingonPix#logginghost192.168.2.235//记录日志的主机IPPix#loggingtrap7//指定日志消息的级别(0:紧急(Emergencies)1:告警(Alerts)2:严重的(Critical)3:错误(Errors)4:警告(Warnings)5:通知(Notifications)6:信息(Informational)7:调试(Debugging))Pix#loggingfacility20//更改设备号,Pix默认为local20Pix#exitPix#shlogging//可以看到当前日志记录是否启动Pix#wrmem//保存配置完成以上配置后就可以在linux下运用cat/var/log/pix.log查看Pix的日志文件:黑客攻击进来后,有时间会把防火墙的日志进行擦除以逃避责任,通过把linux配置成PIX的日志主机,能够有效地保存防火墙日志,进一步提高安全性。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
大家都在看
近期热门
关闭