防火墙的安装和配置课件

1、防火墙的安装和配置防火墙的安装和配置本章内容 防火墙安装 防火墙配置 配置Cisco PIX防火墙 恢复PIX的口令 升级PIX版本 本章内容 防火墙安装8.1 防火墙安装8.1.1 PIX防火墙安装定制在开始考虑安装PIX之前，必须决定哪种PIX模式能够满足你的业务需要。PIX系列产品中有许多相同的特征和功能；每个PIX模式中接口和连接数量是不同的。下面的问题将帮助理解你的网络需求，并把你的注意力集中到防火墙必须包含的服务和性能上。8.1 防火墙安装8.1.1 PIX防火墙安装定制有多少用户（连接）将会通过防火墙？防火墙支持语音和多媒体应用吗？本单位需要多少接口？本单位需要VPN服务吗？若需

2、要，安全级别是什么：56位DES、168位3DES还是两者都要？防火墙需要如VPN加速卡等附件设备吗？本单位希望使用PIX设备管理器吗？本单位需要用容错性吗？回答这些问题不仅能帮助你为单位选择适当的PIX模型，还能帮助你购买正确的许可证。有多少用户（连接）将会通过防火墙？8.1.2 安装前部署中的安装前阶段是确定PIX型号、许可证、特性和物理位置的阶段。选择许可证选择PIX型号8.1.2 安装前1.选择许可证无限制（Unrestricted） 当防火墙使用无限制（UR）许可证时允许安装和使用最大数量的接口和RAM。无限制许可证支持故障倒换功能。 受限（Restricted） 当防火墙使用受限制

3、（R）许可证时，其支持的接口数量受到限制，另外，系统中的RAM的可用数量也受到限制。一个使用受限制许可证的防火墙不能通过配置故障倒换功能来实现冗余。 故障倒换（Failover） 当使用故障倒换（FO）软件许可证的PIX防火墙与使用无限制许可证的PIX防火墙协同工作时，将被置于故障倒换模式。 1.选择许可证2选择PIX型号防火墙型号许可证选项受限无限制故障倒换（Failover）加密PIX50110位用户许可证50位用户许可证N/A56位DES和/或168位3DESPIX50656位DES168位3DESN/A56位DES和/或168位3DESPIX515515-R（5000条并发连接和2个接

4、口）与515-R-BUN（10000条并发连接和3个接口）515-UR（10000条并发连接，Failover功能和6个接口） 515-Failover束（提供备用Failover防火墙）56位DES和/或168位3DESPIX525525-R（6个接口，多达280，000条并发连接）525-UR（8个接口，Failover支持，多达280，000条并发连接）525-Failover束（提供备用Failover防火墙）56位DES和/或168位3DESPIX535535-R（6个接口，多达500，000条并发连接）535-UR（8个接口，Failover支持，多达500，000条并发连接）53

5、5-Failover束（提供备用Failover防火墙）56位DES和/或168位3DES2选择PIX型号防火墙型号许可证选项受限无限制故障倒换（F型号选择主要基于两个方面：性能和容错性。 性能被分为两类：吞吐量和并发连接。容错性是在PIX515平台中第一次被引入。型号选择主要基于两个方面：性能和容错性。 8.1.3 安装接口配置电缆连接初始PIX输入8.1.3 安装1.接口配置在PIX上对安全策略进行配置的第一步是确定要使用的接口并收集他的基本配置信息。每一个PIX都至少有两个接口：内部接口（较安全）和外部接口（较不安全）。使用表8-2可以帮组你简化配置PIX接口的过程，记录每个接口的基本信

6、息是有用的。防火墙配置外部网内部网接口1接口2接口3接口接口速度IP地址和掩码接口名：HW接口名：SW安全级别MTU大小1.接口配置防火墙配置外部网内部网接口1接口2接口3接口接口2.电缆连接在启动PIX之前，把控制端口（Console）电缆连接到PC机（通常是便于移动的笔记本电脑）的COM端口，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，如图8-1所示。2.电缆连接3.初始PIX输入当PIX515通电后，会看到前置面板上的3个LED灯，如图8-2所示，分别标有POWER，NETWORK

7、和ACT。当防火墙部件是活动的failover时，ACT LED会亮。如果没有配置Failover，ACT LED将总是亮着。当至少一个接口通过流量时，NETWORK LED会亮。3.初始PIX输入当你第一次启动PIX防火墙的时候，你应该看到如图8-3所示的以下输出：当你第一次启动PIX防火墙的时候，你应该看到如图8-3所示的8.2 防火墙配置 8.2 防火墙配置 8.2.1 防火墙的基本配置原则拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后

8、，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。8.2.1 防火墙的基本配置原则在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：1简单实用：2全面深入： 3内外兼顾：在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角8.2.2 防火墙的初始配置像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以Cisco PIX防火墙为例进行

9、介绍。防火墙与路由器一样也有四种用户配置模式，即：非特权模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样：8.2.2 防火墙的初始配置防火墙的具体配置步骤如下：1将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，如图8-1。2打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。 3运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程

10、序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。 4当PIX防火墙进入系统后即显示“pixfirewall”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 5输入命令：enable，进入特权用户模式，此时系统提示为：pixfirewall#。 6输入命令：configure terminal，进入全局配置模式，对系统进行初始化设置。 7. 配置保存：write memory8. 退出当前模式：exit9. 查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。1

11、0. 查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。 11. 查看静态地址映射：show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。防火墙的具体配置步骤如下：8.3 配置Cisco PIX防火墙8.3 配置Cisco PIX防火墙这里我们选用第三种方式配置Cisco PIX 525防火墙。1同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口；2开启所连电脑和防火墙的电源，进入Windows系统自带的“超级终端”，通讯参数可按系统默然。进入防火

12、墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pixfirewall。 3输入enable命令，进入Pix 525特权用户模式，默然密码为空。这里我们选用第三种方式配置Cisco PIX 525防火墙。缺省情况下，enable命令假定用户尝试接入的特权级别是15（最高特权级别）。在配置PIX的基本网络接入的时候，有一些必须实施；为防火墙接口分配IP地址；配置防火墙名称、域名和密码；设置防火墙路由；配置防火墙的远程管

13、理接入功能；为出站流量设置地址转换；配置ACL；配置防火墙日志。缺省情况下，enable命令假定用户尝试接入的特权级别是158.3.1 在防火墙接口上分配IP地址要在网络中通信，防火墙需要在其接口上指定IP地址。这项工作在PIX的6.x和7.x版本中的实施有区别，但是基本步骤是一样的：启用接口、配置接口参数、为该接口指定IP地址。8.3.1 在防火墙接口上分配IP地址在PIX的6.x版本中分配IP地址firewall# configure terminalfirewall(config)#firewall(config)# interface ethernet0 autofirewall(co

14、nfig)# interface ethernet1 autofirewall(config)# nameif ethernet0 outside security0firewall(config)# nameif ethernet1 inside security100firewall(config)# ip address outside firewall(config)# ip address inside 在PIX的6.x版本中分配IP地址在PIX的7.x版本中分配IP地址firewall(config)# interface ethernet 2firewall(config-if)

15、#firewall(config-if)# no shutdownfirewall(config-if)# nameif dmz01firewall(config-if)# security-level 50firewall(config-if)# speed autofirewall(config-if)# duplex autofirewall(config-if)# ip address 7 40在PIX的7.x版本中分配IP地址8.3.2 配置防火墙名称、域名和密码firewall(config)# hostname pixpix(config)# domain-name pix.la

16、bpix(config)# passwd ciscopix(config)# enable password cisco8.3.2 配置防火墙名称、域名和密码8.3.3 配置防火墙路由设置pix(config)# route outside 1该route命令中末尾的1指明了下一跳的度量值，这是可选的。通常缺省路由将会指向防火墙连接到Internet的下一跳路由，如Internet服务商网络中的路由器。8.3.3 配置防火墙路由设置8.3.4 配置防火墙管理远程接入PIX防火墙支持三种主要的远程管理接入方式：Telnet;SSH;ASDM/PDM。其中Telnet和SSH都是用来提供对防火墙的

17、命令行界面（CLI）方式接入，而ASDM/PDM提供的则是一种基于HTTPS的图形化界面（GUI）管理控制台。8.3.4 配置防火墙管理远程接入1.配置Telnet接入pix (config)# telnet 5 55 inside2.配置SSH接入步骤1 给防火墙分配一个主机名和域名；步骤2 生产并保存RSA密钥对；步骤3 配置防火墙允许SSH接入。pix(config)# ca generate rsa key 1024pix(config)# ca save allpix(config)# crypto key generate rsa modulus 1024pix(config)#

18、ssh 5 55 inside 1.配置Telnet接入3.配置ASDM/PDM接入除了使用CLI的管理方式之外，PIX防火墙还支持一种GUI远程管理方式。在PIX6.x中，这种管理接口被称为PIX设备管理器（PDM）。而在PIX的7.x，该管理接口被称为自适应安全设备管理器（ASDM）。 pix(config)# http server enablepix(config)# http inside3.配置ASDM/PDM接入ASDM/PDM的接入是通过Web浏览器连接到Web服务器的方式来实现的。ASDM还可以通过一种基于java的应用来使用ASDM，而不用代开Web浏览器，如图8-4所示：

19、ASDM/PDM的接入是通过Web浏览器连接到Web服务器的 Cisco ASDM简介 作为自适应安全设备管理器，Cisco ASDM以图形界面方式，配置和管理Cisco PIX和Cisco ASA安全设备。 Cisco ASDM简介 作为自适应安全设备管理器，CCisco ASDM具有如下特点：1. 集成化管理提高管理效率2. 启动向导加速安全设备的部署3. 仪表盘提供重要实时系统状态信息4. 安全策略管理降低运营成本5. 安全服务实现基于角色的、安全的管理访问6. VPN管理将安全连接扩展到远程站点7. 管理服务与应用检测相互协作8. 智能用户界面简化网络集成9. 安全管理界面提供一致的管

20、理服务10. 监控和报告工具实现关键业务数据分析Cisco ASDM具有如下特点：1. 集成化管理提高管理效 Cisco ASDM主页 Cisco ASDM主页 VPN配置 VPN配置 高级OSPF配置 高级OSPF配置 监控和报告工具实现关键业务数据分析（1）监控工具（2）系统图（3）连接图（4）攻击保护系统图（5）接口图（6）VPN统计和连接图监控和报告工具实现关键业务数据分析（1）监控工具1. 运行ASDMCisco ASDM主窗口 1. 运行ASDMCisco ASDM主窗口 2. 为NAT创建IP地址池（1）指定DMZ的IP地址范围2. 为NAT创建IP地址池（1）指定DMZ的IP地

21、址范围（2）为外部端口指定IP地址池（2）为外部端口指定IP地址池3. 配置内部客户端访问DMZ区的Web服务器3. 配置内部客户端访问DMZ区的Web服务器5. 为Web服务器配置外部ID4. 配置内部客户端访问Internet5. 为Web服务器配置外部ID4. 配置内部客户端访问In6. 允许Internet用户访问DMZ的Web服务6. 允许Internet用户访问DMZ的Web服务8.3.5 对出站实施NAT 1在PIX 6.x中配置NATnat （local-interface） id local-ip mask dns outside | norandomseq max_conn

22、s emb_limit pix（config）# nat （insids）1 global （if-name） nat-id global-ip -global-ip netmask global-mask | interface pix（config）# global （outside）1 0-5 netmask 40pix（config）# global （outside） 1 interfaceoutside interface address added to PAT poolpix（config）#8.3.5 对出站实施NAT2在PIX 7.x中配置NATnat (real-ifc)

23、 nat-id real-ip mask dns outside tcp tcp-max-conns emb-limit udp udp-max-conns norandomseqglobal (mapped-ifc) nat-id mapped-ip -mapped-ip netmask mask | interfacepix(config)# nat-controlpix(config)# nat (inside)1 pix(config)# global (outside)1 0-4 netmask 40pix(config)# global (outside)1 interface I

24、NFO: outside interface address added to PAT poolpix(config)# 2在PIX 7.x中配置NAT8.3.6 配置ACLs 配置和实施ACL分两步完成：定义ACL以及实施ACE；将ACL应用于某接口。8.3.6 配置ACLs1定义ACL和实施ACEPIX支持多种不同类型的ACL：EtherType访问列表这种ACL根据EtherType值来过滤流量；扩展访问列表这是最常用的ACL实施类型，它用来对基于TCP/IP的流最进行通用目的的过滤；标准访问列表该ACL用来指定目的IP地址，它可以用来在路由映射表（routemap）中进行OSPF路由重

25、分布；WebType访问列表该ACL用来进行WebVPN的过滤，只在PIX 7.1或者更新版本中才被支持。1定义ACL和实施ACE创建一组ACL的过程非常简单直接，通常需要定义如下的参数。流量需要通过什么样的方式去匹配ACL中的ACE？需要使用什么样的协议？流量的源是什么？流量的目的是什么？使用了哪个/哪些应用端口？创建一组ACL的过程非常简单直接，通常需要定义如下的参数。参数描述default（可选项）使用缺省的日志方式，即为每个被拒绝的报文发送同步日志消息106023deny拒绝条件配置报文。在网络访问的环境中（access-group命令），该关键字阻止报文穿越安全工具。在类映射（cla

26、ss-map和inspect命令）中进行应用检查的环境中，该关键字将使得报文免受检查。一些特性并不允许使用拒绝ACE，比如说NAT。查阅各种特性的命令文档以获得更多关于ACL的信息dest_ip指定报文发往的网络或者主机的IP地址。在IP地址之前输入host关键字来指定一个单一的地址。在这种情况下，不需要输入掩码。输入any关键字以代替地址和掩码，用来指定所有地址disable(可选项)禁用针对该条ACE的日志icmp_type(可选项)如果协议是ICMP，指定ICMP类型id指定ACL-ID号,可以是字符串，也可以是最长241个字符的整数。该ID是区分大小写的。提示:使用大写字母会使你在配置

27、中看到的ACL-ID更直观inactive(可选项)禁用一条ACE。要重新启用，输入整条ACE而不带inactive关健字。该特性能够维持一条inactive的ACE的记录，以便可以更方便地重新启用interface ifc_name指定接口地址，或者是源地址，或者是目的地址interval secs（可选项）指定日志区间上产生106100系统日志信息。有效值是从1到600秒。默认值是300level(可选项)设定106100系统日志消息级别，从0到7，缺省级别是6line line-num(可选项)指定在插入ACE的行号。如果你没有指定行号的话，ACE将会添加到ACL的未尾。该行号不会保存在

28、配置中；它仅仅用来指定在哪儿插入ACElog(可选项)当有从网络中接入的报文被一条ACE匹配到，并且般终被拒绝的时候，设置该选顶可以提供日志(通过access-group应用ACL)。如果没有任何的修改而仅仅输入log关健字的话，将启用系统日志消息106100，并且使用默认的等级(6)和默认周期(300秒)。如果不输入log关键字，设备将使用缺省的日志方式，即使用系统日志消息106023maskIP地址的子网掩码。在输入指定网络掩码的时候，其方式和在Cisco的IOS中的access-list命令不一样。安全工具使用网络掩码(如C类地址是)。而Cisco的IOS是用通配符(如55)object

29、-group icmp_type_obj_grp_id(可选项)如果协议是ICMP，该参数用来指定ICMP类型目标组的标识符。要添加一个目标组，请参考object-group icmp-type命令object-group network_obj_grp_id为一个网络目标组指定标识符。要添加目标组，请参考object-group network命令object-group protocol_obj_grp_id为协议目标组指定标识符。要添加目标组.请参考object-group protocol命令object-group service_obj_grp_id(可选项)如果设置的协议是TCP

30、或者UDP，该参数为服务目标组指定标识符。要添加目标组，请参考object-group service命令operator(可选项)该参数被源或者目的用来匹配端口号。其允许的操作如下:It(小于)；gt(大于)；eq(等于)；neq(不等于)；range(包含一系列的值，当使用这种操作时，需要指定两个端口号，如range 100 200)permit允许条件匹配的报文。在网络访问的环境中(acccss-group命令)，该关键字允许报文穿越安全工具。在类映射(class-map和inspect命令)中进行应用检查的环境中，该关键字将使得报文接受检查port(可选项)如果设置的协议是TCP或者U

31、DP，为TCP或者UDP端口指定一个整数或者名称。 DNS, Discard, Echo, Ident, NTP, RPC, SUNRPC和Talk这样的协议需要在TCP和UDP中各自定义一个。TACACS+这样的协议只需要在TCP中定义一个端口号49protocol指定IP协议的名称和号码。比如说，UDP是17，TCP是6，EGP是47src_ip指定报文发送方的网络或者主机的IP地址。在IP地址之前输入host关键字，可以用来指定一个单一的地址。这种情况下，不用输入掩码。输入any关键字来代替地址和掩码，用来表示所有地址time-range time_range_name(可选项)在某天或

32、者某周的指定时间激活ACE，这为ACE应用了时间范围。查阅time-range命令，以获得关于定义时间范围的信息参数描述default（可选项）使用缺省的日志方式，即为每个扩展ACL的命令语法及其参数如下所示：access-list id line line-number extended deny | permit protocol | object-group protocol_obj_grp_id src_ip mask | interface ifc_name | object-group network_obj_grp_id operator port | object-group

33、service_obj_grp_id dest_ip mask | interface ifc_name | object-group network_obj_grp_id operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id log level interval secs | disable | default inactive | time-range time_range_name 尽管参数信息看上去非常多，但是在大多数情况下很多参数值都是可选的，甚至是不需要使用的。大多数时

34、候对access-list命令的使用都是按照下面这种简化方式：access-list id deny | permit protocol source destination operator port扩展ACL的命令语法及其参数如下所示： 举例来说，如果想要定义一条ACL，用来允许从任何主机到一台Web服务器的HTTP流量的话，需要运行下面的命令：pix(config)# access-list out_in_01 permit tcp any host eq http 在上述例子中，我们定义的ACL名称是“out-in-01”，并且将其配置成允许TCP的80端口（HTTP）流量可以从任何源访问目的地。如果想使用同样的ACL来允许SMTP流量到另一台服务器，执行下面的命令：pix(config)# access-list out_in_01 permit tcp any host eq