防火墙日常维护

1、一、cisco pix日常维护常用命令1、pix模式介绍“>”用户模式firewall>enable 由用户模式进入到特权模式password:“#”特权模式firewall#config t 由特权模式进入全局配置模式“（config）#”全局配置模式firewall(config)#防火墙的配置只要在全局模式下完成就可以了。1、 基本配置介绍、端口命名、设备命名、ip地址配置及端口激活nameif ethernet0 outside security0 端口命名nameif gb-ethernet0 inside security100定义端口的名字以及安全级别，“outsid

2、e”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。firewall(config)#hostname firewall 设备名称firewall（config）#ip address outside 内外口地址设置firewall（config）#ip address inside firewall（config）# interface ethernet0 100full 激活外端口firewall（config）# i

3、nterface gb-ethernet0 1000auto 激活内端口、telnet、ssh、web登陆配置及密码配置防火墙默认是不允许内/外网用户通过远程登陆或web访问的，需要相应得开启功能。firewall（config）#telnet inside 允许内网此网断内的机器telnet到防火墙配置从外网远程登陆到防火墙firewall（config）#domain-name firewall（config）# ca generate rsa key 800firewall（config）#ca save allfirewall（co

4、nfig）#ssh outside 允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：firewall（config）#ssh 1 55 outsidefirewall（config）#enable password cisco 由用户模式进入特权模式的口令firewall（config）#passrd cisco ssh远程登陆时用的口令firewall（config）#username cisco password cisco web登陆时用到的用户名firewall（c

5、onfig）#http enable 打开http允许内网10网断通过http访问防火墙firewall（config）#http insidefirewall（config）#pdm enablefirewall（config）#pdm location insideweb登陆方式： 、保证防火墙能上网还要有以下的配置firewall（config）#nat （inside）1 0 0 对内部所有地址进行转换，或如下配置，对内部固定配置的地址进行转化，

6、未指定的不予转发firewall（config）#nat (inside) 1 fierwall(config)#nat (inside) 1 firewall (config) # global (outside) 1 interface 对进行nat转换得地址转换为防火墙外接口地址firewall (config) # route 指一条默认路由器到做完上面的配置内网用户就可以上网了，内部有层交换机且划分了，若要保证每个都能够上网，还要在防火

7、墙上指回到其他的路由，如：firewall (config) # route inside 、内网服务器映射如果在局域网内有服务器要发布到互联网上，需要在pix对内网服务器进行映射。服务器映射可以是一对一的映射，也可以是端口映射，一般我们采用端口映射及节约ip地址又能增强映射服务器的安全性。下面以发布内网一台web服务器来举例说明：firewall(config)#static (inside,outside) tcp 80 00 80上述命令便将内部的web服务器放到

8、了公网上面，但外面的用户并不能访问到，因为防火墙的外界口安全级别最低，从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开，如下：firewall(config)#access-list outside permit tcp any host eq 80firewall(config)#access-group outside in interface outside必须将用access-group命令将访问控制列表应用到外端口，上述完成后就可以从外网上来访问服务器了。、防火墙上常用的show命令firewall (config) #

9、show interface 查看所有端口的状态，端口是否出于连接状态interface ethernet0 "outside" is up, line protocol is up端口和协议都出于“”状态，正常。pixfirewall# sh cpu usage 查看的使用情况，如果的使用情况超过是不正常的，说明内部有对外占用了设备大量资源cpu utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1%如果内部有终端中毒（或利用下载）向网关送大量的数据包，会导致防火墙只能来处理病毒机器的请求，而无暇顾及正常流量

10、，导致正常用户不能上网，要找到不正常终端可以利用show conn来查看firewall(config)#show conn若用show conn查看到某个内部到互联网上的链接特别多，且都是高端口号的，可以断定此机器是在下载，然后可以通过在防火墙上的show arp命令查看到此计算机的地址，在用上面交换机维护命令讲到的命令确认他连接在交换机的端口，然后将此端口shotdown，或通过机房点位直接找到用户要求其停止，否则会占用出口带宽和防火墙的资源。firewall(config)#show conn local 9 查看具体一个地址的链接项：firewall(confi

11、g)#show version 查看防火墙的硬件信息firewall(config)#show xlate 查看内部地址时否转换成外端口地址来上网fierwall(config)#clear arp 清除表firewall(config)#clear xlate 清除内部所有地址的转换项，网络中断一下firewall(config)#clear xlate local 9 清除内部具体一台机器的转换项firewall(config)#show runnint-config 查看防火墙的当前配置文件二、防火墙配置简介1、以前的防火墙的系统版本是6.3以下，在这种版本里面不

12、能用“tab”键补齐命令，而且用“？”来查询命令也很不方便； 目前的asa5500的系统版本为7.0以上，和路由器的命令相同，可以用“tab”键补齐命令，可以用“？”来查看参数、同样也可以在全局模式用show命令。 防火墙的几种工作模式： 用户模式：如果您看到>那么现在代表是在用户模式下，在用户模式下只有简单的命令可以操作。由用户模式进入特权模式的命令为：enable 特权模式：如果您看到当前的位置显示#那么您处于特权模式下，在特权模式下用户可以查看所有信息，而前可以进入全局配置模式对防火墙配置进行修改。由特权模式进入全局配置模式下的命令为：config t 全局配置模式：当您看到（co

13、nfig）#时，表示现在处于全局配置模式，可以对防火墙的设置进行修改。在“>”、“#”、“（config）#”左侧显示的为设备的名称。2、1）、防火墙接口配置pix配置pix>enable 进入特权模式pix#config t 进入全局配置模式pix(config)#ip address outside 配置外接口地址pix(config)#ip address inside 配置内接口地址pix(config)#interface ethernet0 auto 激活外端口pix(con

14、fig)#interface ethernet1 auto 激活内端口 （默认端口是出于shutdown状态的）防火墙6.3以下系统默认将ethernet0端口做为外端口，默认安全级别为0，ethernet1作为内端口，默认安全级别为100，对于防火墙而言，高安全级别的用户可以访问到低安全级别，而由低安全级别主动发起的到高安全级别的链接是不允许的。pix系列产品默认只有两个端口及0和1，dmz端口都是另外添加的模块，dmz端口的默认安全级别50，配置dmz接口的地址和配置inside和outside类似pix(config)#ip address dmz 255.255.255

15、.0pix(config)# interface gb-ethernet0 1000auto 激活dmz端口，dmz的端口号需要您用show running-config命令查看，如：pix(config)#show running-configsh run: saved:pix version 6.3(5)interface ethernet0 100fullinterface ethernet1 autointerface gb-ethernet0 1000auto 新添加的dmz端口2）、防火墙nat设置2.1、内网用户要上网，我们必须对其进行地址转换，将其转换为在公网上可以路由的注册地

16、址，防火墙的nat和global是同时工作的，nat定义了我们要进行转换的地址，而global定义了要被转换为的地址，这些配置都要在全局配置模式下完成，2.2、nat配置如下：pix(config)#nat (inside) 1 0 0上面inside代表是要被转换得地址，1要和global 后面的号对应，类似于访问控制列表号，也是从上往下执行，0 0 代表全部匹配（第一个0代表地址，第二个0代表掩码），内部所有地址都回进行转换。2.3、global配置pix（config）#global （outside）1 interfacegobalb定义了内网将要被转换成的地址，interface 代

17、表外端口的地址当然，如果您有更多的公网ip地址，您也可以设置一个地址池，上面一条也是必须的，地址转换首先会用地址池内地址，一旦地址被用完后会用到上面一条及外端口做转换上网。pix（config）#global （outside） 00-54）、防火墙路由设置3.1、因为我们为末节网络，所以对于我们来说路由比较简单，只要将从防火墙过来的所有流量全部导向就可以了，具体到各个网站的路由在那里会有。如果在我们的内部没有划分，那么我们之需要在防火墙上指一条向外出的路由就可以了，如下：pix（config）#route outside 0.0.0

18、.0 route outside代表是外出的路由 代表目的地址，及全部匹配 代表子网掩码，及全部匹配代表下一跳，及和我们防火墙互联的isp的地址 3.2、如果在我们的内部有好多vlan划分，那么我们需要往回指到各个vlan的路由，下一跳需要指向和我们防火墙直接相连的内网的地址，比如在我们的内部有vlan 2：/24；vlan 3：/24；如果vlan 2是和防火墙直接相连的，那么我们不需要对vlan 2回指路由，因为他和防火墙在同一网段，而vlan 3没有和防火墙直接相连，如果想让vlan 3 也能上网

19、我们就需要在防火墙上回指一条到vlan 3 的路由，如下：pix（config）#route inside 目的网络及掩码下一跳及和防火墙相连的同一网段的vlan interface地址，4）、服务器映射配置4.1、如果在内网有一台web服务器需要向外提供服务，那么需要在防火墙上映射，公网地址多的情况下可以做一对一的映射，如下pix（config）#static （inside，outside）00 0如果只有一个公网地址，那么可以做端口映

20、射，如下pix（config）#static （inside，outside）tcp 00 80 0 804.2、映射完毕后还必须配置访问控制列表，允许外部来访问映射的web服务器，如下：pix（config）#access-list outside per tcp any host 00 eq 80pix（config）#access-group outside in interface outside其中“access-list”和“access-group”后面的outside为防问控制列表的名字，“access-grou

21、p”最后的outside为端口名。允许外面任意一台主机通过tcp的80端口访问到00这台主机，下面还要把此条访问控制列表应用到outside接口上，这样互联网上的用户才能访问到web服务器。如果有多条地址映射请重复上述操作。5）、图形界面登陆设置和用户名密码添加pix（config）#pdm history enablepix(config)#pdm location insidepix(config)#http server enablepix(config)#http insi

22、depix(config)#username cisco password cisco cisco为用户名和密码上述配置完毕后您就可以通过图形界面来登陆，登陆方式： 如果要打开外网图形界面配置，如下：pix（config）#http location outside外网所有的地址都可以通过图形界面来登陆防火墙如果知道用户名和密码。当然我们也可以定义特定的一台多多台可以通过图形界面登陆防火墙，只要将网段改为特定的地址就可以了。6）、防火墙密码pix（config）#enable password cisco 设置进入enable的密码p

23、ix（config）#passwd cisco ssh登陆是第一次输入的密码7）、防火墙内网telnet和外网ssh登陆设置telnet configurationpix（config）#telnet inside 允许内网telnet防火墙pix(config)#telnet timeout 1 1分钟未作任何操作后超时退出ssh configuration通过外网不能用telnet防火墙，必须用ssh加密方式，在配置ssh之前要先定义一个domain-name，然后再生成一个key，如下：pix（config）#domain-nam

24、e pix（config）# ca generate rsa key 800pix（config）#ca save allpix（config）#ssh outsidessh也可以定义外网特定的一台主机或固定的一段地址可以来远程登陆。8）、防火墙dhcp配置pix（config）#dhcpd address 00-54 inside 定义地址池并在inside接口开启dhcp功能pix（config）# dhcpd dns 15 0 定义给客户分发的dnspix（config）# dhc

25、pd enable inside 打开dhcp功能9）、如何修改已存在的访问控制列表比如，我们在内接口上定义了一些访问控制列表，如下：pix（config）#access-list inside deny ip host 00 anypix（config）#access-list inside permit tcp any any range 1 1024pix（config）#access-list inside permit ucp any any range 1.1024 pix（config）#access-list inside permit tcp any any e

26、q 1863pix（config）#access-group inside in interface inside上面是我已经在内接口存在的访问控制列表，我拒绝了00到外面所有，而其他的用户只能访问外面的tcp和udp的11024 的端口以及tcp的1863端口（msn），如果我还希望在拒绝ip地址为01的主机到外面所有的，那么我必须将deny 01 的访问控制列表写到access-list inside permit tcp any any range 1 1024列表的上面，因为访问控制列表是从上往下执行，如果将deny 01的访问控

27、制列表放在access-list inside permit tcp any any eq 1863下面，那么对于01 的限制将不能生效，可以按照下面步骤操作：1、先用show access-list命令查看访问控制列表pix(config)#show access-listaccess-list inside line 1 deny ip host 00 any (hitcnt=100000) access-list inside line 2 permit tcp any any range 1 1024 (hitcnt=8000000)access-list

28、inside line 3 permit udp any any range 1 1024 (hitcnt=100000)access-list inside line 4 permit udp any any eq 1863 (hitcnt=8000)2、将deny 01的列表插入，格式如下：pix(config)#access-list inside line 1 deny ip host 01 any做完后，在用show running-config可以看到在访问控制列表位置第一行已经多了一条，显示结果如下： pix（config）#show runaccess-list inside deny ip host 01 anyaccess-list inside deny ip host 00 anyaccess-list inside permit tcp any any range 1 1024access-list inside permit ucp any any range 1.1024 access-list inside permit tcp any any eq 1863三、asa5500端口配置对于asa5500系列来说