1#外联防火墙培训,南天工程师:徐海龙,议程,第一章 配置基础 第二章 配置连接性 第三章 防火墙的管理 第四章 用户管理 第五章 防火墙的访问控制 第六章 配置Failover增加可用性 第七章日志管理 第八章 防火墙工作状态验证 第九章 ASDM图形化管理 举例,,,第一章 配置基础,用户接口 防火墙许可介绍,第一章 配置基础,用户接口 防火墙许可介绍,思科防火墙支持下列用户配置方式,Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性, http方式(7.x以后称为ASDM) 支持进入Rom Monitor模式,权限分为用户模式和特权模式,支持Help,History和命令输出的搜索和过滤用户模式,Firewall> 为用户模式,输入enable进入特权模式Firewall# 特权模式下可以进入配置模式(configure terminal),通过exit,ctrl-z退回上级模式配置特性,在原有命令前加no可以取消该命令 Show running-config 或者 write terminal显示当前配置 Tab可以用于命令补全,help和history相同于IOS命令集。
7.x后可以对show run 的命令输出进行搜索和过滤Show命令支持 begin,include,exclude加正则表达式的方式对输出进行过滤和搜索 Terminal width 命令用于修改终端屏幕显示宽度,缺省为80个字符,pager命令用于修改终端显示屏幕显示行数,缺省为24行,pager lines 0,第一章 配置基础,用户接口 防火墙许可介绍,防火墙许可介绍,防火墙具有下列几种许可形式,通过使用show version命令可以看设备所支持的特性: Unrestricted (UR) 所有的限制仅限于设备自身的性能,也支持Failover Restricted (R) 防火墙的内存和允许使用的最多端口数有限制,不支持Failover Failover (FO) 不能单独使用的防火墙,只能用于Failover Failover-Active/Active (FO-AA) 只能和UR类型的防火墙一起使用,支持active/active failover第二章 配置连接性,配置接口 配置路由,第二章 配置连接性,配置接口 配置路由,接口基础,防火墙的接口都必须配置接口名称,接口IP地址和掩码(7.x开始支持IPv6)和安全等级。
接口基本配置,Firewall(config)# interface hardware-id Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate} Firewall(config-if)# duplex {auto | full | half} Firewall(config-if)# [no] shutdown 命名接口: Firewall(config)# interface hardware_id[.subinterface] Firewall(config-if)# nameif if_name Firewall(config-if)# security-level level 配置IP地址: Firewall(config-if)# ip address ip_address [netmask] 例如: Interface g0/0 nameif inside security-level 100 ip address 1.1.1.1 255.255.255.0,验证接口,Firewall# show interface ip brief,ARP配置,配置一个静态的ARP条目: Firewall(config)# arp if_name ip_address mac_address 例如:arp inside 1.1.1.1 0022.681B.846E配置timeout时间: Firewall(config)# arp timeout seconds 缺省为4小时 例如:arp timeout 14400 注:一般情况下使用clear arp会清除所有的ARP缓存,不能针对单个的条目,但是可以通过以下变通方法:配置一个静态的条目,映射有问题的ip为一个假的mac地址,然后no掉该命令就会重新建立一个arp条目。
配置MTU,Firewall(config)# mtu if_name bytes 例如:mtu inside 64,第二章 配置连接性,配置接口 配置路由,配置路由,配置静态路由: Firewall(config)# route if_name ip_address netmask gateway_ip [metric] 例如:route ouside 1.1.1.0 255.255.255.0 2.2.2.2 1,第三章 防火墙的管理,管理Flash文件系统 管理配置文件 管理会话 系统重启和崩溃 SNMP支持,第三章 防火墙的管理,管理Flash文件系统 管理配置文件 管理会话 系统重启和崩溃 SNMP支持,管理Flash文件系统,show flash 显示flash文件; 像IOS的文件系统,具有层级目录由于该系统使用类Unix的指令,所以可以使用下列常用命令来对该文件系统操作: dir pwd cd more delete copy rename mkdir rmdir format erase fsck(检查文件系统完整性) 能保存多个系统镜像Firewall(config)# boot system flash:filename 来选取不同的系统镜像 show bootvar进行验证,第三章 防火墙的管理,管理Flash文件系统 管理配置文件 管理会话 系统重启和崩溃 SNMP支持,管理配置文件,显示启动配置文件: Firewall# show startup-config Firewall# show running-config 保存当前配置文件 write memory, copy running-config startup-config,第三章 防火墙的管理,管理Flash文件系统 管理配置文件 管理会话 系统重启和崩溃 SNMP支持,管理会话,Firewall(config)# console timeout minutes 配置console登录的超时(缺省0不超时) 禁止来自outside端口的telnet,启用telnet: Firewall(config)# telnet ip_address netmask if_name Firewall(config)# telnet timeout minutes 配置telnet超时,,启用SSH配置 首先生成RSA密钥对: Firewall(config)# domain-name name Firewall(config)# crypto key generate rsa general-keys使用show crypto key mypubkey rsa来验证 最后允许ssh会话: Firewall(config)# ssh ip_address netmask if_name,,ASDM配置: Firewall(config)# asdm image flash:/path 来指定镜像位置,如果没有可以使用copy命令来安装。
然后配置访问许可: Firewall# http ip_address subnet_mask if_name 启用HTTP进程: Firewall# http server enable 使用https://ip-address来访问(演示) 监控管理会话:who监控telnet会话 kill telnet-id来清除会话show ssh sessions监控ssh会话ssh disconnect session-id清除ssh会话,第三章 防火墙的管理,管理Flash文件系统 管理配置文件 管理会话 系统重启和崩溃 SNMP支持,系统重启和崩溃,通常使用reload命令重启系统,从7.0以后支持在特定的时间重启系统: Firewall# reload at hh:mm [month day | day month] [max-hold-time {minutes | hhh:mm}] [noconfirm] [quick] [save-config] [reason text] 或者经过一定的时间间隔后重启: Firewall# reload in {minutes | hh:mm} [max-hold-time {minutes | hhh:mm}] [noconfirm] [quick] [save-config] [reason text],第三章 防火墙的管理,管理Flash文件系统 管理配置文件 管理会话 系统重启和崩溃 SNMP支持,SNMP支持,SNMP访问许可 : Firewall(config)# snmp-server host if_name ip_addr Firewall(config)# snmp-server community key,第四章 用户管理,一般用户管理 本地数据库管理用户 使用AAA服务器来管理用户 配置AAA管理用户 密码恢复,第四章 用户管理,一般用户管理 本地数据库管理用户 使用AAA服务器来管理用户 配置AAA管理用户 密码恢复,一般用户管理,缺省情况下认证用户仅需要password,这样的一般用户缺省用户名就是enable_1,在ssh情况下缺省用户名就是pix,然后用password来认证。
非特权模式密码配置: Firewall(config)# password password [encrypted] (恢复缺省密码cisco 用clear {password | passwd}) 特权模式密码配置: Firewall(config)# enable password password [encrypted],第四章 用户管理,一般用户管理 本地数据库管理用户 使用AAA服务器来管理用户 配置AAA管理用户 密码恢复,本地数据库管理用户,定义用户: Firewall(config)# username username password password privilege level 启用本地认证: Firewall(config)# aaa authentication {serial | telnet | ssh | http} console LOCAL,第四章 用户管理,一般用户管理 本地数据库管理用户 使用AAA服务器来管理用户 配置AAA管理用户 密码恢复,使用AAA服务器来管理用户,定义AAA服务器组和协议: Firewall(config)# aaa-server server_tag protocol {tacacs+ | radius} Firewall(config)# aaa-server server_tag (if_name) host server_ip [key] 例如:aaa-server acs protocol tacacs+aaa-server acs (inside) host 1.1.1.1,第四章 用户管理,一般用户管理 本地数据库管理用户 使用AAA服务器来管理用户 配置AAA管理用户 密码恢复,配置AAA管理用户,启用认证: Firewall(config)# aaa authentication {serial | telnet | ssh | http} console server_tag [LOCAL] 启用授权: Firewall(config)# aaa authorization command server_tag [LOCAL] 启用统计: Firewall(config)# aaa accounting command [privilege level] server_tag,。