CISCO防火墙常见功能实现.ppt

上传人：牧羊曲112

文档编号：6503076

上传时间：2023-11-07

格式：PPT

页数：37

大小：332.99KB

《CISCO防火墙常见功能实现.ppt》由会员分享，可在线阅读，更多相关《CISCO防火墙常见功能实现.ppt（37页珍藏版）》请在三一办公上搜索。

1、2023/11/7,Inspur group,CISCO防火墙常见功能实现,Inspur group,主要内容,ASA/PIX基本配置访问控制VPN配置双机配置特殊情况使用防火墙板卡,Inspur group,ASA/PIX基本配置,1、设备名称 asa（config）hostname asa2、接口信息配置 interface fastehernet 0/1 nameif outside security-level 06.0及以前版本使用如下命令：nameif fastethernet0/1 outside security-level 03、路由配置,Inspur group,ASA/

2、PIX基本配置,Nameif：为每个端口确定名字 security-level：安全级别，你可以给每个端口分配1-99的任何一个安全级别，数值越大，安全级别越高。默认inside 100、manage 100、outside0,2023/11/7,Inspur group,访问控制,当你从一个高安全级别的端口访问低安全级别的端口时,使用NAT(insideoutside、inside dmz、dmz outside)当你从一个低安全级别的端口访问高安全级别的端口时,使用STATIC+ACL(outsideinside、outsidedmz、dmzinside),Inspur group,访问控

3、制-NAT,动态NAT静态NATBYPASS NAT,Inspur group,访问控制-NAT,动态NAT将内网的多个私有地址转换成外网地址Global（outside）Nat（inside）上述命令表示内部网段访问外网的时将转换成的地址访问internet,若以外网端口地址转换则称为PATGlobal（outside）1 interfaceNat（inside）,Inspur group,访问控制-NAT,动态NATglobal 指定公网地址范围：定义地址池。Global命令的配置语法：global(if_name)nat_id ip_address-ip_address netmark

4、global_mask 其中：(if_name)：表示外网接口名称，一般为outside。nat_id：建立的地址池标识(nat要引用)。ip_address-ip_address：表示一段ip地址范围。netmark global_mask：表示全局ip地址的网络掩码。,Inspur group,访问控制-NAT,动态NATnat 地址转换命令，将内网的私有ip转换为外网公网ip。nat命令配置语法：nat(if_name)nat_id local_ip netmark 其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。local_

5、ip：表示内网的ip地址。对于表示内网所有主机。netmark：表示内网ip地址的子网掩码。,Inspur group,访问控制-NAT,静态NAT配置内网地址与外网地址一一对应，也可以配置基于应用端口的静态转换，称为static PAT,Inspur group,访问控制-NAT,静态NATStatic（Static(inside,outside)tcp 209.165.201.1 23 10.1.1.1 23,Inspur group,访问控制-NAT,静态NATstatic(internal_if_name,external_if_name)outside_ip_addr inside_

6、 ip_address 其中：internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name表示外部网络接口，安全级别较低，如outside。outside_ip_address表示外部网络的公有ip地址。inside_ ip_address表示内部网络的本地ip地址。,Inspur group,访问控制-NAT,BYPASS NAT高安全级别区域地址以原地址访问低安全级别区域,Inspur group,访问控制-NAT,BYPASS NAT1、整体2、匹配策略Access-list 100 permit ip 192.168.0.0 255.

7、255.255.0 Nat(inside)0 access-list 100,Inspur group,访问控制-ACL,标准扩展Access-list test extended permit ip 192.168.0.0 使用方法：Access-group test in interface outside,Inspur group,VPN配置,LAN-LAN(L2L)Remote-access（ra）,Inspur group,VPN配置-L2L,环境说明两地用户，内部网段分别为与要求使用L2L进行数据加密处理,Inspur group,VPN配置-L2L,1、定义IKE policy

8、，并在接口启用crypto isakmp policy 10 authentication pre-share/pre-share认证方式 encryption 3des/加密 hash sha/完整性验证 group 2/密钥位数1024，group1为768 lifetime 86400/sa周期默认一天crypto isakmp enable outside,Inspur group,VPN配置-L2L,2、定义触发流量access-list 100 extended permit ip 10.2.2.0 255.255.255.0 3、配置VPN流量以原地址访问access-list

9、nonat extended permit ip 10.2.2.0 nat(inside)0 access-list nonat,Inspur group,VPN配置-L2L,4、定义IPSEC转换集crypto ipsec transform-set myset esp-3des esp-sha-hmac Esp-3des 加密算法；esp-sha-hmac 验证算法5、配置加密图并应用在相关接口crypto map outside_map 20 match address 100 crypto map outside_map 20 set transform-set mysetcrypto

10、 map outside_map interface outside,Inspur group,VPN配置-L2L,6、配置虚拟通道及属性tunnel-group 192.168.1.1 type ipsec-l2ltunnel-group 192.168.1.1 ipsec-attributes pre-shared-key*,Inspur group,VPN配置-Remote ACCESS,1、配置用户地址池2、配置IKE协商策略，并应用在外网接口crypto isakmp policy 10 authentication pre-share/pre-share认证方式 encryptio

11、n 3des/加密 hash sha/完整性验证 group 2/密钥位数1024，group1为768 lifetime 86400/sa周期默认一天crypto isakmp enable outside,Inspur group,VPN配置-Remote ACCESS,3、定义转换集crypto ipsec transform-set myset esp-3des esp-sha-hmac4、配置动态加密图Crypto dynamic-map ravpn 10 set transform-set myset Crypto dynamic-map ravpn 10 set reverse-

12、route5、配置静态加密图调用动态加密图并应用在外部接口crypto map vpn 10 ipsec-isakmp dynamic ravpncrypto map vpn interface outside,Inspur group,VPN配置-Remote ACCESS,6、允许nat穿越Crypto isakmp nat-traversal7、创见并设置组策略Group-policy vpnclient internalGroup-policy vpnclient attributes split-tunnel-policy tunnelall,Inspur group,VPN配置-R

13、emote ACCESS,8、隧道组建立及属性设置Tunnel-group vpnclient type ipsec-raTunnel-group vpnclient ipsec-attributes pre-shared key ciscoTunnel-group vpnclient general-attributes address-pool vpnpool authentication-server-group(outside)LOCAL default-group-policy vpnclient,Inspur group,VPN配置-Remote ACCESS,8、设置账户User

14、name cisco password cisco Username cisco attributes9、配置VPN用户与内部网络访问（假设内网为）acl 192.168.10.0 192.168.1.0(outside)no nat 192.168.1.0 192.168.10.0(inside),Inspur group,VPN配置-讨论,假设用户既有l2l又有remote access 的VPN需求，防火墙设备改如何实现此功能？,Inspur group,ASA Failover配置,配置Failover时，需要两台完全一样的ASA设备，同时需要硬件、软件及License的支持。Fail

15、over主要有两种模式Active/Active failover and Active/Standby，前者相当于负载均衡的械式，后者则是主备的方式，同时只有一台设备有流量通过。配置Failover需要配置Failover Link，Link的方式有两处，一种是基于serial cable，另一种是基于Lan的，ASA设备都是基于Lan的。,Inspur group,ASA Failover配置,主用ASA配置ASA-1(config)#failoverASA-1(config)#failover lan unit primaryASA-1(config)#failover lan inte

16、rface HA Ethernet0/2ASA-1(config)#failover link HA Ethernet0/2ASA-1(config)#failover key test)!)ASA-1(config)#failover使用no shut 启用接口,Inspur group,ASA Failover配置,备用ASA配置ASA-2(config)#failoverASA-2(config)#failover lan unit secondaryASA-2(config)#failover lan interface HA Ethernet0/2ASA-2(config)#fail

17、over link HA Ethernet0/2ASA-2(config)#failover key test)!)ASA-2(config)#failover使用no shut 启用接口,Inspur group,特殊情况使用,CISCO防火墙的安全特性，导致内部用户在使用外部dns的时候不能正确访问自己的网站应用。若单位内部www服务器，转换成，以对外提供服务器，则内部用户不能使用域名访问。可以使用alias别名方法解决 alias（inside）或dns修改 static(inside,outside)202.102.111.1 192.168.1.1 netmask 255.255.

18、255.255 dns,Inspur group,防火墙板卡,1、登陆到防火墙板卡cisco7609#session slot 3 professor 12、防火墙工作模式FWSM有2种context工作模式：一种为single context mode即为一个物理FWSM；另一种为Multiple Context Mode即将FWSM虚拟成多个FW，可通过show mode命令查看。!切换至multiple context mode，会提示重新启动设备FWSM(config)#mode multiple!重启后验证一下：FWSM#sh mode Security context mode:m

19、ultiple,Inspur group,防火墙板卡,3、在交换机创建VLAN并添加到FWSMcisco7609(config)#firewall multiple-vlan-interfacescisco7609(config)#firewall module 3 vlan-group 1,2cisco7609(config)#firewall vlan-group 1 10,12,110,112cisco7609(config)#firewall vlan-group 2 80-92,180-1924、FWSM配置创建CONTEXT配置多个context必须先创建admin context

20、，然后再创建其他的,Inspur group,防火墙板卡,FWSM(config)#admin-context adminFWSM(config)#context adminFWSM(config-ctx)#allocate-interface vlan12FWSM(config-ctx)#allocate-interface vlan112FWSM(config-ctx)#config-url disk:/admin.cfgFWSM(config-ctx)#context testFWSM(config-ctx)#allocate-interface vlan10FWSM(config-ct

21、x)#allocate-interface vlan110FWSM(config-ctx)#config-url disk:/test.cfg,Inspur group,防火墙板卡,配置CONTEXT用changeto context name直接切换至某一context,下面以test为例FWSM#changeto context test FWSM/test#conf tFWSM/test(config)#int vlan 10FWSM/test(config-if)#nameif insideINFO:Security level for inside set to 100 by default.FWSM/test(config-if)#int vlan 110FWSM/test(config-if)#nameif outsideINFO:Security level for outside set to 0 by default.,Inspur group,防火墙板卡,其他配置可参考ASA附录ASA SSH配置,2023/11/7,Inspur group,谢谢大家!,