『壹』 如何設置思科5512防火牆,怎麼連接,怎麼打開設置界面,麻煩說清楚點,謝謝
既然後上cisco設備了,干嗎還能用到web設置界面
都是命令行配置啊
何況web界面配置起來很麻煩,不如命令行方便
樓主可以網上找些教程,要是功能要求不多的話
自己看看教程,應該可以完成NAT和防控列表之類的配置
PS:還沒有見過在web界面下配置ASA防火牆的經歷,貌似也沒見網上有相關教程
『貳』 思科 501 防火牆的配置問題
硬體防火牆,是網路間的牆,防止非法侵入,過濾信息等,從結構上講,簡單地說是一種PC式的電腦主機加上快閃記憶體(Flash)和防火牆操作系統。它的硬體跟共控機差不多,都是屬於能適合24小時工作的,外觀造型也是相類似。快閃記憶體基本上跟路由器一樣,都是那中EEPROM,操作系統跟Cisco IOS相似,都是命令行(Command)式。
我第一次親手那到的防火牆是Cisco Firewall Pix 525,是一種機架式標准(即能安裝在標準的機櫃里),有2U的高度,正面看跟Cisco 路由器一樣,只有一些指示燈,從背板看,有兩個以太口(RJ-45網卡),一個配置口(console),2個USB,一個15針的Failover口,還有三個PCI擴展口。
如何開始Cisco Firewall Pix呢?我想應該是跟Cisco 路由器使用差不多吧,於是用配置線從電腦的COM2連到PIX 525的console口,進入PIX操作系統採用windows系統里的「超級終端」,通訊參數設置為默然。初始使用有一個初始化過程,主要設置:Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網卡IP地址)、domain(主域)等,如果以上設置正確,就能保存以上設置,也就建立了一個初始化設置了。
進入Pix 525採用超級用戶(enable),默然密碼為空,修改密碼用passwd 命令。一般情況下Firewall配置,我們需要做些什麼呢?當時第一次接觸我也不知道該做些什麼,隨設備一起來的有《硬體的安裝》和《命令使用手冊》。我首先看了命令的使用,用於幾個小時把幾百面的英文書看完了,對命令的使用的知道了一點了,但是對如何配置PIX還是不大清楚該從何入手,我想現在只能去找cisco了,於是在www.cisco.com下載了一些資料,邊看邊實踐了PIX。
防火牆是處網路系統里,因此它跟網路的結構密切相關,一般會涉及的有Route(路由器)、網路IP地址。還有必須清楚標準的TCP[RFC793]和UDP[RFC768]埠的定義。
下面我講一下一般用到的最基本配置
1、 建立用戶和修改密碼
跟Cisco IOS路由器基本一樣。
2、 激活以太埠
必須用enable進入,然後進入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默然情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside, inside在初始化配置成功的情況下已經被激活生效了,但是outside必須命令配置激活。
3、 命名埠與安全級別
採用命令nameif
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet0 outside security100
security0是外部埠outside的安全級別(0安全級別最高)
security100是內部埠inside的安全級別,如果中間還有以太口,則security10,security20等等命名,多個網卡組成多個網路,一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)。
4、 配置以太埠IP 地址
採用命令為:ip address
如:內部網路為:192.168.1.0 255.255.255.0
外部網路為:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
5、 配置遠程訪問[telnet]
在默然情況下,PIX的以太埠是不允許telnet的,這一點與路由器有區別。Inside埠可以做telnet就能用了,但outside埠還跟一些安全配置有關。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
測試telnet
在[開始]->[運行]
telnet 192.168.1.1
PIX passwd:
輸入密碼:cisco
6、 訪問列表(access-list)
此功能與Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny兩個功能,網路協議一般有IP|TCP|UDP|ICMP等等,如:只允許訪問主機:222.20.16.254的www,埠為:80
PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
7、 地址轉換(NAT)和埠轉換(PAT)
NAT跟路由器基本是一樣的,
首先必須定義IP Pool,提供給內部IP地址轉換的地址段,接著定義內部網段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是內部全部地址都可以轉換出去則:
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
則某些情況下,外部地址是很有限的,有些主機必須單獨佔用一個IP地址,必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令,這種稱為(PAT),這樣就能解決更多用戶同時共享一個IP,有點像代理伺服器一樣的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
8、 DHCP Server
在內部網路,為了維護的集中管理和充分利用有限IP地址,都會啟用動態主機分配IP地址伺服器(DHCP Server),Cisco Firewall PIX都具有這種功能,下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.168.1.200
DNS: 主202.96.128.68 備202.96.144.47
主域名稱:abc.com.cn
DHCP Client 通過PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain abc.com.cn
9、 靜態埠重定向(Port Redirection with Statics)
在PIX 版本6.0以上,增加了埠重定向的功能,允許外部用戶通過一個特殊的IP地址/埠通過Firewall PIX 傳輸到內部指定的內部伺服器。這種功能也就是可以發布內部WWW、FTP、Mail等伺服器了,這種方式並不是直接連接,而是通過埠重定向,使得內部伺服器很安全。
命令格式:
static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用戶直接訪問地址222.20.16.99 telnet埠,通過PIX重定向到內部主機192.168.1.99的telnet埠(23)。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.99 FTP,通過PIX重定向到內部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.208 www(即80埠),通過PIX重定向到內部192.168.123的主機的www(即80埠)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.201 HTTP(8080埠),通過PIX重定向到內部192.168.1.4的主機的www(即80埠)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.5 smtp(25埠),通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25埠)
PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
10、顯示與保存結果
採用命令show config
保存採用write memory
今天我們來介紹pix防火牆的一些高級配置。
配置靜態IP地址翻譯(static):
如果從外網發起一個會話,會話的目的地址是一個內網的ip地址,static就把內部地址翻譯成一個指定的全局地址,允許這個會話建立。
static命令配置語法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address,其中internal_if_name表示內部網路介面,安全級別較高。如inside.。external_if_name為外部網路介面,安全級別較低,如outside等。
outside_ip_address為正在訪問的較低安全級別的介面上的ip地址。inside_ ip_address為內部網路的本地ip地址。 示例語句如下:
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
ip地址為192.168.0.8的主機,對於通過pix防火牆建立的每個會話,都被翻譯成61.144.51.62這個全局地址,也可以理解成 static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。PIX將把192.168.0.8映射為61.144.51.62以便NAT更好的工作。
小提示:
使用static命令可以讓我們為一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠為具有較低安全級別的指定介面創建一個入口,使它們可以進入到具有較高安全級別的指定介面。
管道命令(conit):
使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射,但從外部到內部介面的連接仍然會被pix防火牆的自適應安全演算法 (ASA)阻擋,conit命令用來允許數據流從具有較低安全級別的介面流向具有較高安全級別的介面,例如允許從外部到DMZ或內部介面的入方向的會話。
對於向內部介面的連接,static和conit命令將一起使用,來指定會話的建立。說得通俗一點管道命令(conit)就相當於以往CISCO設備的訪問控制列表(ACL)。
conit命令配置語法:
conit permit|deny global_ip port[-port] protocol foreign_ip [netmask],其中permit|deny為允許|拒絕訪問,global_ip指的是先前由global或static命令定義的全局ip地址,如果global_ip為0,就用any代替0;如果global_ip是一台主機,就用host命令參數。
port指的是服務所作用的埠,例如www使用80,smtp使用25等等,我們可以通過服務名稱或埠數字來指定埠。protocol指的是連接協議,比如:TCP、UDP、ICMP等。foreign_ip表示可訪問global_ip的外部ip。對於任意主機可以用any表示。如果 foreign_ip是一台主機,就用host命令參數。示例語句如下:
Pix525(config)#conit permit tcp host 192.168.0.8 eq www any
表示允許任何外部主機對全局地址192.168.0.8的這台主機進行http訪問。其中使用eq和一個埠來允許或拒絕對這個埠的訪問。Eq ftp就是指允許或拒絕只對ftp的訪問。
Pix525(config)#conit deny tcp any eq ftp host 61.144.51.89
設置不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
Pix525(config)#conit permit icmp any any
設置允許icmp消息向內部和外部通過。
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conit permit tcp host 61.144.51.62 eq www any
這兩句是將static和conit語句結合而生效的,192.168.0.3在內網是一台web伺服器,現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射把內部IP192.168.0.3轉換為全局IP61.144.51.62,然後利用conit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。
小提示:
對於上面的情況不使用conit語句設置容許訪問規則是不可以的,因為默認情況下PIX不容許數據包主動從低安全級別的埠流向高安全級別的埠。
配置fixup協議:
fixup命令作用是啟用,禁止,改變一個服務或協議通過pix防火牆,由fixup命令指定的埠是pix防火牆要偵聽的服務。示例例子如下:
Pix525(config)#fixup protocol ftp 21
啟用ftp協議,並指定ftp的埠號為21
Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
為http協議指定80和1080兩個埠。
Pix525(config)#no fixup protocol smtp 80
禁用smtp協議。
設置telnet:
在pix5.0之前只能從內部網路上的主機通過telnet訪問pix。在pix 5.0及後續版本中,可以在所有的介面上啟用telnet到pix的訪問。當從外部介面要telnet到pix防火牆時,telnet數據流需要用 ipsec提供保護,也就是說用戶必須配置pix來建立一條到另外一台pix,路由器或vpn客戶端的ipsec隧道。另外就是在PIX上配置SSH,然後用SSH client從外部telnet到PIX防火牆。
我們可以使用telnet語句管理登錄PIX的許可權,telnet配置語法:telnet local_ip [netmask] local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項,pix的配置方式只能由console進行。也就是說默認情況下只有通過 console口才能配置PIX防火牆。
小提示:
由於管理PIX具有一定的危險性,需要的安全級別非常高,所以不建議大家開放提供外網IP的telnet管理PIX的功能。如果實際情況一定要通過外網IP管理PIX則使用SSH加密手段來完成。
『叄』 思科ASA5505防火牆配置問題
建議你到ITAA學習組上問問。他們應該會給你一個滿意的回答的。
『肆』 cisco asa5505 web管理的配置
你把那個管理IP配置在ethernet埠也可以呀,方法一樣的!
還要配置vty和console密碼,和特權密碼!
『伍』 如何用WEB方式訪問CISCO設備
路由器交換機,需要敲入命令ip http server
ASA防火牆用SDM客戶端軟體訪問,類似web,要安裝軟體
其他設備比如無線控制器,call-manager這種都是自帶web的,無需特別設置。
訪問的時候瀏覽器里http://x.x.x.x即可,x.x.x.x是設備管理IP
『陸』 CISCO防火牆配置及詳細介紹
在眾多的企業級主流防火牆中,cisco pix防火牆是所有同類產品性能最好的一種。cisco pix系列防火牆目前有5種型號pix506,515,520,525,535。其中pix535是pix 500系列中最新,功能也是最強大的一款。它可以提供運營商級別的處理能力,適用於大型的isp等服務提供商。但是pix特有的os操作系統,使得大多數管理是通過命令行來實現的,不象其他同類的防火牆通過web管理界面來進行網路管理,這樣會給初學者帶來不便。本文將通過實例介紹如何配置cisco pix防火牆。
在配置pix防火牆之前,先來介紹一下防火牆的物理特性。防火牆通常具有至少3個介面,但許多早期的防火牆只具有2個介面;當使用具有3個介面的防火牆時,就至少產生了3個網路,描述如下:
�0�3 內部區域(內網)。 內部區域通常就是指企業內部網路或者是企業內部網路的一部分。它是互連網路的信任區域,即受到了防火牆的保護。
�0�3 外部區域(外網)。 外部區域通常指internet或者非企業內部網路。它是互連網路中不被信任的區域,當外部區域想要訪問內部區域的主機和服務,通過防火牆,就可以實現有限制的訪問。
�0�3 停火區(dmz)。 停火區是一個隔離的網路,或幾個網路。位於停火區中的主機或伺服器被稱為堡壘主機。一般在停火區內可以放置web伺服器,mail伺服器等。停火區對於外部用戶通常是可以訪問的,這種方式讓外部用戶可以訪問企業的公開信息,但卻不允許他們訪問企業內部網路。注意:2個介面的防火牆是沒有停火區的。
由於pix535在企業級別不具有普遍性,因此下面主要說明pix525在企業網路中的應用。
pix防火牆提供4種管理訪問模式:
非特權模式。 pix防火牆開機自檢後,就是處於這種模式。系統顯示為pixfirewall>
特權模式。 輸入enable進入特權模式,可以改變當前配置。顯示為pixfirewall#
配置模式。 輸入configure terminal進入此模式,絕大部分的系統配置都在這里進行。顯示為pixfirewall(config)#
監視模式。 pix防火牆在開機或重啟過程中,按住escape鍵或發送一個「break」字元,進入監視模式。這里可以更新操作系統映象和口令恢復。顯示為monitor>
配置pix防火牆有6個基本命令:nameif,interface,ip address,nat,global,route.
這些命令在配置pix是必須的。以下是配置的基本步驟:
1. 配置防火牆介面的名字,並指定安全級別(nameif)。
pix525(config)#nameif ethernet0 outside security0
pix525(config)#nameif ethernet1 inside security100
pix525(config)#nameif dmz security50
提示:在預設配置中,乙太網0被命名為外部介面(outside),安全級別是0;乙太網1被命名為內部介面(inside),安全級別是100.安全級別取值范圍為1~99,數字越大安全級別越高。若添加新的介面,語句可以這樣寫:
pix525(config)#nameif pix/intf3 security40 (安全級別任取)
2. 配置以太口參數(interface)
pix525(config)#interface ethernet0 auto(auto選項表明系統自適應網卡類型 )
pix525(config)#interface ethernet1 100full(100full選項表示100mbit/s乙太網全雙工通信 )
pix525(config)#interface ethernet1 100full shutdown (shutdown選項表示關閉這個介面,若啟用介面去掉shutdown )
3. 配置內外網卡的ip地址(ip address)
pix525(config)#ip address outside 61.144.51.42 255.255.255.248
pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明顯,pix525防火牆在外網的ip地址是61.144.51.42,內網ip地址是192.168.0.1
4. 指定要進行轉換的內部地址(nat)
網路地址翻譯(nat)作用是將內網的私有ip轉換為外網的公有ip.nat命令總是與global命令一起使用,這是因為nat命令可以指定一台主機或一段范圍的主機訪問外網,訪問外網時需要利用global所指定的地址池進行對外訪問。nat命令配置語法:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示內網介面名字,例如inside. nat_id用來標識全局地址池,使它與其相應的global命令相匹配,local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。[netmark]表示內網ip地址的子網掩碼。
例1.pix525(config)#nat (inside) 1 0 0
表示啟用nat,內網的所有主機都可以訪問外網,用0可以代表0.0.0.0
例2.pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0這個網段內的主機可以訪問外網。
5. 指定外部地址范圍(global)
global命令把內網的ip地址翻譯成外網的ip地址或一段地址范圍。global命令的配置語法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外網介面名字,例如outside.。nat_id用來標識全局地址池,使它與其相應的nat命令相匹配,ip_address-ip_address表示翻譯後的單個ip地址或一段ip地址范圍。[netmark global_mask]表示全局ip地址的網路掩碼。
例1. pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示內網的主機通過pix防火牆要訪問外網時,pix防火牆將使用61.144.51.42-61.144.51.48這段ip地址池為要訪問外網的主機分配一個全局ip地址。
例2. pix525(config)#global (outside) 1 61.144.51.42
表示內網要訪問外網時,pix防火牆將為訪問外網的所有主機統一使用61.144.51.42這個單一ip地址。
例3. pix525(config)#no global (outside) 1 61.144.51.42
表示刪除這個全局表項。
6. 設置指向內網和外網的靜態路由(route)
定義一條靜態路由。route命令配置語法:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示介面名字,例如inside,outside。gateway_ip表示網關路由器的ip地址。[metric]表示到gateway_ip的跳數。通常預設是1。
例1. pix525(config)#route outside 0 0 61.144.51.168 1
表示一條指向邊界路由器(ip地址61.144.51.168)的預設路由。
例2. pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果內部網路只有一個網段,按照例1那樣設置一條預設路由即可;如果內部存在多個網路,需要配置一條以上的靜態路由。上面那條命令表示創建了一條到網路10.1.1.0的靜態路由,靜態路由的下一條路由器ip地址是172.16.0.1
這6個基本命令若理解了,就可以進入到pix防火牆的一些高級配置了。
a. 配置靜態ip地址翻譯(static)
如果從外網發起一個會話,會話的目的地址是一個內網的ip地址,static就把內部地址翻譯成一個指定的全局地址,允許這個會話建立。static命令配置語法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示內部網路介面,安全級別較高。如inside. external_if_name為外部網路介面,安全級別較低。如outside等。outside_ip_address為正在訪問的較低安全級別的介面上的ip地址。inside_ ip_address為內部網路的本地ip地址。
例1. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
表示ip地址為192.168.0.8的主機,對於通過pix防火牆建立的每個會話,都被翻譯成61.144.51.62這個全局地址,也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。
例2. pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3. pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注釋同例1。通過以上幾個例子說明使用static命令可以讓我們為一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠為具有較低安全級別的指定介面創建一個入口,使它們可以進入到具有較高安全級別的指定介面。
b. 管道命令(conit)
前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射,但從外部到內部介面的連接仍然會被pix防火牆的自適應安全演算法(asa)阻擋,conit命令用來允許數據流從具有較低安全級別的介面流向具有較高安全級別的介面,例如允許從外部到dmz或內部介面的入方向的會話。對於向內部介面的連接,static和conit命令將一起使用,來指定會話的建立。
conit命令配置語法:
conit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允許 | 拒絕訪問
global_ip 指的是先前由global或static命令定義的全局ip地址,如果global_ip為0,就用any代替0;如果global_ip是一台主機,就用host命令參數。
port 指的是服務所作用的埠,例如www使用80,smtp使用25等等,我們可以通過服務名稱或埠數字來指定埠。
protocol 指的是連接協議,比如:tcp、udp、icmp等。
foreign_ip 表示可訪問global_ip的外部ip。對於任意主機,可以用any表示。如果foreign_ip是一台主機,就用host命令參數。
例1. pix525(config)#conit permit tcp host 192.168.0.8 eq www any
這個例子表示允許任何外部主機對全局地址192.168.0.8的這台主機進行http訪問。其中使用eq和一個埠來允許或拒絕對這個埠的訪問。eq ftp 就是指允許或拒絕只對ftp的訪問。
例2. pix525(config)#conit deny tcp any eq ftp host 61.144.51.89
表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
例3. pix525(config)#conit permit icmp any any
表示允許icmp消息向內部和外部通過。
例4. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
pix525(config)#conit permit tcp host 61.144.51.62 eq www any
這個例子說明static和conit的關系。192.168.0.3在內網是一台web伺服器,現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射:192.168.0.3->61.144.51.62(全局),然後利用conit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。
c. 配置fixup協議
fixup命令作用是啟用,禁止,改變一個服務或協議通過pix防火牆,由fixup命令指定的埠是pix防火牆要偵聽的服務。見下面例子:
例1. pix525(config)#fixup protocol ftp 21
啟用ftp協議,並指定ftp的埠號為21
例2. pix525(config)#fixup protocol http 80
pix525(config)#fixup protocol http 1080
為http協議指定80和1080兩個埠。
例3. pix525(config)#no fixup protocol smtp 80
禁用smtp協議。
d. 設置telnet
telnet有一個版本的變化。在pix os 5.0(pix操作系統的版本號)之前,只能從內部網路上的主機通過telnet訪問pix。在pix os 5.0及後續版本中,可以在所有的介面上啟用telnet到pix的訪問。當從外部介面要telnet到pix防火牆時,telnet數據流需要用ipsec提供保護,也就是說用戶必須配置pix來建立一條到另外一台pix,路由器或vpn客戶端的ipsec隧道。另外就是在pix上配置ssh,然後用ssh client從外部telnet到pix防火牆,pix支持ssh1和ssh2,不過ssh1是免費軟體,ssh2是商業軟體。相比之下cisco路由器的telnet就作的不怎麼樣了。
telnet配置語法:telnet local_ip [netmask]
local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項,pix的配置方式只能由console進行。
說了這么多,下面給出一個配置實例供大家參考。
welcome to the pix firewall
type help or 』?』 for a list of available commands.
pix525> en
password:
pix525#sh config
: saved
:
pix version 6.0(1) ------ pix當前的操作系統版本為6.0
nameif ethernet0 outside security0
nameif ethernet1 inside security100 ------ 顯示目前pix只有2個介面
enable password 7y051hhccoirtsqz encrypted
passed 7y051hhccoirtsqz encrypted ------ pix防火牆密碼在默認狀態下已被加密,在配置文件中不會以明文顯示,telnet 密碼預設為cisco
hostname pix525 ------ 主機名稱為pix525
domain-name 123.com ------ 本地的一個域名伺服器123.com,通常用作為外部訪問
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 當前啟用的一些服務或協議,注意rsh服務是不能改變埠號
names ------ 解析本地主機名到ip地址,在配置中可以用名字代替ip地址,當前沒有設置,所以列表為空
pager lines 24 ------ 每24行一分頁
interface ethernet0 auto
interface ethernet1 auto ------ 設置兩個網卡的類型為自適應
mtu outside 1500
mtu inside 1500 ------ 乙太網標準的mtu長度為1500位元組
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外網的ip地址61.144.51.42,內網的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix入侵檢測的2個命令。當有數據包具有攻擊或報告型特徵碼時,pix將採取報警動作(預設動作),向指定的日誌記錄主機產生系統日誌消息;此外還可以作出丟棄數據包和發出tcp連接復位信號等動作,需另外配置。
pdm history enable ------ pix設備管理器可以圖形化的監視pix
arp timeout 14400 ------ arp表的超時時間
global (outside) 1 61.144.51.46 ------ 如果你訪問外部論壇或用qq聊天等等,上面顯示的ip就是這個
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conit permit icmp any any
conit permit tcp host 61.144.51.43 eq www any
conit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43這個ip地址提供domain-name服務,而且只允許外部用戶訪問domain的udp埠
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部網關61.144.51.61
timeout xlate 3:00:00 ------ 某個內部設備向外部發出的ip包經過翻譯(global)後,在預設3個小時之後此數據包若沒有活動,此前創建的表項將從翻譯表中刪除,釋放該設備佔用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ aaa認證的超時時間,absolute表示連續運行uauth定時器,用戶超時後,將強制重新認證
aaa-server tacacs+ protocol tacacs+
aaa-server radius protocol radius ------ aaa伺服器的兩種協議。aaa是指認證,授權,審計。pix防火牆可以通過aaa伺服器增加內部網路的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由於沒有設置snmp工作站,也就沒有snmp工作站的位置和聯系人
no snmp-server enable traps ------ 發送snmp陷阱
floodguard enable ------ 防止有人偽造大量認證請求,將pix的aaa資源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh訪問pix的超時時間
terminal width 80
cryptochecksum:
pix525#
pix525#write memory ------ 將配置保存
上面這個配置實例需要說明一下,pix防火牆直接擺在了與internet介面處,此處網路環境有十幾個公有ip,可能會有朋友問如果我的公有ip很有限怎麼辦?你可以添加router放在pix的前面,或者global使用單一ip地址,和外部介面的ip地址相同即可。另外有幾個維護命令也很有用,show interface查看埠狀態,show static查看靜態地址映射,show ip查看介面ip地址,ping outside | inside ip_address確定連通性。
『柒』 如何讀取cisco防火牆的配置,我需要先讀出來保存。
web伺服器置於防火牆之內:
一些管理者為了提高web伺服器的安全性能,將防火牆加在web伺服器上,以增強web伺服器的安全性能,這樣做的缺點就是,一旦web伺服器出現問題,整個組織網路就暴露在危險之中了。
所有的防火牆配置都要根據實際情況來操作,不能一概而論,也可以綜合多種情況出一個合理的規劃。
『捌』 如何在區域網內登入cisco防火牆進行配置,有什麼軟體嗎
要想通過https://*.*.*.*(防火牆地址) 必須要通過超級連接 在全局模式下 enable ip http server services.這樣才可以
『玖』 思科ASA5512防火牆如何使用WEB設置
https://192.168.1.1 要安裝java6 W7的話要要讓ASA打開3des才能打開。
『拾』 思科防火牆,內網如何訪問自己的公網IP 如何配置
通過別名alias
命令解決(如
WEB伺服器
)
static
(inside,outside
)
60.28.59.XXX
192.168.1.XXX
netmask
255.255.255.255
access-list
100
extended
permit
tcp
any
host
60.28.59.XXX
eq
80
access-group
100
in
interface
ousidealias
(inside)
192.168.1.XXX
60.28.59.XXX
255.255.255.255
添加一條別名命令alias也可以把
域名
重新定向為
內部
地址