收藏
下载资源 加入VIP免费专享

CISCO防火墙常见功能实现.ppt

上传人:牧羊曲112 文档编号:6503076 上传时间:2023-11-07 格式:PPT 页数:37 大小:332.99KB
返回 下载 相关 举报
CISCO防火墙常见功能实现.ppt_第1页
第1页 / 共37页
CISCO防火墙常见功能实现.ppt_第2页
第2页 / 共37页
CISCO防火墙常见功能实现.ppt_第3页
第3页 / 共37页
CISCO防火墙常见功能实现.ppt_第4页
第4页 / 共37页
CISCO防火墙常见功能实现.ppt_第5页
第5页 / 共37页
点击查看更多>>
资源描述

《CISCO防火墙常见功能实现.ppt》由会员分享,可在线阅读,更多相关《CISCO防火墙常见功能实现.ppt(37页珍藏版)》请在三一办公上搜索。

1、2023/11/7,Inspur group,CISCO防火墙常见功能实现,Inspur group,主要内容,ASA/PIX基本配置访问控制VPN配置双机配置特殊情况使用防火墙板卡,Inspur group,ASA/PIX基本配置,1、设备名称 asa(config)hostname asa2、接口 信息配置 interface fastehernet 0/1 nameif outside security-level 06.0及以前版本使用如下命令:nameif fastethernet0/1 outside security-level 03、路由配置,Inspur group,ASA/

2、PIX基本配置,Nameif:为每个端口确定名字 security-level:安全级别,你可以给每个端口分配1-99的任何一个安全级别,数值越大,安全级别越高。默认inside 100、manage 100、outside0,2023/11/7,Inspur group,访问控制,当你从一个高安全级别的端口访问低安全级别的端口时,使用NAT(insideoutside、inside dmz、dmz outside)当你从一个低安全级别的端口访问高安全级别的端口时,使用STATIC+ACL(outsideinside、outsidedmz、dmzinside),Inspur group,访问控

3、制-NAT,动态NAT静态NATBYPASS NAT,Inspur group,访问控制-NAT,动态NAT将内网的多个私有地址转换成外网地址Global(outside)Nat(inside)上述命令表示内部网段访问外网的时将转换成的地址访问internet,若以外网端口地址转换则称为PATGlobal(outside)1 interfaceNat(inside),Inspur group,访问控制-NAT,动态NATglobal 指定公网地址范围:定义地址池。Global命令的配置语法:global(if_name)nat_id ip_address-ip_address netmark

4、global_mask 其中:(if_name):表示外网接口名称,一般为outside。nat_id:建立的地址池标识(nat要引用)。ip_address-ip_address:表示一段ip地址范围。netmark global_mask:表示全局ip地址的网络掩码。,Inspur group,访问控制-NAT,动态NATnat 地址转换命令,将内网的私有ip转换为外网公网ip。nat命令配置语法:nat(if_name)nat_id local_ip netmark 其中:(if_name):表示接口名称,一般为inside.nat_id:表示地址池,由global命令定义。local_

5、ip:表示内网的ip地址。对于表示内网所有主机。netmark:表示内网ip地址的子网掩码。,Inspur group,访问控制-NAT,静态NAT配置内网地址与外网地址一一对应,也可以配置基于应用端口的静态转换,称为static PAT,Inspur group,访问控制-NAT,静态NATStatic(Static(inside,outside)tcp 209.165.201.1 23 10.1.1.1 23,Inspur group,访问控制-NAT,静态NATstatic(internal_if_name,external_if_name)outside_ip_addr inside_

6、 ip_address 其中:internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name表示外部网络接口,安全级别较低,如outside。outside_ip_address表示外部网络的公有ip地址。inside_ ip_address表示内部网络的本地ip地址。,Inspur group,访问控制-NAT,BYPASS NAT高安全级别区域地址以原地址访问低安全级别区域,Inspur group,访问控制-NAT,BYPASS NAT1、整体2、匹配策略Access-list 100 permit ip 192.168.0.0 255.

7、255.255.0 Nat(inside)0 access-list 100,Inspur group,访问控制-ACL,标准扩展Access-list test extended permit ip 192.168.0.0 使用方法:Access-group test in interface outside,Inspur group,VPN配置,LAN-LAN(L2L)Remote-access(ra),Inspur group,VPN配置-L2L,环境说明 两地用户,内部网段分别为与要求使用L2L进行数据加密处理,Inspur group,VPN配置-L2L,1、定义IKE policy

8、,并在接口启用crypto isakmp policy 10 authentication pre-share/pre-share认证方式 encryption 3des/加密 hash sha/完整性验证 group 2/密钥位数1024,group1为768 lifetime 86400/sa周期默认一天crypto isakmp enable outside,Inspur group,VPN配置-L2L,2、定义触发流量access-list 100 extended permit ip 10.2.2.0 255.255.255.0 3、配置VPN流量以原地址访问access-list

9、nonat extended permit ip 10.2.2.0 nat(inside)0 access-list nonat,Inspur group,VPN配置-L2L,4、定义IPSEC转换集crypto ipsec transform-set myset esp-3des esp-sha-hmac Esp-3des 加密算法;esp-sha-hmac 验证算法5、配置加密图并应用在相关接口crypto map outside_map 20 match address 100 crypto map outside_map 20 set transform-set mysetcrypto

10、 map outside_map interface outside,Inspur group,VPN配置-L2L,6、配置虚拟通道及属性tunnel-group 192.168.1.1 type ipsec-l2ltunnel-group 192.168.1.1 ipsec-attributes pre-shared-key*,Inspur group,VPN配置-Remote ACCESS,1、配置用户地址池2、配置IKE协商策略,并应用在外网接口crypto isakmp policy 10 authentication pre-share/pre-share认证方式 encryptio

11、n 3des/加密 hash sha/完整性验证 group 2/密钥位数1024,group1为768 lifetime 86400/sa周期默认一天crypto isakmp enable outside,Inspur group,VPN配置-Remote ACCESS,3、定义转换集crypto ipsec transform-set myset esp-3des esp-sha-hmac4、配置动态加密图Crypto dynamic-map ravpn 10 set transform-set myset Crypto dynamic-map ravpn 10 set reverse-

12、route5、配置静态加密图调用动态加密图并应用在外部接口crypto map vpn 10 ipsec-isakmp dynamic ravpncrypto map vpn interface outside,Inspur group,VPN配置-Remote ACCESS,6、允许nat穿越Crypto isakmp nat-traversal7、创见并设置组策略Group-policy vpnclient internalGroup-policy vpnclient attributes split-tunnel-policy tunnelall,Inspur group,VPN配置-R

13、emote ACCESS,8、隧道组建立及属性设置Tunnel-group vpnclient type ipsec-raTunnel-group vpnclient ipsec-attributes pre-shared key ciscoTunnel-group vpnclient general-attributes address-pool vpnpool authentication-server-group(outside)LOCAL default-group-policy vpnclient,Inspur group,VPN配置-Remote ACCESS,8、设置账户User

14、name cisco password cisco Username cisco attributes9、配置VPN用户与内部网络访问(假设内网为)acl 192.168.10.0 192.168.1.0(outside)no nat 192.168.1.0 192.168.10.0(inside),Inspur group,VPN配置-讨论,假设用户既有l2l又有remote access 的VPN需求,防火墙设备改如何实现此功能?,Inspur group,ASA Failover配置,配置Failover时,需要两台完全一样的ASA设备,同时需要硬件、软件及License的支持。Fail

15、over主要有两种模式Active/Active failover and Active/Standby,前者相当于负载均衡的械式,后者则是主备的方式,同时只有一台设备有流量通过。配置Failover需要配置Failover Link,Link的方式有两处,一种是基于serial cable,另一种是基于Lan的,ASA设备都是基于Lan的。,Inspur group,ASA Failover配置,主用ASA配置ASA-1(config)#failoverASA-1(config)#failover lan unit primaryASA-1(config)#failover lan inte

16、rface HA Ethernet0/2ASA-1(config)#failover link HA Ethernet0/2ASA-1(config)#failover key test)!)ASA-1(config)#failover使用no shut 启用接口,Inspur group,ASA Failover配置,备用ASA配置ASA-2(config)#failoverASA-2(config)#failover lan unit secondaryASA-2(config)#failover lan interface HA Ethernet0/2ASA-2(config)#fail

17、over link HA Ethernet0/2ASA-2(config)#failover key test)!)ASA-2(config)#failover使用no shut 启用接口,Inspur group,特殊情况使用,CISCO防火墙的安全特性,导致内部用户在使用外部dns的时候不能正确访问自己的网站应用。若单位内部www服务器,转换成,以 对外提供服务器,则内部用户不能使用域名访问。可以使用alias别名方法解决 alias(inside)或dns修改 static(inside,outside)202.102.111.1 192.168.1.1 netmask 255.255.

18、255.255 dns,Inspur group,防火墙板卡,1、登陆到防火墙板卡cisco7609#session slot 3 professor 12、防火墙工作模式FWSM有2种context工作模式:一种为single context mode即为一个物理FWSM;另一种为Multiple Context Mode即将FWSM虚拟成多个FW,可通过show mode命令查看。!切换至multiple context mode,会提示重新启动设备FWSM(config)#mode multiple!重启后验证一下:FWSM#sh mode Security context mode:m

19、ultiple,Inspur group,防火墙板卡,3、在交换机创建VLAN并添加到FWSMcisco7609(config)#firewall multiple-vlan-interfacescisco7609(config)#firewall module 3 vlan-group 1,2cisco7609(config)#firewall vlan-group 1 10,12,110,112cisco7609(config)#firewall vlan-group 2 80-92,180-1924、FWSM配置创建CONTEXT配置多个context必须先创建admin context

20、,然后再创建其他的,Inspur group,防火墙板卡,FWSM(config)#admin-context adminFWSM(config)#context adminFWSM(config-ctx)#allocate-interface vlan12FWSM(config-ctx)#allocate-interface vlan112FWSM(config-ctx)#config-url disk:/admin.cfgFWSM(config-ctx)#context testFWSM(config-ctx)#allocate-interface vlan10FWSM(config-ct

21、x)#allocate-interface vlan110FWSM(config-ctx)#config-url disk:/test.cfg,Inspur group,防火墙板卡,配置CONTEXT用changeto context name直接切换至某一context,下面以test为例FWSM#changeto context test FWSM/test#conf tFWSM/test(config)#int vlan 10FWSM/test(config-if)#nameif insideINFO:Security level for inside set to 100 by default.FWSM/test(config-if)#int vlan 110FWSM/test(config-if)#nameif outsideINFO:Security level for outside set to 0 by default.,Inspur group,防火墙板卡,其他配置可参考ASA附录ASA SSH配置,2023/11/7,Inspur group,谢谢大家!,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号