欢迎来到三一办公! | 帮助中心 三一办公31ppt.com(应用文档模板下载平台)
三一办公

热门搜索:

上传我的资源
三一办公
上传我的资源
全部分类
  • 办公文档>
  • PPT模板>
  • 建筑/施工/环境>
  • 毕业设计>
  • 工程图纸>
  • 教育教学>
  • 素材源码>
  • 生活休闲>
  • 临时分类>
  • 首页
  • 专题
  • 专家
  • 资讯
    • ImageVerifierCode 换一换
    首页 三一办公 > 资源分类 > PPT文档下载  

    CISCO防火墙常见功能实现.ppt

    • 资源ID:6503076       资源大小:332.99KB        全文页数:37页
    • 资源格式: PPT        下载积分:15金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要15金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    1、下载资料失败解决办法   
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
    客服网站客服投诉侵权投诉

    CISCO防火墙常见功能实现.ppt

    2023/11/7,Inspur group,CISCO防火墙常见功能实现,Inspur group,主要内容,ASA/PIX基本配置访问控制VPN配置双机配置特殊情况使用防火墙板卡,Inspur group,ASA/PIX基本配置,1、设备名称 asa(config)hostname asa2、接口 信息配置 interface fastehernet 0/1 nameif outside security-level 06.0及以前版本使用如下命令:nameif fastethernet0/1 outside security-level 03、路由配置,Inspur group,ASA/PIX基本配置,Nameif:为每个端口确定名字 security-level:安全级别,你可以给每个端口分配1-99的任何一个安全级别,数值越大,安全级别越高。默认inside 100、manage 100、outside0,2023/11/7,Inspur group,访问控制,当你从一个高安全级别的端口访问低安全级别的端口时,使用NAT(insideoutside、inside dmz、dmz outside)当你从一个低安全级别的端口访问高安全级别的端口时,使用STATIC+ACL(outsideinside、outsidedmz、dmzinside),Inspur group,访问控制-NAT,动态NAT静态NATBYPASS NAT,Inspur group,访问控制-NAT,动态NAT将内网的多个私有地址转换成外网地址Global(outside)Nat(inside)上述命令表示内部网段访问外网的时将转换成的地址访问internet,若以外网端口地址转换则称为PATGlobal(outside)1 interfaceNat(inside),Inspur group,访问控制-NAT,动态NATglobal 指定公网地址范围:定义地址池。Global命令的配置语法:global(if_name)nat_id ip_address-ip_address netmark global_mask 其中:(if_name):表示外网接口名称,一般为outside。nat_id:建立的地址池标识(nat要引用)。ip_address-ip_address:表示一段ip地址范围。netmark global_mask:表示全局ip地址的网络掩码。,Inspur group,访问控制-NAT,动态NATnat 地址转换命令,将内网的私有ip转换为外网公网ip。nat命令配置语法:nat(if_name)nat_id local_ip netmark 其中:(if_name):表示接口名称,一般为inside.nat_id:表示地址池,由global命令定义。local_ip:表示内网的ip地址。对于表示内网所有主机。netmark:表示内网ip地址的子网掩码。,Inspur group,访问控制-NAT,静态NAT配置内网地址与外网地址一一对应,也可以配置基于应用端口的静态转换,称为static PAT,Inspur group,访问控制-NAT,静态NATStatic(Static(inside,outside)tcp 209.165.201.1 23 10.1.1.1 23,Inspur group,访问控制-NAT,静态NATstatic(internal_if_name,external_if_name)outside_ip_addr inside_ ip_address 其中:internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name表示外部网络接口,安全级别较低,如outside。outside_ip_address表示外部网络的公有ip地址。inside_ ip_address表示内部网络的本地ip地址。,Inspur group,访问控制-NAT,BYPASS NAT高安全级别区域地址以原地址访问低安全级别区域,Inspur group,访问控制-NAT,BYPASS NAT1、整体2、匹配策略Access-list 100 permit ip 192.168.0.0 255.255.255.0 Nat(inside)0 access-list 100,Inspur group,访问控制-ACL,标准扩展Access-list test extended permit ip 192.168.0.0 使用方法:Access-group test in interface outside,Inspur group,VPN配置,LAN-LAN(L2L)Remote-access(ra),Inspur group,VPN配置-L2L,环境说明 两地用户,内部网段分别为与要求使用L2L进行数据加密处理,Inspur group,VPN配置-L2L,1、定义IKE policy,并在接口启用crypto isakmp policy 10 authentication pre-share/pre-share认证方式 encryption 3des/加密 hash sha/完整性验证 group 2/密钥位数1024,group1为768 lifetime 86400/sa周期默认一天crypto isakmp enable outside,Inspur group,VPN配置-L2L,2、定义触发流量access-list 100 extended permit ip 10.2.2.0 255.255.255.0 3、配置VPN流量以原地址访问access-list nonat extended permit ip 10.2.2.0 nat(inside)0 access-list nonat,Inspur group,VPN配置-L2L,4、定义IPSEC转换集crypto ipsec transform-set myset esp-3des esp-sha-hmac Esp-3des 加密算法;esp-sha-hmac 验证算法5、配置加密图并应用在相关接口crypto map outside_map 20 match address 100 crypto map outside_map 20 set transform-set mysetcrypto map outside_map interface outside,Inspur group,VPN配置-L2L,6、配置虚拟通道及属性tunnel-group 192.168.1.1 type ipsec-l2ltunnel-group 192.168.1.1 ipsec-attributes pre-shared-key*,Inspur group,VPN配置-Remote ACCESS,1、配置用户地址池2、配置IKE协商策略,并应用在外网接口crypto isakmp policy 10 authentication pre-share/pre-share认证方式 encryption 3des/加密 hash sha/完整性验证 group 2/密钥位数1024,group1为768 lifetime 86400/sa周期默认一天crypto isakmp enable outside,Inspur group,VPN配置-Remote ACCESS,3、定义转换集crypto ipsec transform-set myset esp-3des esp-sha-hmac4、配置动态加密图Crypto dynamic-map ravpn 10 set transform-set myset Crypto dynamic-map ravpn 10 set reverse-route5、配置静态加密图调用动态加密图并应用在外部接口crypto map vpn 10 ipsec-isakmp dynamic ravpncrypto map vpn interface outside,Inspur group,VPN配置-Remote ACCESS,6、允许nat穿越Crypto isakmp nat-traversal7、创见并设置组策略Group-policy vpnclient internalGroup-policy vpnclient attributes split-tunnel-policy tunnelall,Inspur group,VPN配置-Remote ACCESS,8、隧道组建立及属性设置Tunnel-group vpnclient type ipsec-raTunnel-group vpnclient ipsec-attributes pre-shared key ciscoTunnel-group vpnclient general-attributes address-pool vpnpool authentication-server-group(outside)LOCAL default-group-policy vpnclient,Inspur group,VPN配置-Remote ACCESS,8、设置账户Username cisco password cisco Username cisco attributes9、配置VPN用户与内部网络访问(假设内网为)acl 192.168.10.0 192.168.1.0(outside)no nat 192.168.1.0 192.168.10.0(inside),Inspur group,VPN配置-讨论,假设用户既有l2l又有remote access 的VPN需求,防火墙设备改如何实现此功能?,Inspur group,ASA Failover配置,配置Failover时,需要两台完全一样的ASA设备,同时需要硬件、软件及License的支持。Failover主要有两种模式Active/Active failover and Active/Standby,前者相当于负载均衡的械式,后者则是主备的方式,同时只有一台设备有流量通过。配置Failover需要配置Failover Link,Link的方式有两处,一种是基于serial cable,另一种是基于Lan的,ASA设备都是基于Lan的。,Inspur group,ASA Failover配置,主用ASA配置ASA-1(config)#failoverASA-1(config)#failover lan unit primaryASA-1(config)#failover lan interface HA Ethernet0/2ASA-1(config)#failover link HA Ethernet0/2ASA-1(config)#failover key test)!)ASA-1(config)#failover使用no shut 启用接口,Inspur group,ASA Failover配置,备用ASA配置ASA-2(config)#failoverASA-2(config)#failover lan unit secondaryASA-2(config)#failover lan interface HA Ethernet0/2ASA-2(config)#failover link HA Ethernet0/2ASA-2(config)#failover key test)!)ASA-2(config)#failover使用no shut 启用接口,Inspur group,特殊情况使用,CISCO防火墙的安全特性,导致内部用户在使用外部dns的时候不能正确访问自己的网站应用。若单位内部www服务器,转换成,以 对外提供服务器,则内部用户不能使用域名访问。可以使用alias别名方法解决 alias(inside)或dns修改 static(inside,outside)202.102.111.1 192.168.1.1 netmask 255.255.255.255 dns,Inspur group,防火墙板卡,1、登陆到防火墙板卡cisco7609#session slot 3 professor 12、防火墙工作模式FWSM有2种context工作模式:一种为single context mode即为一个物理FWSM;另一种为Multiple Context Mode即将FWSM虚拟成多个FW,可通过show mode命令查看。!切换至multiple context mode,会提示重新启动设备FWSM(config)#mode multiple!重启后验证一下:FWSM#sh mode Security context mode:multiple,Inspur group,防火墙板卡,3、在交换机创建VLAN并添加到FWSMcisco7609(config)#firewall multiple-vlan-interfacescisco7609(config)#firewall module 3 vlan-group 1,2cisco7609(config)#firewall vlan-group 1 10,12,110,112cisco7609(config)#firewall vlan-group 2 80-92,180-1924、FWSM配置创建CONTEXT配置多个context必须先创建admin context,然后再创建其他的,Inspur group,防火墙板卡,FWSM(config)#admin-context adminFWSM(config)#context adminFWSM(config-ctx)#allocate-interface vlan12FWSM(config-ctx)#allocate-interface vlan112FWSM(config-ctx)#config-url disk:/admin.cfgFWSM(config-ctx)#context testFWSM(config-ctx)#allocate-interface vlan10FWSM(config-ctx)#allocate-interface vlan110FWSM(config-ctx)#config-url disk:/test.cfg,Inspur group,防火墙板卡,配置CONTEXT用changeto context name直接切换至某一context,下面以test为例FWSM#changeto context test FWSM/test#conf tFWSM/test(config)#int vlan 10FWSM/test(config-if)#nameif insideINFO:Security level for inside set to 100 by default.FWSM/test(config-if)#int vlan 110FWSM/test(config-if)#nameif outsideINFO:Security level for outside set to 0 by default.,Inspur group,防火墙板卡,其他配置可参考ASA附录ASA SSH配置,2023/11/7,Inspur group,谢谢大家!,

    注意事项

    本文(CISCO防火墙常见功能实现.ppt)为本站会员(牧羊曲112)主动上传,三一办公仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三一办公(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-2

    经营许可证:宁B2-20210002

    宁公网安备 64010402000987号

    三一办公
    收起
    在线客服
    意见反馈
    返回顶部
    展开
    QQ交谈
    返回顶部