《思科防火墙使用及功能配置》由会员分享,可在线阅读,更多相关《思科防火墙使用及功能配置(109页珍藏版)》请在金锄头文库上搜索。
1、防火墙使用及功能配置,荆 涛,科技网用户培训,2005-9-27,提纲,防火墙相关知识 Cisco PIX 515E Netscreen 500,防火墙介绍,防火墙的概念,防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。,防火墙术语,网关:在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。 DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。
2、 吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。 最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。 数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。 并发连接数目:由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。,对防
3、火墙的需求,网络规模/流量增长的需求 可靠性的需求 DOS攻击防范的需求 蠕虫病毒防范的需求 日志性能需求,Finance,Business Partner,Regional Office,Telecommuter,DMZ,HR,Wireless Network,Internal attacks, malicious users,Intrusion over WLAN, Hijacked remote session,Compromised PC, U turn attacks,Worms, Trojan attacks,安全产品市场分析,数据来源:CNCERT/CC 2004年全国网络安全状
4、况调查报告,各行业对网络安全技术最高使用率对比,数据来源:CNCERT/CC 2004年全国网络安全状况调查报告,防火墙的发展,1st Generation,2nd Generation,3rd Generation,软件,软硬结合,硬件,Netscreen与一般硬件防火墙比较,Cisco PIX 520防火墙图片,CPU,RAM,Intel EtherExpress Pro/100+,Cisco PIX Firewall 515E,Cisco PIX515E 防火墙,为中小企业而设计 并发吞吐量188Mbps 168位3DES IPSec VPN吞吐量63Mbps Intel 赛扬 433
5、MHz 处理器 64 MB RAM 支持 6 interfaces,PIX:Private Internet eXchange,PIX 515 基本配件,PIX 515主机 接口转换头 链接线 固定角架 电源线 资料,Power LED,The PIX Firewall 515 前面版,Network LED,Active Failover Unit,PIX Firewall 515 模块,Using the quad card requires the PIX Firewall 515-UR license.,PIX Firewall 515双单口连接器,Using two single-p
6、ort connectors requires the PIX Firewall 515-UR license.,The PIX Firewall 515,Failoverconnector,FDXLED,LINKLED,100 MbpsLED,FDXLED,Consoleport (RJ-45),10/100BaseTXEthernet 1(RJ-45),Power switch,LINKLED,100 MbpsLED,10/100BaseTXEthernet 0(RJ-45),LINK LED,通常的连接方案,PIX防火墙通用维护命令,访问模式,PIX Firewall 有4种访问模式:
7、非特权模式:PIX防火墙开机自检后,就处于该模式,系统提示为:pixfirewall 特权模式:enable进入特权模式,可改变当前配置,显示为:pixfirewall# 配置模式:输入configure terminal进入,绝大部分系统配置都在这里进行,显示为:pixfirewall(config)# 监视模式:PIX开机或重启过程中,按住esc键或发送一个break字符进入监视模式,可以在此更新操作系统镜像和口令回复,显示为:monitor,PIX 防火墙基本命令,enable, enable password, passwd write erase, write memory, wri
8、te terminal show interface, show ip address, show memory, show version, show xlate exit reload hostname, ping, telnet,enable 命令,pixfirewall enable password: pixfirewall# configure terminal pixfirewall(config)# pixfirewall(config)# exit pixfirewall#,enable,pixfirewall,Enables you to enter different a
9、ccess modes,enable password password,passwd password,pixfirewall#,enable password 和 passwd 命令,设置进入特权模式的访问密码.,passwd 设置telnet访问控制台口令,pixfirewall#,write 命令,The following are the write commands: write net:将存储当前配置的文件写入到TFTP服务器上 write erase:清除Flash中的配置 write floppy:将配置文件写入软盘 write memory:将配置文件写入到Flash wr
10、ite terminal:显示存储在Flash中的配置信息,show 命令,show history show memory-显示系统内存的使用情况,show memory16777216 bytes total, 5595136 bytes free,show version-浏览PIX防火墙操作信息 show xlate-查看地址转换信息 show cpu usage,pixfirewall# show interface interface ethernet0 “outside” is up, line protocol is up hardware is i82557 ethernet
11、, address is 0060.7380.2f16 ip address 192.168.0.2, subnet mask 255.255.255.0 MTU 1500 bytes, BW 1000000 Kbit half duplex 1184342 packets input, 1222298001 bytes, 0 no buffer received 26 broadcasts, 27 runts, 0 giants 4 input errors, 0 crc, 4 frame, 0 overrun, 0 ignored, 0 abort 1310091 packets outp
12、ut, 547097270 bytes, 0 underruns 0 unicast rpf drops 0 output errors, 28075 collisions, 0 interface resets 0 babbles, 0 late collisions, 117573 deferred 0 lost carrier, 0 no carrier input queue (curr/max blocks): hardware (128/128) software (0/1) output queue (curr/max blocks): hardware (0/2) softwa
13、re (0/1),show interface 命令,pixfirewall# show ip address Building configuration System IP Addresses: ip address outside 192.168.0.2 255.255.255.0 ip address inside 10.0.0.1 255.255.255.0 ip address dmz 172.16.0.1 255.255.255.0 Current IP Addresses: ip address outside 192.168.0.2 255.255.255.0 ip addr
14、ess inside 10.0.0.1 255.255.255.0 ip address dmz 172.16.0.1 255.255.255.0,show ip address 命令,hostname and ping 命令,pixfirewall (config)# hostname proteusproteus(config)# hostname pixfirewall,hostname,hostname newname,pixfirewall(config)#,pixfirewall(config)# ping 10.0.0.3 10.0.0.3 response received -
15、 0Ms 10.0.0.3 response received - 0Ms 10.0.0.3 response received - 0Ms,ping,ping if_name ip_address,pixfirewall(config)#,pixfirewall(config)# name 172.16.0.2 bastionhost,name 命令,Bastion host,关联一个名称和一个IP地址,name ip_address name,pixfirewall(config)#,telnet 命令,指定可以telnet连接到控制台的主机地址,telnet ip_address net
16、mask if_name,pixfirewall(config)#,kill telnet_id,pixfirewall(config)#,中止一个Telnet 会话,当前通过telnet访问控制台的主机地址,who local_ip,pixfirewall(config)#,pixfirewall(config)# show who 2: From 10.10.54.0 pixfirewall(config)# kill 2,http 命令,设定允许以http访问防火墙的地址范围,http ip_address netmask if_name,pixfirewall(config)#,http server enable,pixfirewall(config)#,Enables the PIX Firewall HTTP server,PIX防火墙的6个常用命令,PIX防火墙常用命令,nameif interface ip address nat global
