收藏
下载资源

(精品)CISCO防火墙.ppt

上传人:s****8 文档编号:82688966 上传时间:2023-03-26 格式:PPT 页数:34 大小:1.24MB
返回 下载 相关 举报
(精品)CISCO防火墙.ppt_第1页
第1页 / 共34页
(精品)CISCO防火墙.ppt_第2页
第2页 / 共34页
点击查看更多>>
资源描述

《(精品)CISCO防火墙.ppt》由会员分享,可在线阅读,更多相关《(精品)CISCO防火墙.ppt(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、CISCO 防火墙配置培训防火墙配置培训网络技术应用网防火墙模式firewall用户模式用户模式基本检查功能基本检查功能firewall#特权模式特权模式所有的检查权限,测试权限所有的检查权限,测试权限安装模式安装模式初始提示安装界面初始提示安装界面firewall(config)#配置模式配置模式命令配置状态命令配置状态在配置的子系统里在配置的子系统里其它模式其它模式firewall(config-mode)#只引导了只引导了BOOT,没有引导操作系统的,没有引导操作系统的状态。状态。rommonRommon 模式模式网络技术应用网模式切换firewall(config)#firewallf

2、irewall#Firewall#Firewall#config termconfig termFirewall(config)#Firewall(config)#:Firewall(config)#Firewall(config)#(commands)(commands)Firewall(config)#Firewall(config)#Firewall(config)#Firewall(config)#exitexitFirewall#Firewall#用户模式特权模式配置模式Firewall Firewall enableenablePassword:xxxxxx Password:xx

3、xxxx Firewall#Firewall#Firewall#(Firewall#(commands)commands)Firewall#Firewall#Firewall#Firewall#exitexitFirewallFirewall网络技术应用网密码的设置enable password passwordpasswd passwordfirewall(config)#特权密码telnet访问密码firewall(config)#网络技术应用网基本命令基本命令网络技术应用网telnet telnet 命令(远程登陆)命令(远程登陆)firewall(config)#开启哪些用户从哪个端口

4、的TELNET功能telnet ip_address netmask if_name如:如:telnet 172.16.1.48 255.255.255.248 inside网络技术应用网http http 命令(命令(WEBWEB访问)访问)firewall(config)#规定能WEB访问的地址段http ip_address netmask if_namehttp server enablefirewall(config)#打开WEB访问服务网络技术应用网hostname and ping hostname and ping 命令命令firewall(config)#hostname p

5、roteus hostnamecommandhostname newname ping commandping if_name ip_addressfirewall(config)#firewall(config)#网络技术应用网show show 命令命令Thefollowingareshowcommands:show historyshow memoryshow versionshow xlateshow cpu usageShow running-configshow?网络技术应用网Show Show 命令例子命令例子firewall#show interface outside int

6、erface ethernet0“outside”is up,line protocol is up hardware is i82557 ethernet,address is 0060.7380.2f16 ip address 192.168.0.2,subnet mask 255.255.255.0 MTU 1500 bytes,BW 1000000 Kbit half duplex 1184342 packets input,1222298001 bytes,0 no buffer received 26 broadcasts,27 runts,0 giants 4 input err

7、ors,0 crc,4 frame,0 overrun,0 ignored,0abort 1310091 packets output,547097270 bytes,0 underruns 0 unicast rpf drops 0 output errors,28075 collisions,0 interface resets 0 babbles,0 late collisions,117573 deferred 0 lost carrier,0 no carrier input queue(curr/max blocks):hardware(128/128)software(0/1)o

8、utput queue(curr/max blocks):hardware(0/2)software(0/1)网络技术应用网firewall#show ip addressBuilding configurationSystem IP Addresses:ip address outside 192.168.0.2 255.255.255.0 ip address inside 10.0.0.1 255.255.255.0 ip address dmz 172.16.0.1 255.255.255.0Current IP Addresses:ip address outside 192.168

9、.0.2 255.255.255.0 ip address inside 10.0.0.1 255.255.255.0 ip address dmz 172.16.0.1 255.255.255.0网络技术应用网安全级别InternetFirewallOutside networke0 Security level 0 Interface name=outsidePerimeter networke2 Security level 50 Interface name=DMZInside networke1 Security level 100 Interface name=insidee0e1

10、e2网络技术应用网六个主要命令六个主要命令六个主要命令六个主要命令网络技术应用网ASA系统主要命令nameifinterfaceip addressnatglobalroute网络技术应用网命令1:nameifnameif hardware_id if_name security_levelfirewall(config)#firewall(config)#nameif ethernet2 vpnside sec4Nameif命令:给端口定一个名称与安全级命令:给端口定一个名称与安全级别别.网络技术应用网命令2:interfaceinterface hardware_id hardware_s

11、peed firewall(config)#interface命令:定义端口的类型与能力。nimbleASA(config)#interface gigabitEthernet 0/0nimbleASA(config-if)#duplex fullnimbleASA(config-if)#speed 1000外部、内部定义为外部、内部定义为 1000 Mbps、full-duplex 端口。端口。网络技术应用网命令3:ip addressip address if_name ip_address netmask firewall(config)#ip address命令:给端口分配IP。nim

12、bleASA(config)#interface gigabitEthernet 0/1nimbleASA(config-if)#ip address 172.30.0.5 255.255.255.0网络技术应用网命令4:natnat(if_name)nat_id local_ip netmaskfirewall(config)#nat 命令:定义对外要保护的内部IP.firewall(config)#nat(inside)1 0.0.0.0 0.0.0.0网络技术应用网命令5:global与NAT命令一起使用,内部保护的IP对外访问时所代替的IP(公有)。firewall(config)#n

13、at(inside)1 0.0.0.0 0.0.0.0firewall(config)#global(outside)1 192.168.0.20-192.168.0.254firewall(config)#global(if_name)nat_id global_ip-global_ipnetmask global_mask|interface定义用内部在访问定义用内部在访问INTERNET时所用的转换的公有时所用的转换的公有IP范围:范围:192.168.0.20192.168.0.254 网络技术应用网NATExample2310.0.0.349090Source portDestina

14、tion addrSource addrDestination port200.200.200.1049090Source portDestination addrSource addrDestination port192.168.0.20200.200.200.1023InternetTranslation table10.0.0.3192.168.0.20InsideOutsideInside LocalIP AddressGlobalIP Pool10.0.0.310.0.0.4192.168.0.20192.168.0.21网络技术应用网命令6:routeroute if_name

15、ip_address netmask gateway_ip metricpixfirewall(config)#route 定义某端口的静态或默认路由。.pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 192.168.0.1 1网络技术应用网 static命令firewall(config)#static(internal_if_name,external_if_name)outside_ip_address inside_ ip_address其中其中internal_if_name表示内部网络接口,安全级别较高,如表示内部网络接口,安全级

16、别较高,如inside。external_if_name为外部网络接口,安全级别较低,如为外部网络接口,安全级别较低,如outside等。等。outside_ip_address为正在访问的较低安全级别的接口上的为正在访问的较低安全级别的接口上的ip地址。地址。inside_ ip_address为内部网络的本地为内部网络的本地ip地址。地址。网络技术应用网firewall(config)#static(inside,outside)192.168.0.10 10.0.0.3 netmask 255.255.255.255 0 010.0.0.3192.168.0.1192.168.0.210

17、.0.0.1 FirewallPerimeter routerPacket sent from 10.0.0.3 has a source address of 192.168.0.10Permanently maps a single IP addressRecommended for internal service hosts网络技术应用网PortRedirectionExampleInternet172.16.0.2Web Server192.168.0.1192.168.0.210.0.0.1 FirewallPerimeter routerfirewall(config)#stat

18、ic(inside,outside)tcp interface telnet 10.0.0.4 telnet netmask 255.255.255.255 0 0firewall(config)#static(inside,outside)tcp 192.168.0.9 8080 172.16.0.2 www netmask 255.255.255.255 0 0 10.0.0.3 telnet 192.168.0.210.0.0.4http:/192.168.0.9:8080网络技术应用网NoNetworkAddressTranslation(nat 0)firewall(config)#

19、nat(inside)0 192.168.0.9 255.255.255.255firewall(config)#show natnat 0 192.168.0.9 will be non-translatednat0ensures that 192.168.0.9 is not translated.ASA remains in effect withnat0.192.168.0.9192.168.0.1192.168.0.2PIX FirewallPerimeter router10.0.0.1网络技术应用网VPNVPN的理论基础的理论基础的理论基础的理论基础网络技术应用网1 1、为、为I

20、PSecIPSec做准备做准备为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过;步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略;步骤2:确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;步骤3:用writeterminal、showisakmp、showisakmppolicy、showcryptomap命令及其他sho

21、w命令来检查当前的配置;步骤4:确认在没有使用加密前网络能够正常工作,用ping命令并在加密前运行测试数据流来排除基本的路由故障;步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。网络技术应用网2 2、配置、配置IKE IKE 配置配置IKEIKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置;步骤1:用isakmpenable命令来启用或关闭IKE;步骤2:用isakmppolicy命令创建IKE策略;步骤3:用isakmpkey命令和相关命令来配置预共享密钥;步骤4:用showisakmppo

22、licy命令来验证IKE的配置。3 3、配置、配置IPSecIPSec IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去;步骤1:用access-list命令来配置加密用访问控制列表;例如:access-listacl-namepermit|denyprotocolsrc_addrsrc_maskoperatorportportdest_addrdest_maskoperatorprotport步骤2:用cryptoipsectransform-set命令配置变换集;例如:cryptoipsectransform-settransform-set-

23、nametransform1transform2transform3步骤3:(任选)用cryptoipsecsecurity-associationlifetime命令来配置全局性的IPSec安全关联的生存期;步骤4:用cryptomap命令来配置加密图;步骤5:用interface命令和cryptomapmap-nameinterface应用到接口上;步骤6:用各种可用的show命令来验证IPSec的配置。网络技术应用网4 4、测试和验证、测试和验证IPSecIPSec该任务涉及到使用show、debug和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。网络技术应用网ASA

24、RemoteVPN的配置实例1.定义给远程VPN用户的地址池iplocalpoolVPNPOOL192.168.222.1-192.168.222.2542.建立isakmp第一阶段协商cryptoisakmppolicy10authenticationpre-share/配置认证方式为预共享密钥/encryptiondeshashmd5group2lifetime86400网络技术应用网ASARemoteVPN的配置实例3.建立ipsec第二阶段协商cryptoipsectransform-setVPNesp-desesp-md5-hmaccryptoipsecsecurity-associ

25、ationlifetimeseconds28800cryptoipsecsecurity-associationlifetimekilobytes4608000cryptodynamic-mapDYMAP20settransform-setVPNcryptomapOutside_map10ipsec-isakmpdynamicDYMAPcryptomapOutside_mapinterfaceoutsidecryptoisakmpidentityaddresscryptoisakmpenableoutside网络技术应用网ASARemoteVPN的配置实例4.创建tunnel组tunnel-g

26、roupRAVPNtyperemote-accesstunnel-groupRAVPNgeneral-attributesaddress-poolVPNPOOL/在tunnel-group通用属性中配置调用上面定义的ippool/default-group-policyRAVPNtunnel-groupRAVPNipsec-attributespre-shared-key*/在tunnel-groupipsec属性中配置预共享密钥,在ciscovpnclient中需要输入该密钥/!usernameYingwanvpnpasswordD5u2v.Naqq5hKrhaencryptedprivil

27、ege1网络技术应用网ASARemoteVPN的配置实例5.隧道分离access-listSPTextendedpermitip172.16.0.0255.255.0.0anyaccess-listSPTextendedpermitip172.30.0.4255.255.255.252anyaccess-listSPTextendedpermitip192.168.222.0255.255.255.0anygroup-policyRAVPNinternalgroup-policyRAVPNattributesvpn-idle-timeout30split-tunnel-policytunnelspecifiedsplit-tunnel-network-listvalueSPT/SPT为access-listnumber/网络技术应用网Thank you!Thank you!网络技术应用网

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 生活常识

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁