《防火墙的安装和配置ppt课件.ppt》由会员分享,可在线阅读,更多相关《防火墙的安装和配置ppt课件.ppt(54页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第8 8章章 防火墙安装与配置防火墙安装与配置网络设备的安装与管理认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目本章内容本章内容 防火墙安装防火墙安装 防火墙配置防火墙配置 配置配置Cisco PIX防火墙防火墙 恢复恢复PIX的口令的口令 升级升级PIX版本版本 认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.1 防火墙安装防火墙安装8.1.1 PIX防火墙安装定制防火墙安装定制在开始考虑安装在开始考虑安装PIX之前,必须决定哪种之前,必须决定哪
2、种PIX模式能够满足你模式能够满足你的业务需要。的业务需要。PIX系列产品中有许多相同的特征和功能;每系列产品中有许多相同的特征和功能;每个个PIX模式中接口和连接数量是不同的。下面的问题将帮助模式中接口和连接数量是不同的。下面的问题将帮助理解你的网络需求,并把你的注意力集中到防火墙必须包含理解你的网络需求,并把你的注意力集中到防火墙必须包含的服务和性能上。的服务和性能上。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目有多少用户(连接)将会通过防火墙?有多少用户(连接)将会通过防火墙?防火墙支持语音和多媒体应用吗?防火墙支
3、持语音和多媒体应用吗?本单位需要多少接口?本单位需要多少接口?本单位需要本单位需要VPN服务吗?若需要,安全级别是什么:服务吗?若需要,安全级别是什么:56位位DES、168位位3DES还是两者都要?还是两者都要?防火墙需要如防火墙需要如VPN加速卡等附件设备吗?加速卡等附件设备吗?本单位希望使用本单位希望使用PIX设备管理器吗?设备管理器吗?本单位需要用容错性吗?本单位需要用容错性吗?回答这些问题不仅能帮助你为单位选择适当的回答这些问题不仅能帮助你为单位选择适当的PIX模型,模型,还能帮助你购买正确的许可证。还能帮助你购买正确的许可证。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到
4、病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.1.2 安装前安装前部署中的安装前阶段是确定部署中的安装前阶段是确定PIX型号、许可证、特性和型号、许可证、特性和物理位置的阶段物理位置的阶段。选择许可证选择许可证选择选择PIX型号型号认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目1.选择许可证选择许可证无限制(无限制(Unrestricted)当防火墙使用无限制(当防火墙使用无限制(UR)许可证时允许安装和使用最大数量的接口和许可证时允许安装和使用最大数量的接口和RAM。无。无限制许可证支持故障倒换功能。
5、限制许可证支持故障倒换功能。受限(受限(Restricted)当防火墙使用受限制(当防火墙使用受限制(R)许可证)许可证时,其支持的接口数量受到限制,另外,系统中的时,其支持的接口数量受到限制,另外,系统中的RAM的可用数量也受到限制。一个使用受限制许可证的可用数量也受到限制。一个使用受限制许可证的防火墙不能通过配置故障倒换功能来实现冗余。的防火墙不能通过配置故障倒换功能来实现冗余。故障倒换(故障倒换(Failover)当使用故障倒换(当使用故障倒换(FO)软件许)软件许可证的可证的PIX防火墙与使用无限制许可证的防火墙与使用无限制许可证的PIX防火墙协防火墙协同工作时,将被置于故障倒换模式。
6、同工作时,将被置于故障倒换模式。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目2选择选择PIX型号型号防火墙型号许可证选项受限无限制故障倒换(Failover)加密PIX50110位用户许可证50位用户许可证N/A56位DES和/或168位3DESPIX50656位DES168位3DESN/A56位DES和/或168位3DESPIX515515-R(5000条并发连接和2个接口)与515-R-BUN(10000条并发连接和3个接口)515-UR(10000条并发连接,Failover功能和6个接口)515-Failover
7、束(提供备用Failover防火墙)56位DES和/或168位3DESPIX525525-R(6个接口,多达280,000条并发连接)525-UR(8个接口,Failover支持,多达280,000条并发连接)525-Failover束(提供备用Failover防火墙)56位DES和/或168位3DESPIX535535-R(6个接口,多达500,000条并发连接)535-UR(8个接口,Failover支持,多达500,000条并发连接)535-Failover束(提供备用Failover防火墙)56位DES和/或168位3DES认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。
8、近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目型号选择主要基于两个方面:性能和容错性。型号选择主要基于两个方面:性能和容错性。性能被分为两类:吞吐量和并发连接。性能被分为两类:吞吐量和并发连接。容错性是在容错性是在PIX515平台中第一次被引入。平台中第一次被引入。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.1.3 安装安装1.接口配置接口配置2.电缆连接电缆连接3.初始初始PIX输入输入认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目1
9、.接口配置接口配置在在PIX上对安全策略进行上对安全策略进行配置的第一步是确定要使配置的第一步是确定要使用的接口并收集他的基本用的接口并收集他的基本配置信息。每一个配置信息。每一个PIX都都至少有两个接口:内部接至少有两个接口:内部接口(较安全)和外部接口口(较安全)和外部接口(较不安全)。使用表(较不安全)。使用表8-2可以帮组你简化配置可以帮组你简化配置PIX接口的过程,记录每个接接口的过程,记录每个接口的基本信息是有用的。口的基本信息是有用的。防火墙配置外部网内部网接口1接口2接口3接口接口速度IP地址和掩码接口名:HW接口名:SW安全级别MTU大小认识到了贫困户贫困的根本原因,才能开始
10、对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目2.电缆连接电缆连接在在启启动动PIX之之前前,把把控控制制端端口口(Console)电电缆缆连连接接到到PC机机(通通常常是是便便于于移移动动的的笔笔记记本本电电脑脑)的的COM端端口口,再再通通过过Windows系系统统自自带带的的超超级级终终端端(HyperTerminal)程程序序进进行行选选项项配配置置。防防火火墙墙的的初初始始配配置置物物理理连连接接与与前前面面介介绍绍的的交交换换机初始配置连接方法一样,如图机初始配置连接方法一样,如图8-1所示。所示。认识到了贫困户贫困的根本原因,才能开始对症下药,然
11、后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目3.初始初始PIX输入输入当当PIX515通电后,会看到前置面板上的通电后,会看到前置面板上的3个个LED灯,如灯,如图图8-2所示,分别标有所示,分别标有POWER,NETWORK 和和ACT。当防火墙部件是活动的当防火墙部件是活动的failover时,时,ACT LED会亮。如会亮。如果没有配置果没有配置Failover,ACT LED将总是亮着。当至少将总是亮着。当至少一个接口通过流量时,一个接口通过流量时,NETWORK LED会亮。会亮。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工
12、作高度重视,已经展开了“精准扶贫”项目当你第一次启动当你第一次启动PIX防火墙的时候,你应该看到如图防火墙的时候,你应该看到如图8-3所所示的以下输出:示的以下输出:8.2 防火墙配置防火墙配置 认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.2.1 防火墙的基本配置原则防火墙的基本配置原则拒绝所有的流量,这需要在你的网络中特殊指定能够进入拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。和出去的流量的一些类型。允许所有的流量,这种情况需要你特殊指定要拒绝的流量允许所有的流量,这种情况需要你特殊指
13、定要拒绝的流量的类型。大多数防火墙默认都是拒绝所有的流量作为安全的类型。大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收话说,如果你想让你的员工们能够发送和接收Email,你,你必须在防火墙上设置相应的规则或开启允许必须在防火墙上设置相应的规则或开启允许POP3和和SMTP的进程。的进程。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶
14、贫工作高度重视,已经展开了“精准扶贫”项目在防火墙的配置中,我们首先要遵循的原则就是安全实用,在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:本原则:1简单实用:简单实用:2全面深入:全面深入:3内外兼顾:内外兼顾:认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.2.2 防火墙的初始配置防火墙的初始配置像路由器一样,在使用之前,防火墙也需要经过基本的初像路由器一样,在使用之前,防火墙也需要经过基本的初始配置
15、。但因各种防火墙的初始配置基本类似,所以在此始配置。但因各种防火墙的初始配置基本类似,所以在此仅以仅以Cisco PIX防火墙为例进行介绍。防火墙为例进行介绍。防火墙与路由器一样也有四种用户配置模式,即:防火墙与路由器一样也有四种用户配置模式,即:非特权非特权模式(模式(Unprivileged mode)、特权模式()、特权模式(Privileged Mode)、配置模式()、配置模式(Configuration Mode)和端口模式)和端口模式(Interface Mode),),进入这四种用户模式的命令也与路进入这四种用户模式的命令也与路由器一样:由器一样:认识到了贫困户贫困的根本原因,
16、才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目防火墙的具体配置步骤如下:防火墙的具体配置步骤如下:1将防火墙的将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上,如图余串口上,如图8-1。2打开打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。防火电源,让系统加电初始化,然后开启与防火墙连接的主机。3运行笔记本电脑运行笔记本电脑Windows系统中的超级终端(系统中的超级终端(HyperTerminal)程序(通常在)程序(通常在“附附件件”程序组
17、中)。对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有程序组中)。对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。关介绍。4当当PIX防火墙进入系统后即显示防火墙进入系统后即显示“pixfirewall”的提示符,这就证明防火墙已启动的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。成功,所进入的是防火墙用户模式。可以进行进一步的配置了。5输入命令:输入命令:enable,进入特权用户模式,此时系统提示为:,进入特权用户模式,此时系统提示为:pixfirewall#。6输入命令:输入命令:configure terminal,
18、进入全局配置模式,对系统进行初始化设置。,进入全局配置模式,对系统进行初始化设置。7.配置保存:配置保存:write memory8.退出当前模式:退出当前模式:exit9.查看当前用户模式下的所有可用命令:查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。即显示出当前所有可用的命令及简单功能描述。10.查看端口状态:查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。示出防火墙所有接口配置
19、情况。11.查看静态地址映射:查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。示防火墙的当前静态地址映射情况。8.3 配置配置Cisco PIX防火墙防火墙认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目这里我们选用第三种方式配置这里我们选用第三种方式配置Cisco PIX 525防火墙。防火墙。1同样是用一条串行电缆从电脑的同样是用一条串行电缆从电脑的COM口连到口连到Cisco PIX 525防火墙的防火墙的c
20、onsole口;口;2开启所连电脑和防火墙的电源,进入开启所连电脑和防火墙的电源,进入Windows系系统自带的统自带的“超级终端超级终端”,通讯参数可按系统默然。进入防,通讯参数可按系统默然。进入防火墙初始化配置,在其中主要设置有:火墙初始化配置,在其中主要设置有:Date(日期日期)、time(时间时间)、hostname(主机名称主机名称)、inside ip address(内部内部网卡网卡IP地址地址)、domain(主域主域)等,完成后也就建立了一个等,完成后也就建立了一个初始化设置了。此时的提示符为:初始化设置了。此时的提示符为:pixfirewall。3输入输入enable命令
21、,进入命令,进入Pix 525特权用户模式,默特权用户模式,默然密码为空。然密码为空。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目缺省情况下,缺省情况下,enable命令假定用户尝试接入的特权级别是命令假定用户尝试接入的特权级别是15(最高特权级别)。在配置(最高特权级别)。在配置PIX的基本网络接入的时候,的基本网络接入的时候,有一些必须实施;有一些必须实施;为防火墙接口分配为防火墙接口分配IP地址;地址;配置防火墙名称、域名和密码;配置防火墙名称、域名和密码;设置防火墙路由;设置防火墙路由;配置防火墙的远程管理接入功
22、能;配置防火墙的远程管理接入功能;为出站流量设置地址转换;为出站流量设置地址转换;配置配置ACL;配置防火墙日志。配置防火墙日志。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.3.1 在防火墙接口上分配在防火墙接口上分配IP地址地址要在网络中通信,防火墙需要在其接口上指定要在网络中通信,防火墙需要在其接口上指定IP地址。这地址。这项工作在项工作在PIX的的6.x和和7.x版本中的实施有区别,但是基本步版本中的实施有区别,但是基本步骤是一样的:骤是一样的:启用接口、配置接口参数、为该接口指定启用接口、配置接口参数、为该接
23、口指定IP地址。地址。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目在在PIX的的6.x版本中分配版本中分配IP地址地址firewall#configure terminalfirewall(config)#firewall(config)#interface ethernet0 autofirewall(config)#interface ethernet1 autofirewall(config)#nameif ethernet0 outside security0firewall(config)#nameif eth
24、ernet1 inside security100firewall(config)#ip address outside 10.19.24.1 255.255.255.0firewall(config)#ip address inside 192.168.122.1 255.255.255.0认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目在在PIX的的7.x版本中分配版本中分配IP地址地址firewall(config)#interface ethernet 2firewall(config-if)#firewall(co
25、nfig-if)#no shutdownfirewall(config-if)#nameif dmz01firewall(config-if)#security-level 50firewall(config-if)#speed autofirewall(config-if)#duplex autofirewall(config-if)#ip address 10.21.67.17 255.255.255.240认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.3.2 配置防火墙名称、域名和密码配置防火墙名称、域名和密码f
26、irewall(config)#hostname pixpix(config)#domain-name pix.labpix(config)#passwd ciscopix(config)#enable password cisco认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.3.3 配置防火墙路由设置配置防火墙路由设置pix(config)#route outside 0.0.0.0 0.0.0.0 10.21.67.2 1该该route命令中末尾的命令中末尾的1指明了下一跳的度量值指明了下一跳的度量值,这是可选,这
27、是可选的。通常缺省路由将会指向防火墙连接到的。通常缺省路由将会指向防火墙连接到Internet的下一的下一跳路由,如跳路由,如Internet服务商网络中的路由器。服务商网络中的路由器。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.3.4 配置防火墙管理远程接入配置防火墙管理远程接入PIX防火墙支持三种主要的远程管理接入方式:防火墙支持三种主要的远程管理接入方式:1.Telnet;2.SSH;3.ASDM/PDM。其中其中Telnet和和SSH都是用来提供对防火墙的命令行界面都是用来提供对防火墙的命令行界面(CLI)方
28、式接入,而)方式接入,而ASDM/PDM提供的则是一种基提供的则是一种基于于HTTPS的图形化界面(的图形化界面(GUI)管理控制台。)管理控制台。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目1.配置配置Telnet接入接入pix(config)#telnet 10.21.120.15 255.255.255.255 inside2.配置配置SSH接入接入步骤步骤1 给防火墙分配一个主机名和域名;给防火墙分配一个主机名和域名;步骤步骤2 生产并保存生产并保存RSA密钥对;密钥对;步骤步骤3 配置防火墙允许配置防火墙允许S
29、SH接入。接入。pix(config)#ca generate rsa key 1024pix(config)#ca save allpix(config)#crypto key generate rsa modulus 1024pix(config)#ssh 10.21.120.15 255.255.255.255 inside 认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目3.配置配置ASDM/PDM接入接入除了使用除了使用CLI的管理方式之外,的管理方式之外,PIX防火墙还支持一种防火墙还支持一种GUI远程管理方式。
30、在远程管理方式。在PIX6.x中,这种管理接口被称为中,这种管理接口被称为PIX设备管理器(设备管理器(PDM)。而在)。而在PIX的的7.x,该管理接口,该管理接口被称为自适应安全设备管理器(被称为自适应安全设备管理器(ASDM)。)。pix(config)#http server enablepix(config)#http 10.0.0.0 255.0.0.0 inside认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目ASDM/PDM的接入是通过的接入是通过Web浏览器连接到浏览器连接到Web服务器服务器的方式来实现
31、的。的方式来实现的。ASDM还可以通过一种基于还可以通过一种基于java的应用的应用来使用来使用ASDM,而不用代开,而不用代开Web浏览器,如图浏览器,如图8-4所示:所示:认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目 Cisco ASDM简介 作为自适应安全设备管理器,Cisco ASDM以图形界面方式,配置和管理Cisco PIX和Cisco ASA安全设备。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目Cisco ASDM具有如下特点:1.集
32、成化管理提高管理效率2.启动向导加速安全设备的部署3.仪表盘提供重要实时系统状态信息4.安全策略管理降低运营成本5.安全服务实现基于角色的、安全的管理访问6.VPN管理将安全连接扩展到远程站点7.管理服务与应用检测相互协作8.智能用户界面简化网络集成9.安全管理界面提供一致的管理服务10.监控和报告工具实现关键业务数据分析认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目 Cisco ASDM主页 认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目 VPN配置
33、 认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目高级OSPF配置 认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目监控和报告工具实现关键业务数据分析(1)监控工具(2)系统图(3)连接图(4)攻击保护系统图(5)接口图(6)VPN统计和连接图认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目1.运行ASDMCisco ASDM主窗口 认识到了贫困户贫困的根本原因,才能开始对症下药,然后药
34、到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目2.为NAT创建IP地址池(1)指定DMZ的IP地址范围认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目(2)为外部端口指定IP地址池认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目3.配置内部客户端访问DMZ区的Web服务器认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目5.为Web服务器配置外部ID4.配置内部客户端访问
35、Internet认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目6.允许Internet用户访问DMZ的Web服务认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.3.5 对出站实施对出站实施NAT 1在在PIX 6.x中配置中配置NATnat(local-interface)id local-ip mask dns outside|norandomseq max_conns emb_limit pix(config)#nat(insids)1 0.0.
36、0.0 0.0.0.0global(if-name)nat-id global-ip-global-ip netmask global-mask|interface pix(config)#global(outside)1 10.21.67.40-10.21.67.45 netmask 255.255.255.240pix(config)#global(outside)1 interfaceoutside interface address added to PAT poolpix(config)#认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经
37、展开了“精准扶贫”项目2在在PIX 7.x中配置中配置NATnat(real-ifc)nat-id real-ip mask dns outside tcp tcp-max-conns emb-limit udp udp-max-conns norandomseqglobal(mapped-ifc)nat-id mapped-ip-mapped-ip netmask mask|interfacepix(config)#nat-controlpix(config)#nat(inside)1 0.0.0.0 0.0.0.0pix(config)#global(outside)1 10.21.67.
38、10-10.21.67.14 netmask 255.255.255.240pix(config)#global(outside)1 interface INFO:outside interface address added to PAT poolpix(config)#认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目8.3.6 配置配置ACLs 配置和实施配置和实施ACL分两步完成:分两步完成:1.定义定义ACL以及实施以及实施ACE;2.将将ACL应用于某接口。应用于某接口。认识到了贫困户贫困的根本原因,才能开始对症下
39、药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目1定义定义ACL和实施和实施ACEPIX支持多种不同类型的支持多种不同类型的ACL:EtherType访问列表访问列表这种这种ACL根据根据EtherType值来过滤流值来过滤流量;量;扩展访问列表扩展访问列表这是最常用的这是最常用的ACL实施类型,它用来对基实施类型,它用来对基于于TCP/IP的流最进行通用目的的过滤;的流最进行通用目的的过滤;标准访问列表标准访问列表该该ACL用来指定目的用来指定目的IP地址,它可以用来地址,它可以用来在路由映射表(在路由映射表(routemap)中进行)中进行OSPF路由重分布;路由
40、重分布;WebType访问列表访问列表该该ACL用来进行用来进行WebVPN的过滤,只的过滤,只在在PIX 7.1或者更新版本中才被支持。或者更新版本中才被支持。认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目创建一组创建一组ACL的过程非常简单直接,通常需要定义如下的的过程非常简单直接,通常需要定义如下的参数。参数。流量需要通过什么样的方式去匹配流量需要通过什么样的方式去匹配ACL中的中的ACE?需要使用什么样的协议?需要使用什么样的协议?流量的源是什么?流量的源是什么?流量的目的是什么?流量的目的是什么?使用了哪个使用了
41、哪个/哪些应用端口?哪些应用端口?认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目参数描述default(可选项)使用缺省的日志方式,即为每个被拒绝的报文发送同步日志消息106023deny拒绝条件配置报文。在网络访问的环境中(access-group命令),该关键字阻止报文穿越安全工具。在类映射(class-map和inspect命令)中进行应用检查的环境中,该关键字将使得报文免受检查。一些特性并不允许使用拒绝ACE,比如说NAT。查阅各种特性的命令文档以获得更多关于ACL的信息dest_ip指定报文发往的网络或者主机的I
42、P地址。在IP地址之前输入host关键字来指定一个单一的地址。在这种情况下,不需要输入掩码。输入any关键字以代替地址和掩码,用来指定所有地址disable(可选项)禁用针对该条ACE的日志icmp_type(可选项)如果协议是ICMP,指定ICMP类型id指定ACL-ID号,可以是字符串,也可以是最长241个字符的整数。该ID是区分大小写的。提示:使用大写字母会使你在配置中看到的ACL-ID更直观inactive(可选项)禁用一条ACE。要重新启用,输入整条ACE而不带inactive关健字。该特性能够维持一条inactive的ACE的记录,以便可以更方便地重新启用interface ifc
43、_name指定接口地址,或者是源地址,或者是目的地址interval secs(可选项)指定日志区间上产生106100系统日志信息。有效值是从1到600秒。默认值是300level(可选项)设定106100系统日志消息级别,从0到7,缺省级别是6line line-num(可选项)指定在插入ACE的行号。如果你没有指定行号的话,ACE将会添加到ACL的未尾。该行号不会保存在配置中;它仅仅用来指定在哪儿插入ACElog(可选项)当有从网络中接入的报文被一条ACE匹配到,并且般终被拒绝的时候,设置该选顶可以提供日志(通过access-group应用ACL)。如果没有任何的修改而仅仅输入log关健字
44、的话,将启用系统日志消息106100,并且使用默认的等级(6)和默认周期(300秒)。如果不输入log关键字,设备将使用缺省的日志方式,即使用系统日志消息106023maskIP地址的子网掩码。在输入指定网络掩码的时候,其方式和在Cisco的IOS中的access-list命令不一样。安全工具使用网络掩码(如C类地址是255.255.255.0)。而Cisco的IOS是用通配符(如0.0.0.255)object-group icmp_type_obj_grp_id(可选项)如果协议是ICMP,该参数用来指定ICMP类型目标组的标识符。要添加一个目标组,请参考object-group icmp
45、-type命令object-group network_obj_grp_id为一个网络目标组指定标识符。要添加目标组,请参考object-group network命令object-group protocol_obj_grp_id为协议目标组指定标识符。要添加目标组.请参考object-group protocol命令object-group service_obj_grp_id(可选项)如果设置的协议是TCP或者UDP,该参数为服务目标组指定标识符。要添加目标组,请参考object-group service命令operator(可选项)该参数被源或者目的用来匹配端口号。其允许的操作如下:
46、It(小于);gt(大于);eq(等于);neq(不等于);range(包含一系列的值,当使用这种操作时,需要指定两个端口号,如range 100 200)permit允许条件匹配的报文。在网络访问的环境中(acccss-group命令),该关键字允许报文穿越安全工具。在类映射(class-map和inspect命令)中进行应用检查的环境中,该关键字将使得报文接受检查port(可选项)如果设置的协议是TCP或者UDP,为TCP或者UDP端口指定一个整数或者名称。DNS,Discard,Echo,Ident,NTP,RPC,SUNRPC和Talk这样的协议需要在TCP和UDP中各自定义一个。TA
47、CACS+这样的协议只需要在TCP中定义一个端口号49protocol指定IP协议的名称和号码。比如说,UDP是17,TCP是6,EGP是47src_ip指定报文发送方的网络或者主机的IP地址。在IP地址之前输入host关键字,可以用来指定一个单一的地址。这种情况下,不用输入掩码。输入any关键字来代替地址和掩码,用来表示所有地址time-range time_range_name(可选项)在某天或者某周的指定时间激活ACE,这为ACE应用了时间范围。查阅time-range命令,以获得关于定义时间范围的信息认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度
48、重视,已经展开了“精准扶贫”项目扩展扩展ACL的命令语法及其参数如下所示:的命令语法及其参数如下所示:access-list id line line-number extended deny|permit protocol|object-group protocol_obj_grp_id src_ip mask|interface ifc_name|object-group network_obj_grp_id operator port|object-group service_obj_grp_id dest_ip mask|interface ifc_name|object-group
49、network_obj_grp_id operator port|object-group service_obj_grp_id|object-group icmp_type_obj_grp_id log level interval secs|disable|default inactive|time-range time_range_name 尽管参数信息看上去非常多,但是在大多数情况下很多参数值尽管参数信息看上去非常多,但是在大多数情况下很多参数值都是可选的,甚至是不需要使用的。大多数时候对都是可选的,甚至是不需要使用的。大多数时候对access-list命令的使用都是按照下面这种简化方
50、式:命令的使用都是按照下面这种简化方式:access-list id deny|permit protocol source destination operator port认识到了贫困户贫困的根本原因,才能开始对症下药,然后药到病除。近年来国家对扶贫工作高度重视,已经展开了“精准扶贫”项目 举例来说,如果想要定义一条举例来说,如果想要定义一条ACL,用来允许从任何主机到一台,用来允许从任何主机到一台Web服务器服务器的的HTTP流量的话,需要运行下面的命令:流量的话,需要运行下面的命令:pix(config)#access-list out_in_01 permit tcp any hos