为您找到与思科asa防火墙配置相关的共200个结果:
思科cisco制造的路由器、交换机设备和其他设备承载了全世界80%的互联网通信,成为硅谷中新经济的传奇,那么你知道思科防火墙PIX ASA怎么配置吗?下面是读文网小编整理的一些关于思科防火墙PIX ASA怎么配置的相关资料,供你参考。
思科防火墙已经从PIX发展到ASA了,IOS也已经从早期的6.0发展到7.2。但总体的配置思路并没有多少变化。只是更加人性化,更加容易配置和管理了。
下面是我工作以来的配置总结,有些东西是6.3版本的,但不影响在7.*版本的配置。
一:6个基本命令: nameif、 interface、 ip address 、nat、 global、 route。
二:基本配置步骤:
step1: 命名接口名字
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
**7版本的配置是先进入接口再命名。
step2:配置接口速率
interface ethernet0 10full auto
interface ethernet1 10full auto
interface ethernet2 10full
step3:配置接口地址
ip address outside 218.106.185.82
ip address inside 192.168.100.1 255.255.255.0
ip address dmz 192.168.200.1 255.255.255.0
step4:地址转换(必须)
* 安全高的区域访问安全低的区域(即内部到外部)需NAT和global;
nat(inside) 1 192.168.1.1 255.255.255.0
global(outside) 1 222.240.254.193 255.255.255.248
*** nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。直接转发出去。
* 如果内部有服务器需要映射到公网地址则需要static和conduit或者acl.
static (inside, outside) 222.240.254.194 192.168.1.240
static (inside, outside) 222.240.254.194 192.168.1.240 10000 10
后面的10000为限制连接数,10为限制的半开连接数。
conduit permit tcp host 222.240.254.194 eq www any
conduit permit icmp any any (这个命令在做测试期间可以配置,测试完之后要关掉,防止不必要的漏洞)
ACL实现的功能和conduit一样都可实现策略访问,只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。
Access-list 101 permit tcp any host 222.240.254.194 eq www
Access-group 101 in interface outside (绑定到接口)
***允许任何地址到主机地址为222.240.254.194的www的tcp访问。
Step5:路由定义:
Route outside 0 0 222.240.254.193 1
Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
**如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
Step6:基础配置完成,保存配置。
Write memory write erase 清空配置
reload
看过文章“思科防火墙PIX ASA怎么配置”
浏览量:2
下载量:0
时间:
想要配置好一个防火墙,就要有好的方法,那么ASA防火墙要怎么样配置呢?下面由读文网小编给你做出详细的介绍!希望对你有帮助!
首先你需要定义下内网的流量
access-list 100 permit ip 192.168.0.0 255.255.255.0 any 这个就是表示所有的192.168.0.0/16的网络
定义nat
global ( outside ) 1 interface
nat ( inside ) 1 access-list 100
另外还需要放行流量
access-list acl permit ip any any ( 由于不清楚你的流量我就放行所有了)
access-group acl in interface outside
access-group acl out interface outside
看了“ASA防火墙怎么样配置”文章的还看了:
浏览量:2
下载量:0
时间:
cisco ASA 防火墙你知道怎么样配置吗?小编来教你!下面由读文网小编给你做出详细的cisco ASA 防火墙配置介绍!希望对你有帮助!
1.asa防火墙的密码可以破解的。配置很简单发给你
ASA5500防火墙:
在ASA启动过程中按 CTRL+BREAK键后,进入:
rommon #0> confreg
Current Configuration Register: 0x00000001
Configuration Summary:
boot default image from Flash
Do you wish to change this configuration? y/n [n]: n
rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM...
rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
Loading disk0:/ASA_7.0.bin... Booting...
Ignoring startup configuration as instructed by configuration register.
Type help or '?' for a list of available commands.
hostname> enable
Password:
hostname# configure terminal
hostname(config)# copy startup-config running-config
Destination filename [running-config]?
Cryptochecksum(unchanged): 7708b94c e0e3f0d5 c94dde05 594fbee9
892 bytes copied in 6.300 secs (148 bytes/sec)
hostname(config)# enable password NewPassword
hostname(config)# config-register 0x1
hostname#copy run start
到次为止密码恢复完成.
2.安全策略主要就是acl访问列表的控制。限制ip 的访问、icmp的访问以及tcp、udp协议端口的开放等。
看了“cisco ASA 防火墙怎么样配置”文章的还看了:
浏览量:2
下载量:0
时间:
思科cisco是全球高端顶尖的通讯厂商,其出产的路由器功能也是世界级的,那么你知道cisco ASA防火墙如何配置的吗?下面是读文网小编整理的一些关于cisco ASA防火墙如何配置的相关资料,供你参考。
常用命令有:nameif、interface、ip address、nat、global、route、static等。
global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名称,一般为inside.
nat_id: 表示地址池,由global命令定义。
local_ip: 表示内网的ip地址。对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
route
route命令定义静态路由。
语法:
route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名称。
0 0 :表示所有主机
Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。缺省值是1。
static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址
**************************************************************************
asa#conf t
asa(config)# hostname asa https://设置主机名
asa(config)#enable password cisco https://设置密码
配置外网的接口,名字是outside,安全级别0,输入ISP给您提供的地址就行了。
asa(config)#interface GigabitEthernet0/0
asa(config)#nameif outside https://名字是outside
asa(config)#securit-level 0 https://安全级别0
asa(config)#ip address *.*.*.* 255.255.255.0 https://配置公网IP地址
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
配置内网的接口,名字是inside,安全级别100
asa(config)#interface GigabitEthernet0/1
asa(config)#nameif inside
asa(config)#securit-level 100
asa(config)#duplex full
asa(config)#speed 100
asa(config)#no shutdown
配置DMZ的接口,名字是dmz,安全级别50
asa(config)#interface GigabitEthernet0/2
asa(config)#nameif dmz
asa(config)#securit-level 50
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
网络部分设置
asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0
asa(config)#global(outside) 1 222.240.254.193 255.255.255.248
asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 https://表示192.168.1.1这个地址不需要转换。直接转发出去。
asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 https://定义的地址池
asa(config)#nat (inside) 1 0 0 https://0 0表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围
配置静态路由
asa(config)#route outside 0 0 133.0.0.2 https://设置默认路由 133.0.0.2为下一跳
如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
地址转换
asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态NAT
asa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态NAT
asa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态NAT
如果内部有服务器需要映射到公网地址则需要static
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 https://后面的10000为限制连接数,10为限制的半开连接数
ACL实现策略访问
asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL
asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
asa(config)#access-list 101 deny ip any any ;设置ACL
asa(config)#access-group 101 in interface outside ;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
看过文章“cisco ASA防火墙如何配置"
浏览量:2
下载量:0
时间:
思科cisco依靠自身的技术和对网络经济模式的深刻理解,使他成为了网络应用的成功实践者之一,其出产的路由设备也是世界一流,那么你知道思科路由怎么配置PIX虚拟防火墙吗?下面是读文网小编整理的一些关于思科路由怎么配置PIX虚拟防火墙的相关资料,供你参考。
拓扑图
这个拓扑中,中间的PIX配置三个虚拟防火墙,Ethernet0连接到一个3550交换机的TRUNK端口,分别接到三个不同的VLAN,外口Ethernet1连接到Internet,试验中可以使用一台路由器代替。
由于这里Ethernet0是和交换机的TRUNK端口相连,来接收不同VLAN的流量,所以这里使用子接口为TRUNK去VLAN标签,并将这些子接口分配给各个虚拟防火墙,是内部各个VLAN都能访问Internet
首先配置3550交换机:
interface FastEthernet0/2
switchport access vlan 2
!
interface FastEthernet0/3
switchport access vlan 3
!
interface FastEthernet0/4
switchport access vlan 4
!
interface FastEthernet0/10 //和PIX的Ethernet0口相连
switchport trunk encapsulation dot1q //PIX的默认的TRUNK类型就是dot1q
switchport trunk allowed vlan 2,3,4
switchport mode trunk
PIX的配置:
changeto system:
interface Ethernet0
!
interface Ethernet0.2
vlan 2 //为子接口进行封装,去VLAN标签
interface Ethernet0.3
vlan 3
interface Ethernet0.4
vlan 4
!
interface Ethernet1
!
admin-context admin
context admin
allocate-interface Ethernet0.2 Intf1 //分配E0.2子接口到虚拟防火墙admin,别名是Intf1
allocate-interface Ethernet1 Intf0 //分配接口E1到虚拟防火墙admin,别名是Intf0
config-url flash:/admin.cfg
!
context DepartmentA
allocate-interface Ethernet0.3 Intf1
allocate-interface Ethernet1 Intf0
config-url flash:/DepartmentA.cfg
!
context DepartmentB
allocate-interface Ethernet0.4 Intf1
allocate-interface Ethernet1 Intf0
config-url flash:/DepartmentB.cfg
changeto context admin:
interface Intf1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Intf0
mac-address 00aa.0000.01c1
nameif outside
security-level 0
ip address 192.168.1.10 255.255.255.0
changeto context DepartmentA:
interface Intf1
nameif inside
security-level 100
ip address 192.168.3.1 255.255.255.0
!
interface Intf0
mac-address 00aa.0000.01c2
nameif outside
security-level 0
ip address 192.168.1.11 255.255.255.0
changeto context DepartmentB:
interface Intf1
nameif inside
security-level 100
ip address 192.168.4.1 255.255.255.0
!
interface Intf0
mac-address 00aa.0000.01c3
nameif outside
security-level 0
ip address 192.168.1.12 255.255.255.0
最后在试验中代替Internet的路由器上进行验证:
成功ping通每个虚拟接口上配置的IP地址。
浏览量:2
下载量:0
时间:
思科依靠自身的技术和对网络经济模式的深刻理解,使他成为了网络应用的成功实践者之一,其制造的路由器也是全球顶尖的,那么你知道如何配置思科IOS防火墙吗?下面是读文网小编整理的一些关于如何配置思科IOS防火墙的相关资料,供你参考。
拓扑图
配置思科IOS防火墙步骤
第一步:在R1 、 R2 、 R3上的预配置
r1(config)#int e0/0
r1(config-if)#ip add 172.16.1.1 255.255.255.0
r1(config-if)#no sh
r1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2配置静态路由
r1(config)#^Z
r2(config)#int e0/0
r2(config-if)#ip add 172.16.1.2 255.255.255.0
r2(config-if)#no sh
r2(config-if)#int e2/0
r2(config-if)#ip add 192.168.1.2 255.255.255.0
r2(config-if)#no sh
r3(config)#int e2/0
r3(config-if)#ip add 192.168.1.3 255.255.255.0
r3(config-if)#no sh
r3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 配置静态路由
r3(config)#^Z
r3(config)#li vty 0 4
r3(config-line)#pass
r3(config-line)#password cisco
r3(config-line)#exit
第二步:
在R2上配置zhang
r2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
r2(config)#ip inspect name zhang tcp 检查TCP
r2(config)#ip inspect name zhang udp 检查udp
r2(config)#ip inspect udp idle-time 60 检查udp 的时间是60S
r2(config)#ip inspect name zhang icmp timeout 5 超时时间是5S
r2(config)#ip inspect name zhang http alert off 控制HTTP
r2(config)#
r2(config)#int e0/0
r2(config-if)#ip inspect zhang in 在e0/0接口检查流量是否满足以上所定义过的任何一条
r2(config-if)#exit
r2(config)#acce 100 deny ip any any log 做ACL拒绝IP的任何包通过
r2(config)#int e2/0
r2(config-if)#ip acce 100 in 将ACL要用到e2/0的进接口上
第三步: 从R1上TELNET R3
r1#telnet 192.168.1.3
Trying 192.168.1.3 ... Open
User Access Verification
Password:
r3>
从R3上TELNET R1
r3#telnet 172.16.1.1
Trying 172.16.1.1 ...
% Destination unreachable; gateway or host down
第四步:
从R1上ping R2直连接口
r1#ping 172.16.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/54/92 ms
从R2上ping R1直连接口
r2#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/67/124 ms
从R2ping R3直连接口
r2#ping
*Mar 1 00:15:20.615: %SYS-5-CONFIG_I: Configured from console by console
r2#ping 192.168.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
*Mar 1 00:15:28.055: %SEC-6-IPACCESSLOGDP: list 100 denied icmp 192.168.1.3 -> 192.168.1.2 (0/0), 1 packet..... //说明icmp包可以到达,但 是没有回包
Success rate is 0 percent (0/5)
从R3ing R2连接口
r3#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
U.U.U //说明icmp包不可以到达目的地
Success rate is 0 percent (0/5)
r1#ping 192.168.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 76/124/156 ms
r2#debug ip inspect icmp
INSPECT ICMP Inspection debugging is on
r2#
*Mar 1 00:35:09.187: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3
*Mar 1 00:35:09.187: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3
*Mar 1 00:35:09.191: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3
*Mar 1 00:35:09.263: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1
*Mar 1 00:35:09.375: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3
*Mar 1 00:35:09.423: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1
*Mar 1 00:35:09.467: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3
*Mar 1 00:35:09.531: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1
*Mar 1 00:35:09.563: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3
r2#
*Mar 1 00:35:09.623: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1
*Mar 1 00:35:09.671: CBAC: ICMP Echo pkt 172.16.1.1 => 192.168.1.3
*Mar 1 00:35:09.735: CBAC: ICMP Echo Reply pkt 192.168.1.3 => 172.16.1.1
浏览量:2
下载量:0
时间:
思科cisco依靠自身的技术和对网络经济模式的深刻理解,成为了网络应用的成功实践者之一,那么你知道cisco ASA防火墙配置吗?下面是读文网小编整理的一些关于cisco ASA防火墙配置的相关资料,供你参考。
常用命令有:nameif、interface、ip address、nat、global、route、static等。
global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名称,一般为inside.
nat_id: 表示地址池,由global命令定义。
local_ip: 表示内网的ip地址。对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
route
route命令定义静态路由。
语法:
route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名称。
0 0 :表示所有主机
Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。缺省值是1。
static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址
**************************************************************************
asa#conf t
asa(config)# hostname asa https://设置主机名
asa(config)#enable password cisco https://设置密码
配置外网的接口,名字是outside,安全级别0,输入ISP给您提供的地址就行了。
asa(config)#interface GigabitEthernet0/0
asa(config)#nameif outside https://名字是outside
asa(config)#securit-level 0 https://安全级别0
asa(config)#ip address *.*.*.* 255.255.255.0 https://配置公网IP地址
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
配置内网的接口,名字是inside,安全级别100
asa(config)#interface GigabitEthernet0/1
asa(config)#nameif inside
asa(config)#securit-level 100
asa(config)#duplex full
asa(config)#speed 100
asa(config)#no shutdown
配置DMZ的接口,名字是dmz,安全级别50
asa(config)#interface GigabitEthernet0/2
asa(config)#nameif dmz
asa(config)#securit-level 50
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
网络部分设置
asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0
asa(config)#global(outside) 1 222.240.254.193 255.255.255.248
asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 https://表示192.168.1.1这个地址不需要转换。直接转发出去。
asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 https://定义的地址池
asa(config)#nat (inside) 1 0 0 https://0 0表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围
配置静态路由
asa(config)#route outside 0 0 133.0.0.2 https://设置默认路由 133.0.0.2为下一跳
如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
地址转换
asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态NAT
asa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态NAT
asa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态NAT
如果内部有服务器需要映射到公网地址(访问内网)则需要static
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 https://后面的10000为限制连接数,10为限制的半开连接数
ACL实现策略访问
asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL
asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
asa(config)#access-list 101 deny ip any any ;设置ACL
asa(config)#access-group 101 in interface outside ;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
浏览量:2
下载量:0
时间:
思科拥有丰富的行业经验、先进的技术,路由器功能也在世界遥遥领先,那么你知道思科路由器防火墙如何配置吗?下面是读文网小编整理的一些关于思科路由器防火墙如何配置的相关资料,供你参考。
一、access-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0.
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】
系统缺省不配置任何访问规则。
【命令模式】
全局配置模式
【使用指南】
同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。
使用协议域为IP的扩展访问列表来表示所有的IP协议。
同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】
允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP.
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相关命令】
ip access-group
二、clear access-list counters 清除访问列表规则的统计信息。
clear access-list counters [ listnumber ]
【参数说明】
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】
任何时候都不清除统计信息。
【命令模式】
特权用户模式
【使用指南】
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】
例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters
【相关命令】
access-list
三、firewall 启用或禁止防火墙。
firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewall enable
【相关命令】
access-list,ip access-group
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为"允许".
deny 表示缺省过滤属性设置为"禁止".
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是"允许",则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为"允许".
Quidway(config)#firewall default permit
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
【缺省情况】
没有规则应用于接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
【举例】
将规则101应用于过滤从以太网口收上来的报文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相关命令】
access-list
六、settr 设定或取消特殊时间段。
settr begin-time end-time
no settr
【参数说明】
begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
【缺省情况】
系统缺省没有设置时间段,即认为全部为普通时间段。
【命令模式】
全局配置模式
【使用指南】
使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成"settr 21:00 23:59 0:00 8:00",因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
【举例】
例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00.
Quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 设置时间段为晚上9点到早上8点。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相关命令】
timerange,show timerange
七、show access-list 显示包过滤规则及在接口上的应用。
show access-list [ all | listnumber | interface interface-name ]
【参数说明】
all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。
【举例】
例1:显示当前所使用的序号为100的规则。
Quidway#show access-list 100
Using normal packet-filtering access rules now.
100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
100 deny udp any any eq rip (no matches -- rule 3)
例2: 显示接口Serial0上应用规则的情况。
Quidway#show access-list interface serial 0
Serial0:
access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
【相关命令】
access-list
八、show firewall 显示防火墙状态。
show firewall
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
【举例】
显示防火墙状态。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.
TimeRange packet-filtering enable.
InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
2 packets, 104 bytes, 100% permitted defaultly,
0 packets, 0 bytes, 100% denied defaultly.
From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.
【相关命令】
firewall
九、show isintr 显示当前时间是否在时间段之内。
show isintr
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前时间是否在时间段之内。
【举例】
显示当前时间是否在时间段之内。
Quidway#show isintr
It is NOT in time ranges now.
【相关命令】
timerange,settr
十、show timerange 显示时间段包过滤的信息。
show timerange
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
【举例】
显示时间段包过滤的信息。
Quidway#show timerange
TimeRange packet-filtering enable.
beginning of time range:
01:00 - 02:00
03:00 - 04:00
end of time range.
【相关命令】
timerange,settr
十一、timerange 启用或禁止时间段包过滤功能。
timerange { enable | disable }
【参数说明】
enable 表示启用时间段包过滤。
disable 表示禁止采用时间段包过滤。
【缺省情况】
系统缺省为禁止时间段包过滤功能。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。
【举例】
启用时间段包过滤功能。
Quidway(config)#timerange enable
【相关命令】
settr,show timerange
看过文章“思科路由器防火墙如何配置"
浏览量:3
下载量:0
时间:
思科公司制造的路由器、交换机和其他设备承载了全世界80%的互联网通信,成为了网络应用的成功实践者之一,那么你知道怎么配置思科cisco PIX防火墙吗?下面是读文网小编整理的一些关于怎么配置思科cisco PIX防火墙的相关资料,供你参考。
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那中EEPROM,操作系统跟Cisco IOS相似,都是命令行(Command)式。
我第一次亲手那到的防火墙是Cisco Firewall Pix 525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco 路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩展口。
如何开始Cisco Firewall Pix呢?我想应该是跟Cisco 路由器使用差不多吧,于是用配置线从电脑的COM2连到PIX 525的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默然。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。
进入Pix 525采用超级用户(enable),默然密码为空,修改密码用passwd 命令。一般情况下Firewall配置,我们需要做些什么呢?当时第一次接触我也不知道该做些什么,随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用,用于几个小时把几百面的英文书看完了,对命令的使用的知道了一点了,但是对如何配置PIX还是不大清楚该从何入手,我想现在只能去找cisco了,于是在www.cisco.com下载了一些资料,边看边实践了PIX。
防火墙是处网络系统里,因此它跟网络的结构密切相关,一般会涉及的有Route(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。
下面我讲一下一般用到的最基本配置
1、 建立用户和修改密码
跟Cisco IOS路由器基本一样。
2、 激活以太端口
必须用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
3、 命名端口与安全级别
采用命令nameif
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全级别(0安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。
4、 配置以太端口IP 地址
采用命令为:ip address
如:内部网络为:192.168.1.0 255.255.255.0
外部网络为:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
5、 配置远程访问[telnet]
在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
测试telnet
在[开始]->[运行]
telnet 192.168.1.1
PIX passwd:
输入密码:cisco
6、 访问列表(access-list)
此功能与Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80
PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
7、 地址转换(NAT)和端口转换(PAT)
NAT跟路由器基本是一样的,
首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
8、 DHCP Server
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面简单配置DHCP Server,地址段为192.168.1.100—192.168.168.1.200
DNS: 主202.96.128.68 备202.96.144.47
主域名称:abc.com.cn
DHCP Client 通过PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain abc.com.cn
9、 静态端口重定向(Port Redirection with Statics)
在PIX 版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX 传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99 telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.99 FTP,通过PIX重定向到内部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.208 www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.201 HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.5 smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
10、显示与保存结果
采用命令show config
保存采用write memory
看过文章“怎么配置思科cisco PIX防火墙”
浏览量:2
下载量:0
时间:
cisco是全球领先且顶尖的通讯厂商,出产的路由器功能也是很出色的,那么你知道思科ASA5520的怎么基本配置吗?下面是读文网小编整理的一些关于思科ASA5520的怎么基本配置的相关资料,供你参考。
1、 配置接口:interface、名字:nameif、IP address、security-level
nameif 是我们为这个接口指定的具体名字。
security-level表示这个接口的安全等级。一般情况下,可以把企业内部接口的安全等级可以设置的高一点,而企业外部接口的安全等级则可以设置的低一点。如此的话,根据防火墙的访问规则,安全级别高的接口可以防卫安全级别低的接口。也就是说,不需要经过特殊的设置,企业内部网络就可以访问企业外部网络。而如果外部网络访问内部网络,由于是安全级别低的接口访问安全级别高的接口,则必须要要进行一些特殊的设置,如需要访问控制列表的支持
;这里是配置外网的接口,名字是outside,安全级别0,IP地址我隐藏了。输入ISP给您提供的地址就行了。
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address *.*.*.* 255.255.255.0
;这里是配置内网的接口
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.19.12.2 255.255.255.0
!
2、 网络部分设置
global (outside) 1 interface /*所有IP-全部转换成该端口的IP出去,即PAT
nat (inside) 1 0.0.0.0 0.0.0.0 /*表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围
route outside 0.0.0.0 0.0.0.0 *.*.*.* 1 /*设置外网路由的网关,最后的1是路由的跳数
route inside 172.19.74.0 255.255.254.0 172.19.12.1 1 /*设定路由回指到内部的子网
route inside 172.19.76.0 255.255.252.0 172.19.12.1 1
3、 !开启asdm
http server enable
http 0.0.0.0 0.0.0.0 inside
!允许内网用户使用telnet连接防火墙
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
!允许内网用户使用ssh连接防火墙
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 5
看过文章“思科ASA5520的怎么基本配置"
浏览量:2
下载量:0
时间:
cisco思科是全球领先的大品牌,相信很多人也不陌生,那么你知道asa防火墙ipsec 配置吗?下面是读文网小编整理的一些关于asa防火墙ipsec 配置的相关资料,供你参考。
第一步:在外部接口启用IKE协商
crypto isakmp enable outside
第二步:配置isakmp协商策略
isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可
isakmp policy 5 authentication pre-sharehttps://配置认证方式为预共享密钥
isakmp policy 5 encryption deshttps://配置isakmp 策略的加密算法
isakmp policy 5 hash md5 https://配置isakmp 策略的哈希算法
isakmp policy 5 group 2https://配置Diffie-Hellman组
isakmp policy 5 lifetime 86400https://默认的有效时间
第三步:配置需要加密的数据流
192.168.241.0为本地内网地址,10.10.10.0为对方内网地址
access-list ipsec- extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0
第四步:设置到对方私网地址的路由
配置静态路由指向outside接口x.x.x.x为ASA防火墙outside接口地址
route outside 10.10.10.0 255.255.255.0 x.x.x.x
第五步:配置ipsec的数据转换格式集
crypto ipsec transform-set my_trans esp-des esp-none
第六步:建立加密静态映射图
crypto map _to_test 10 match address ipsec-https://配置哪些数据流会启用IPSEC加密
crypto map _to_test 10 set peer x.x.x.xhttps://指定对端地址x.x.x.x为对端公网地址
crypto map _to_test 10 set transform-set my_transhttps://建立加密静态映射图,加密格式引用数据转换格式集my_trans(两边要一致)
第七步:将加密静态映射图应用于外网接口
crypto map _to_test interface outside
第八步:建立IPSEC 隧道组
tunnel-group x.x.x.x type ipsec-l2lhttps://建立IPSEC 隧道组类型
tunnel-group x.x.x.x ipsec-attributeshttps://配置IPSEC 隧道组参数
pre-shared-key *https://配置预共享密钥,两边要一致,否则第一阶段协商不起来
二。IPSEC (client to site)
第一步:配置地址池
ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 https://ipsec拨入后的地址池
第二步:配置隧道分离ACL
access-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any
第三步:配置访问控制ACL
access-list testipsec extended permit ip any 192.168.0.0 255.255.0.0
第四步:配置不走NAT的ACL
access-list nonat- extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0
nat (inside) 0 access-list nonat-https:// 不走NAT
crypto isakmp enable outsidehttps://在外部接口启用IKE协商
第五步:配置IKE策略
isakmp policy 5 authentication pre-sharehttps://配置认证方式为预共享密钥
isakmp policy 5 encryption deshttps://配置isakmp 策略的加密算法
isakmp policy 5 hash md5 https://配置isakmp 策略的哈希算法
isakmp policy 5 group 2https://配置Diffie-Hellman组
isakmp policy 5 lifetime 86400https://默认的有效时间
第六步:配置组策略
group-policy ipsectest internalhttps://配置组策略
group-policy ipsectest attributeshttps://配置组策略属性
-filter value testipsechttps://设置访问控制
-tunnel-protocol IPSec https://配置隧道协议
split-tunnel-policy tunnelspecifiedhttps://建立隧道分离策略
split-tunnel-network-list value split-sslhttps://配置隧道分离,相当于推送一张路由表
第七步:设置隧道组
tunnel-group ipsectest type remote-accesshttps://设置隧道组类型
tunnel-group ipsectest general-attributeshttps://设置隧道组属性
address-pool testipsechttps://设置地址池
default-group-policy ipsectesthttps://指定默认的组策略
tunnel-group ipsectest ipsec-attributeshttps://设置 远程登入(即使用隧道分离)的ipsec属性
pre-shared-key *https://设置共享密钥
1.查看IPSEC 的相关信息基本命令
show crypto isakmp sa https://查看IPSEC isakmp(IPSEC第一阶段)协商的结果
show crypto ipsec sa peer X.X.X.X https://查看IPSEC 会话的相关信息(IPSEC第二阶段)debug crypto ipsec
https://ipsec site to site建立不起来的时候可使用debug命令来获取相关错误信息,通常ASA设备的CPU利用率都比较低,debug命令可放心使用,具体情况区别对待
IPSEC第一阶段协商不起来的常见原因:
peer路由不通
crypto iskmp key没有设置或者不一致
isakmp的策略(IKE策略)不匹配
IPSEC第二阶段协商不起来的常见原因:
IPSEC加密流不对称
Ipsec协商参数不一致
2.IPSEC ipsec site to site需要注意的问题
ipsec会话有默认的时间限制,到默认的时间后会话会失效重新建立,当两端设备类型不一致时,两边的会话的默认到期时间由于不一致将会导致问题,这个参数不影响IPSEC 的建立,但是当一边到期后,另外一边ipsecsession保留在那里,而发起访问的服务器是从保留session的那一端过来的话,将不会重新建立新的ipsec会话。当两端设备不一样时需要注意,kilobytes这个参数是说传输完多少数据后ipsecsession到期,seconds指的是多长时间后会话到期。
可在全局模式下配置:
crypto ipsec security-association lifetime kilobytes *
crypto ipsec security-association lifetime seconds *
也可在加密静态映射图
crypto map abcmap 1 set security-association lifetime seconds *
crypto map abcmap 1 set security-association lifetime kilobytes *
看过文章“asa防火墙ipsec 配置”
浏览量:2
下载量:0
时间:
思科拥有丰富的行业经验、先进的技术,路由器功能也在世界遥遥领先,那么你知道如何配置思科ASA防护墙Web吗?下面是读文网小编整理的一些关于如何配置思科ASA防护墙Web的相关资料,供你参考。
1,ASA 的基本配置:
Archasa(config)# int e0/0
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# int e0/1
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# web
Archasa(config-web)# enable outside
Archasa(config-web)# svc image disk0:/sslclient-win-1.1.2.169.pkg
Archasa(config-web)# svc enable
#上述配置是在外网口上启动WEB ,并同时启动SSL 功能
2、SSL 配置准备工作
#创建SSL 用户地址池
Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50
#配置SSL 数据流不做NAT翻译
Archasa(config)# access-list go- permit ip 172.20.50.0 255.255.255.0 10.10.10.0 255.255.255.0
Archasa(config)# nat (inside) 0 access-list go-
3、WEB 隧道组与策略组的配置
#创建名为myssl-group-policy 的组策略
Archasa(config)# group-policy myssl-group-policy internal
Archasa(config)# group-policy myssl-group-policy attributes
Archasa(config-group-policy)# -tunnel-protocol web
Archasa(config-group-policy)# web
#在组策略中启用SSL
Archasa(config-group-web)# svc enable
Archasa(config-group-web)# exit
Archasa(config-group-policy)# exit
Archasa(config)#
#创建SSL 用户
Archasa(config-web)# username test password woaicisco
#把myssl-group-plicy 策略赋予用户test
Archasa(config)# username test attributes
Archasa(config-username)# -group-policy myssl-group-policy
Archasa(config-username)# exit
Archasa(config)# tunnel-group myssl-group type web
Archasa(config)# tunnel-group myssl-group general-attributes
#使用用户地址池
Archasa(config-tunnel-general)# address-pool ssl-user
Archasa(config-tunnel-general)# exit
Archasa(config)# tunnel-group myssl-group web-attributes
Archasa(config-tunnel-web)# group-alias group2 enable
Archasa(config-tunnel-web)# exit
Archasa(config)# web
Archasa(config-web)# tunnel-group-list enable
4、配置SSL 隧道分离
#注意,SSL 隧道分离是可选取的,可根据实际需求来做。
#这里的源地址是ASA 的INSIDE 地址,目标地址始终是ANY
Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
Archasa(config)# group-policy myssl-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
基本上整个配置就完成了,下面可以进行测试:在浏览器中输入
https://192.168.0.1
访问WEB,在随后弹出的对话框中输入用户名和密码单击登陆。这时系统会弹出要求安装SSL CLIENT 程序,单击“YES”,系统自动安装并连接SSL ,在SSL 连通之后在您的右下角的任务栏上会出现一个小钥匙状,你可以双击打开查看其状态。
看过文章“如何配置思科ASA防护墙Web"
浏览量:2
下载量:0
时间:
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。下面是读文网小编带来如何配置硬件防火墙的内容,欢迎阅读!
1、 打开ChinaDDOS DIY硬防的内核下载一个适合的版本,这里我下载的是V3.1BETA01的最新版本。
2、 将下载的RAR文件解压缩,得到ISO光盘镜像文件。
3、 将镜像文件刻录至光盘。
安装防火墙内核
将内核安装光盘准备好后,确认硬盘或电子盘连接到了IDE1的MASTER位置后,在防火墙平台上连接好光驱,接通防火墙平台电源,把上一步准备好的内核安装光盘放入光驱。启动防火墙平台。
1、 屏幕显示如下图,等待内核安装光盘引导一会后(屏幕上快速闪过整屏的英文),将停留在下图的位置:
2、 按回车键继续安装, 屏幕显示如左图,出现三个选择项目:
① 安装防火墙内核,
② 开始一个命令行,
③ 重新启动系统。
3、 这里我们选择1并回车。回车后出现如右图。选择一个内核安装源文件的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc,于是我键入hdc后回车。
4、 屏幕出现绿色done字样,表示安装光盘识别成功。又提示安装的目标驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had,这里如果系统没有自动识别到硬盘或电子盘,请检查电子盘或硬盘是不是正确安装到了IDE1的MASTER位置。我键入had后回车。
5、 键入had后,屏幕提示"正在将防火墙内核从hdc安装到had……",这里需要等待2分钟左右。安装工作正在进行。
6、 直到屏幕上出现"Install completed!"字样,表示安装已结束。这时按回车键返回。
7、 重新回到选择菜单后,选择3重新启动防火墙平台,记得将光盘从光驱中取出。这样,防火墙的安装就完成了。
浏览量:3
下载量:0
时间:
win防火墙如果想要配置下!你会不会呢?下面由读文网小编给你做出详细的win防火墙配置方法介绍!希望对你有帮助!
在【控制面板】窗口中双击【windows 防火墙】图标,打开【windows 防火墙】对话框。
选择【例外】选项卡,在其中即可阻止除了选定程序和服务之外的传入网络连接。
在windows防火墙中,可以重新设置指定的服务和程序的属性,以逃避攻击。在【例外】选项卡下【程序和服务】列表中勾选【远程桌面】复选框,单击【编辑】按钮,打开【编辑服务】对话框,在其中即可看到【远程桌面】服务的当前属性。
单击【更改范围】按钮,打开【更改范围】对话框。在其中选择【仅我的网络】单选按钮,这样同一个子网上的计算机可以与此计算机上的程序连接,但拒绝远程网络的通信
利用windows系统自带防火墙的【安全日记记录】功能,可以创建用于观察计算机成功的数据连接和被丢弃的数据包。以便分析计算机安全状况。在【windows 防火墙】对话框中选择【高级】选项卡,在其中即可看到【安全日志记录】功能
在“安全日志记录”栏目中单击【设置】按钮,打开【日志设置】对话框。勾选【记录被丢弃的数据包】复选框,单击【另存为】按钮重新设置日志文件的保存位置和名称,最后设置日志文件的大小。
网络上的计算机通过internet控制信息协议可能共享错误的状态信息,所以为了保证计算机的一些错误信息不会对外泄露,可以在【高级】选项卡下的【icmp设置】对话框,在其中勾选相应的复选框即可。
看了“ win防火墙如何配置”文章的还看了:
浏览量:3
下载量:0
时间:
ftp对于我们电脑来说是很重要的!那么win7防火墙如何配置ftp服务器呢?下面由读文网小编给你做出详细的win7防火墙配置ftp方法介绍!希望对你有帮助!
1、打开 "控制面板",选择"程序" -> "打开或关闭Windows资源",在弹出的窗体里找到 “Internet信息服务”,展开后选择“Ftp服务器",然后点击"确定",此时Windows开始更新功能资源列表。
2、更新完成后,进入"控制面板" -> "系统和安全" -> "管理工具" ,双击 "Internet 信息服务(IIS)管理器"。在弹出的窗体中右键点击你的计算机名称,选择添加FTP站点。
在弹出的对话框中输入Ftp站点的名称(例如"myFtp"),物理路径(例如"d:myFtp"),点击 "下一步".在"IP地址"框中输入本机的IP地址(例如本机IP地址为192.168.1.100)
然后点"下一步",(注:此步操作时要根据实际情况,慎重配置),由于本人局域网中的安全问题没有过于敏感的信息,因此在身份验证中选中"匿名",并允许所有用户访问,执行读和写的操作权限。最后点击完成。
3、配置防火墙,以便其它用户通过局域网中其它计算机访问本计算机中的Ftp资源。进入"控制面板" -> "系统和安全" - > "允许程序通过防火墙" -> 钩上FTP及后面两个框选上。
浏览量:2
下载量:0
时间:
ubuntu防火墙该怎么样去配置呢?才能发挥最大功效?下面由读文网小编给你做出详细的ubuntu防火墙配置说明介绍!希望对你有帮助!
(1)查看本机关于IPTABLES的设置情况
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
如果你在安装linux时没有选择启动防火墙,是这样的
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么规则都没有.
(2)清除原有规则.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则
我们在来看一下
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp ~]# service iptables restart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
[root@tp ~]# iptables -p INPUT DROP
[root@tp ~]# iptables -p OUTPUT ACCEPT
[root@tp ~]# iptables -p FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.
怎么办,去本机操作呗!
(4)添加规则.
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)
如果做了WEB服务器,开启80端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果做了邮件服务器,开启25,110端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
如果做了DNS服务器,开启53端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
如果你还做了其他的服务器,需要开启哪个端口,照写就行了.
上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
允许icmp包通过,也就是允许ping,
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)
允许loopback!(不然会导致DNS无法正常关闭等问题)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.
减少不安全的端口连接
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会
还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料.
当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加
允许SSH登陆一样.照着写就行了.
下面写一下更加细致的规则,就是限制到某台机器
如:我们只允许192.168.0.3的机器进行SSH连接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.
或采用命令方式:
[root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT
然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样写 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的规则连接也一样这么设置.
在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丢弃坏的TCP包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
处理IP碎片数量,防止攻击,允许每秒100个
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
我在前面只所以允许ICMP包通过,就是因为我在这里有限制.
二,配置一个NAT表放火墙
1,查看本机关于NAT的设置情况
[root@tp rc.d]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.0.0/24 anywhere to:211.101.46.235
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章
当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的
如果你想清除,命令是
[root@tp ~]# iptables -F -t nat
[root@tp ~]# iptables -X -t nat
[root@tp ~]# iptables -Z -t nat
2,添加规则
添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),
添加规则,我们只添加DROP链.因为默认链全是ACCEPT.
防止外网用内网IP欺骗
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
例:
禁止与211.101.46.253的所有连接
[root@tp ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP
禁用FTP(21)端口
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP
这样写范围太大了,我们可以更精确的定义.
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -d 211.101.46.253 -j DROP
这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.
按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.
最后:
drop非法连接
[root@tp ~]# iptables -A INPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables-A FORWARD -m state --state INVALID -j DROP
允许所有已经建立的和相关的连接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp ~]# service iptables restart
看了“ubuntu防火墙如何配置好 ”文章的还看了:
浏览量:6
下载量:0
时间:
linux防火墙对于我们来说是非常重要的!那么我们要怎么样去配置呢?下面由读文网小编给你做出详细的linux防火墙配置方法介绍!希望对你有帮助!
虚拟机下可以不用设置或者开启防火墙。
简单介绍Linux系统防火墙检查、开启和关闭。
ping测试必须在关闭Linux防火墙的条件下进行,否则可能失败。
查看防火墙信息:
#/etc/init.d/iptables status
防火墙重启:
#/etc/init.d/iptables restart
关闭开启防火墙服务(不建议永久关闭防火墙):
永久生效:chkconfig iptables on/off(重启生效)
即时生效:service iptables start/stop(重启失效)
永久关闭防火墙也可以这样:
#chkconfig --level 35 iptables off
#chkconfig -level 35 iptables off
也可以直接修改 /etc/sysconfig/iptables 添加一条
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT。
看了“linux防火墙如何配置 ”文章的还看了:
浏览量:2
下载量:0
时间: