防火墙的安装和配置.ppt_三一办公31ppt.com

资源描述

《防火墙的安装和配置.ppt》由会员分享，可在线阅读，更多相关《防火墙的安装和配置.ppt（54页珍藏版）》请在三一办公上搜索。

1、,第8章防火墙安装与配置,网络设备的安装与管理,本章内容,防火墙安装防火墙配置配置Cisco PIX防火墙恢复PIX的口令升级PIX版本,8.1 防火墙安装,8.1.1 PIX防火墙安装定制在开始考虑安装PIX之前，必须决定哪种PIX模式能够满足你的业务需要。PIX系列产品中有许多相同的特征和功能；每个PIX模式中接口和连接数量是不同的。下面的问题将帮助理解你的网络需求，并把你的注意力集中到防火墙必须包含的服务和性能上。,有多少用户（连接）将会通过防火墙？防火墙支持语音和多媒体应用吗？本单位需要多少接口？本单位需要VPN服务吗？若需要，安全级别是什么：56位DES、168位3DES还

2、是两者都要？防火墙需要如VPN加速卡等附件设备吗？本单位希望使用PIX设备管理器吗？本单位需要用容错性吗？回答这些问题不仅能帮助你为单位选择适当的PIX模型，还能帮助你购买正确的许可证。,8.1.2 安装前部署中的安装前阶段是确定PIX型号、许可证、特性和物理位置的阶段。选择许可证选择PIX型号,1.选择许可证无限制（Unrestricted）当防火墙使用无限制（UR）许可证时允许安装和使用最大数量的接口和RAM。无限制许可证支持故障倒换功能。受限（Restricted）当防火墙使用受限制（R）许可证时，其支持的接口数量受到限制，另外，系统中的RAM的可用数量也受到限制。一个使用受限制许可证的

3、防火墙不能通过配置故障倒换功能来实现冗余。故障倒换（Failover）当使用故障倒换（FO）软件许可证的PIX防火墙与使用无限制许可证的PIX防火墙协同工作时，将被置于故障倒换模式。,2选择PIX型号,型号选择主要基于两个方面：性能和容错性。性能被分为两类：吞吐量和并发连接。容错性是在PIX515平台中第一次被引入。,8.1.3 安装接口配置电缆连接初始PIX输入,1.接口配置在PIX上对安全策略进行配置的第一步是确定要使用的接口并收集他的基本配置信息。每一个PIX都至少有两个接口：内部接口（较安全）和外部接口（较不安全）。使用表8-2可以帮组你简化配置PIX接口的过程，记录每个接口的基本信息

4、是有用的。,2.电缆连接在启动PIX之前，把控制端口（Console）电缆连接到PC机（通常是便于移动的笔记本电脑）的COM端口，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，如图8-1所示。,3.初始PIX输入当PIX515通电后，会看到前置面板上的3个LED灯，如图8-2所示，分别标有POWER，NETWORK 和ACT。当防火墙部件是活动的failover时，ACT LED会亮。如果没有配置Failover，ACT LED将总是亮着。当至少一个接口通过流量时，NETWORK LED会亮

5、。,当你第一次启动PIX防火墙的时候，你应该看到如图8-3所示的以下输出：,8.2 防火墙配置,8.2.1 防火墙的基本配置原则拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。,在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的

6、配置过程中需坚持以下三个基本原则：1简单实用：2全面深入：3内外兼顾：,8.2.2 防火墙的初始配置像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以Cisco PIX防火墙为例进行介绍。防火墙与路由器一样也有四种用户配置模式，即：非特权模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样：,防火墙的具体配置步骤如下：1将防火墙的Console端口用一条防火墙自带的串行电缆连接

7、到笔记本电脑的一个空余串口上，如图8-1。2打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。3运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。4当PIX防火墙进入系统后即显示“pixfirewall”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。5输入命令：enable，进入特权用户模式，此时系统提示为：pixfirewall#。6输入命令：configure terminal，进入全局配置模式，对系统进行初始化

8、设置。7.配置保存：write memory8.退出当前模式：exit9.查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。10.查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。11.查看静态地址映射：show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。,8.3 配置Cisco PIX防火墙,这里我们选用第三种方式配置Cisco PIX 525防火墙。1同样是用一条串行电缆从电脑的COM口连到Cisco PIX 52

9、5防火墙的console口；2开启所连电脑和防火墙的电源，进入Windows系统自带的“超级终端”，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pixfirewall。3输入enable命令，进入Pix 525特权用户模式，默然密码为空。,缺省情况下，enable命令假定用户尝试接入的特权级别是15（最高特权级别）。在配置PIX的基本网络接入的时候，有一些必须实施；为防火墙接口分配I

10、P地址；配置防火墙名称、域名和密码；设置防火墙路由；配置防火墙的远程管理接入功能；为出站流量设置地址转换；配置ACL；配置防火墙日志。,8.3.1 在防火墙接口上分配IP地址要在网络中通信，防火墙需要在其接口上指定IP地址。这项工作在PIX的6.x和7.x版本中的实施有区别，但是基本步骤是一样的：启用接口、配置接口参数、为该接口指定IP地址。,在PIX的6.x版本中分配IP地址firewall#configure terminalfirewall(config)#firewall(config)#interface ethernet0 autofirewall(config)#interfac

11、e ethernet1 autofirewall(config)#nameif ethernet0 outside security0firewall(config)#nameif ethernet1 inside security100firewall(config)#ip address outside 10.19.24.1 255.255.255.0firewall(config)#ip address inside 192.168.122.1 255.255.255.0,在PIX的7.x版本中分配IP地址firewall(config)#interface ethernet 2fire

12、wall(config-if)#firewall(config-if)#no shutdownfirewall(config-if)#nameif dmz01firewall(config-if)#security-level 50firewall(config-if)#speed autofirewall(config-if)#duplex autofirewall(config-if)#ip address 10.21.67.17 255.255.255.240,8.3.2 配置防火墙名称、域名和密码firewall(config)#hostname pixpix(config)#doma

13、in-name pix.labpix(config)#passwd ciscopix(config)#enable password cisco,8.3.3 配置防火墙路由设置pix(config)#route outside 0.0.0.0 0.0.0.0 10.21.67.2 1该route命令中末尾的1指明了下一跳的度量值，这是可选的。通常缺省路由将会指向防火墙连接到Internet的下一跳路由，如Internet服务商网络中的路由器。,8.3.4 配置防火墙管理远程接入PIX防火墙支持三种主要的远程管理接入方式：Telnet;SSH;ASDM/PDM。其中Telnet和SSH都是用来提

14、供对防火墙的命令行界面（CLI）方式接入，而ASDM/PDM提供的则是一种基于HTTPS的图形化界面（GUI）管理控制台。,1.配置Telnet接入pix(config)#telnet 10.21.120.15 255.255.255.255 inside2.配置SSH接入步骤1 给防火墙分配一个主机名和域名；步骤2 生产并保存RSA密钥对；步骤3 配置防火墙允许SSH接入。pix(config)#ca generate rsa key 1024pix(config)#ca save allpix(config)#crypto key generate rsa modulus 1024pix(

15、config)#ssh 10.21.120.15 255.255.255.255 inside,3.配置ASDM/PDM接入除了使用CLI的管理方式之外，PIX防火墙还支持一种GUI远程管理方式。在PIX6.x中，这种管理接口被称为PIX设备管理器（PDM）。而在PIX的7.x，该管理接口被称为自适应安全设备管理器（ASDM）。pix(config)#http server enablepix(config)#http 10.0.0.0 255.0.0.0 inside,ASDM/PDM的接入是通过Web浏览器连接到Web服务器的方式来实现的。ASDM还可以通过一种基于java的应用来使用AS

16、DM，而不用代开Web浏览器，如图8-4所示：,Cisco ASDM简介,作为自适应安全设备管理器，Cisco ASDM以图形界面方式，配置和管理Cisco PIX和Cisco ASA安全设备。,Cisco ASDM具有如下特点：,1.集成化管理提高管理效率2.启动向导加速安全设备的部署3.仪表盘提供重要实时系统状态信息4.安全策略管理降低运营成本5.安全服务实现基于角色的、安全的管理访问6.VPN管理将安全连接扩展到远程站点7.管理服务与应用检测相互协作8.智能用户界面简化网络集成9.安全管理界面提供一致的管理服务10.监控和报告工具实现关键业务数据分析,Cisco ASDM主页,VPN配置

17、,高级OSPF配置,监控和报告工具实现关键业务数据分析,（1）监控工具（2）系统图（3）连接图（4）攻击保护系统图（5）接口图（6）VPN统计和连接图,1.运行ASDM,Cisco ASDM主窗口,2.为NAT创建IP地址池,（1）指定DMZ的IP地址范围,（2）为外部端口指定IP地址池,3.配置内部客户端访问DMZ区的Web服务器,5.为Web服务器配置外部ID,4.配置内部客户端访问Internet,6.允许Internet用户访问DMZ的Web服务,8.3.5 对出站实施NAT 1在PIX 6.x中配置NATnat（local-interface）id local-ip mask dns

18、 outside|norandomseq max_conns emb_limit pix（config）#nat（insids）1 0.0.0.0 0.0.0.0global（if-name）nat-id global-ip-global-ip netmask global-mask|interface pix（config）#global（outside）1 10.21.67.40-10.21.67.45 netmask 255.255.255.240pix（config）#global（outside）1 interfaceoutside interface address added t

19、o PAT poolpix（config）#,2在PIX 7.x中配置NATnat(real-ifc)nat-id real-ip mask dns outside tcp tcp-max-conns emb-limit udp udp-max-conns norandomseqglobal(mapped-ifc)nat-id mapped-ip-mapped-ip netmask mask|interfacepix(config)#nat-controlpix(config)#nat(inside)1 0.0.0.0 0.0.0.0pix(config)#global(outside)1 1

20、0.21.67.10-10.21.67.14 netmask 255.255.255.240pix(config)#global(outside)1 interface INFO:outside interface address added to PAT poolpix(config)#,8.3.6 配置ACLs 配置和实施ACL分两步完成：定义ACL以及实施ACE；将ACL应用于某接口。,1定义ACL和实施ACEPIX支持多种不同类型的ACL：EtherType访问列表这种ACL根据EtherType值来过滤流量；扩展访问列表这是最常用的ACL实施类型，它用来对基于TCP/IP的流最进行通

21、用目的的过滤；标准访问列表该ACL用来指定目的IP地址，它可以用来在路由映射表（routemap）中进行OSPF路由重分布；WebType访问列表该ACL用来进行WebVPN的过滤，只在PIX 7.1或者更新版本中才被支持。,创建一组ACL的过程非常简单直接，通常需要定义如下的参数。流量需要通过什么样的方式去匹配ACL中的ACE？需要使用什么样的协议？流量的源是什么？流量的目的是什么？使用了哪个/哪些应用端口？,扩展ACL的命令语法及其参数如下所示：access-list id line line-number extended deny|permit protocol|object-grou

23、isable|default inactive|time-range time_range_name 尽管参数信息看上去非常多，但是在大多数情况下很多参数值都是可选的，甚至是不需要使用的。大多数时候对access-list命令的使用都是按照下面这种简化方式：access-list id deny|permit protocol source destination operator port,举例来说，如果想要定义一条ACL，用来允许从任何主机到一台Web服务器的HTTP流量的话，需要运行下面的命令：pix(config)#access-list out_in_01 permit tcp an

24、y host 10.21.67.2 eq http 在上述例子中，我们定义的ACL名称是“out-in-01”，并且将其配置成允许TCP的80端口（HTTP）流量可以从任何源访问目的地10.21.67.2。如果想使用同样的ACL来允许SMTP流量到另一台服务器，执行下面的命令：pix(config)#access-list out_in_01 permit tcp any host 10.21.67.3 eq smtp通过下面的命令，可以显示出这两行ACL条目己经被添加到了同一个ACL中（在所有ACL的末尾都有一条隐藏的deny ip any any规则，所以最好还是将这条规则显式地添加到所有

25、ACL中去）。pix(config)#show access-list out_in_01access-list out_in_01;2 elementsaccess-list out_in_01 line 1 extended permit tcp any host 10.21.67.2 eq www(hitcnt=0)access-list out_in_01 line 2 extended permit tcp any host 10.21.67.3 eq smtp(hitcnt=0),2将ACL指定于某接口无论防火墙上运行的是哪种版本的软件，ACL都是通过access-group命令来

26、应用于接口的。在6.x和7.x版本中的惟一的真正区别是7.x可以在其语法中指定in或是out，如下所示：access-group access-list in|out interface interface-name per-user-override 举例来说，如果想要应用前面定义好的ACL（ACL out_in_01）到防火墙的外部接口，可以运行下面的命令：pix(config)#access-group out_in_01 in interface outside 到这里，假设你己经相应地配置了地址转换规则，那么在外部接口就会按照ACL out_in_01的规则相应地允许或者拒绝流最了。

27、,8.3.7 在防火墙上配置日志一般来说，PIX防火墙支持下列常用的日志终端：控制台；监控器（Telnet和SSH会话）；ASDM（PIX 7.x版本存在）；远程通步日志服务器。,8.4 恢复PIX的口令,习题,1填空（1）防火墙的4种用户配置模式是_、_、_和_，进入各自配置模式所用的命令分别是_、_、_和_。（2）防火墙的配置通常是通过_端口进行的，保存防火墙配置的命令是_，退出防火墙配置当前模式的命令是_，查看当前模式下所有可用命令的命令是_，查看端口状态的命令是_。（3）创建标准访问列表的命令是_，删除标准访问列表的命令是_,将规则应用于接口的命令是_，显示包过滤规则的命令是_，显示当前防火墙状态的命令是_。2简答题（1）防火墙的3个基本特性和主要功能是什么？（2）概述防火墙的分类。（3）概述防火墙的主要应用和部署。（4）防火墙的基本配置原则有哪些？,

展开阅读全文