Cisco 网络防火墙设置命令( 命令摘要)
最后更新:2021-10-11 02:41:14 手机定位技术交流文章
目录
前言
一、防火墙介绍
二、防火墙配置
1. 防火墙设置基本设施
2、配置特权密码
3. 建立远程登录证书(使用 Telnet 或 SSH 时需要密码)。
4. 配置接口名称和安全级别。
5、配置ACL
(1)允许入站连接
(2) 管理断带外连接的流量
(3) 添加的ACL 配置
6、配置静态路由
7、配置命令补充
8、远程管理ASA
(1) Telnet 设置示例
(2) 建立SSH访问
9. ASA防火墙配置
(1) 动态PAT转换配置
(2) 静静 NAT转换配置
(3) 静态PAT转换配置方法
(4) NAT豁免配置方法
结语
前言
部署防火墙是任何网络架构的重要和根本组成部分;常规防火墙功能从最初保护网络不受不必要的外部访问攻击演变而来,防火墙现在一般是多功能的;关于Cisco防火墙设置的信息见下文。
一、防火墙介绍
防火墙为用户信息保留了一个连接数据库,称为Conn, 其中包括来源p地址、目的地p地址、p协议(例如http, ftp等),IP协议数据(协议端口号等)等信息,根据特定网络、主机和服务允许网络访问(TCP/UDP端口号)。
二、防火墙配置
1. 防火墙设置基本设施
| ciscoasa> en | |
| Password: | 默认特权密码为无效。 请返回汽车 。 |
| ciscoasa# conf t | |
| Ciscoasa( config) # 防火墙的主机名 |
2、配置特权密码
| 密码( 配置) # enable 密码 |
3. 建立远程登录证书(使用 Telnet 或 SSH 时需要密码)。
| 密码( 配置) # passwd |
4. 配置接口名称和安全级别。
| asa(config)# in e0/0 | |
| 接口的 Asa( 配置- if) # nameif nameif nameif name | |
| # 安全级别 安全级别 # | |
| 如果ASA模式为5505,上述设置不能直接在物理接口上进行,必须通过VLAN虚拟接口进行。 | |
| asa(config)#int vlan 1 | |
| asa(config-if)# nameif inside | |
| asa(config-if)# security-level 100 | |
| asa(config-if)#ip add 10.1.1.254 255.255.255.0 | |
| asa(config-if)# no shut | |
| 查看conn表 | |
| asa#show conn detail | |
5、配置ACL
(1)允许入站连接
| asa(config)# access-list out_to_in permit ip host 172.16.1.5 host 10.1.1.7 | 这篇文章是埃及2011年抗议活动特别报导的一部分。 5 访问互联网主机10次。 这篇文章是埃及2011年抗议活动特别报导的一部分。 7, 7, out_to_ in Group name ACL |
| asa(config)# access-group out_to_in in int outside | 应用组 ACL 到名称外出(_to_ in) 的外部接口 。 |
(2) 管理断带外连接的流量
| asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any | 2011年埃及抗议活动特别报导部分内容, |
| asa(config)# access-list in_to_out permit ip any any | 由于ACL含有默示拒绝,因此在设定ACL时,所有其他交通一般都允许。 |
| asa(config)# access-group in_to_out in int inside | 应用在内网接口 |
(3) 添加的ACL 配置
ICMP协议
就安全考虑而言,国际CMP报告不得因违约而跨越ASA,然而,为了协助调试,国际CMP可暂时获准在整个ASA作出答复。
| ciscoasa(config)# access-list 111 permit icmp any any | 定义ACL |
| ciscoasa(config)# access-group 111 in int outside | 应用到外部接口 |
6、配置静态路由
| asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1 | 这篇文章是我们2011年埃及抗议特别报导的一部分。 0个部分的流量跃升到10个部分。这篇文章是我们2011年埃及抗议特别报导的一部分。 |
| asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1 | 不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不, 不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不, |
7、配置命令补充
否,如果您配置错误的命令,您可以通过在原配置命令中附加“否”来删除它。
| ciscoasa# write memory | 将当前操作配置保存到启动配置 。 |
| ciscoasa# copy running-config startup-config | 将当前操作配置保存到启动配置 。 |
| ciscoasa(config)# clear configure all | 删除运行中的配置 |
| ciscoasa(config)# clear configure access-list | 对于所有 Acces- list 操作, 清除设置 。 |
| ciscoasa(config)# clear configure access-list in_to_out | 只需在_to_out中打开访问列表, 就可以清除 。 |
| ciscoasa# write erase | 删除启动配置配置配置配置。 |
8、远程管理ASA
Telnet、SSH和ASDM是美国航天局支持的三个主要远程管理访问机制。
(1) Telnet 设置示例
由于通过Telnet进行远程管理不安全,内联网只允许使用Telnet,因此通常限制外部接口访问Telnet。
| 不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不, |
| {fn黑体fs22bord1shad03aHBE4aH00fscx67fscy662cHFFFFFF3cH808080}不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不, |
| 允许只使用一个主机 Telnet 防火墙 。 |
| {fn黑体fs22bord1shad03aHBE4aH00fscx67fscy662cHFFFFFF3cH808080}#telnet 192168 Ciscoas (contig) # 不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不 |
| 将自由超时时间设定为30分钟 |
| # Telnet 超时30( 11440min, 默认 5min) Ciscoasa( 配置) |
(2) 建立SSH访问
| 配置主机名和域名, 因为需要它们来生成 RSA 配对的密钥 。 | |
| 主机名 Ciscoasa( config-if) | 配置主机名 |
| 我不知道你在说什么。 aaa( config)#domain-name域名。 | 配置域名 |
| aaa(config)# crypto key generate rsa modulus 1024 | 指定1024个位数的模量大小,可以是512、768、1024或2048个位数,标明生产的RSA密钥的长度。 |
| aaa(config)# ssh 192.168.1.0 255.255.255.0 inside | 允许访问内线页面. 0- Web SSH |
| aaa(config)# ssh 0 0 outside | 启用 SSH 访问任何外联网主机 。 |
| aaa(config)# ssh timeout 30 | 设定30分钟的超时时间 |
| aaa(config)# ssh version 2 | 可选择启用 SSH 版本 2 。 |
版本 1 和 2 的区别在于安全方法不同。 一旦配置了SSH 访问, 将有可能使用外部区域主机的安全 CRT 或截取等程序访问 ASA 的外部接口, 同时铭记 ASA 默认使用用户名像素, 密码指令指定的密码 。
9. ASA防火墙配置
(1) 动态PAT转换配置
| 这篇文章是我们2011年埃及抗议特别报导的一部分, 2 至 30 这篇文章是我们2011年埃及抗议特别报导的一部分。 2 至 30 这篇文章是我们2011年埃及抗议特别报导的一部分。 2 至 30 这篇文章是我们2011年埃及抗议特别报导的一部分。 | |
| ASA(contig) # nat(xxide) name, 外边或内边 NAt name 10. | 声明内部地址 |
| ASA( config) #Global( outside) nat name 30. 这篇文章是我们2011年埃及抗议特别报导的一部分。 | 宣布全球地址, NAT 名称与内部 NAT 名称相同 。 |
| ASA(config)# show xlate detai | 看看NAT地址转换表。 |
| 无法启动 Evolution 的邮件组件 。 | |
| ASA(contig) # nat(xxide) name, 外边或内边 NAt name 10. | 声明内部地址, 将 nat- id 设为 1 。 |
| ASA(config)# global (outside) 1 interface | 宣布所有内部地址将翻译为外部的区域接口地址。 |
(2) 静静 NAT转换配置
| 这是2011年埃及抗议特别报导的一部分。 2011年埃及抗议特别报导的一部分。 2 2011年埃及抗议特别报导的一部分。 | |
| ASA(config)# static (dmz,outside) 100.1.1.1 20.1.1.2 | 第一个 IP 地址是公共网络 IP 地址, 第二个是 dmz 区域服务器上真正的 IP 地址 。 |
| ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1 | |
| ASA(config)# access-group 100 in int outside | 设置一个ACL,让无人区进入dmz区,但只能进入地图后地址。 |
(3) 静态PAT转换配置方法
| 将内部服务器映射到相同的公共 IP 地址,但端口号码不同。 | |
| ASA(config)# static (dmz,outside) tcp 100.1.1.1 http 20.1.1.2 http | |
| ASA(config)# static (dmz,outside) tcp 100.1.1.1 smtp 20.1.1.3 smtp | 内部服务器地址应映射为同一公共网络地址上不同的端口号。 |
| ASA(config)# access-list out_to_dmz permit ip host 30.1.1.2 host 100.1.1.1 | |
| ASA(config)# access-group out_to_dmz in int outside | 设置一个ACL,让无人区进入dmz区,但只能进入地图后地址。 |
(4) NAT豁免配置方法
| ASA(config)# nat-control | 因此,必须通过ASA防火墙在数据集中使用NAT地址转换技术。 |
| 这篇文章是我们特别报导的埃及抗议活动2011年0, 255.255.255.50,30。 | |
| NAt(xide) 0 访问列表 ACL 组名称 ASA( config) # nat(xide) 0 访问列表 ACL 组名称 | xxXide 界面应用程序 ACL, 请注意 nat name 0 表示使用最高优先 NAT 豁免, 即 ACL 处理 ASA 防火墙旅行时, 不需要地址翻译 。 |
结语
互联网防火墙是一个非常有效的网络安全保护机制,允许风险区(即互联网或有风险的网络可以与安全区隔离),但它们往往在核心开关和外部网络之间连接,成为内部网络和外部网络之间的网关。
本文由 在线网速测试 整理编辑,转载请注明出处。
