010 防火墙 - Cisco PIX和ASA防火墙基础

CiscoPIX和ASA防火墙概述澎湃

IT教育中心南京澎湃IT教育中心www.happywork.me澎湃

IT教育中心概述Cisco安全设备提供了企业级别的安全,其可以用于小型,

中

型的商务公司和企业网络

:•专用的操作系统•状态包检测•基于用户的认证•协议和应用的检测•模块化的策略框架•虚拟防火墙特性•虚拟私有网络VPN•

Failover特性•透明防火墙•基于WEB的管理解决方案南京澎湃IT教育中心www.happywork.meCiscoPIX和ASA状态包检测•

状态包检测提供了状态型连接安全性.–其跟踪源和目标端口和地址,TCP的序列号和附加的TCP的标记.–

为每个连接随机产生的TCP的序列号•

默认情况下,状态包检测算法允许起源自内网主机的通讯.•

另外,状态包检测算法会丢弃来自外部不安全网络的连接

数据包.•

状态包检测算法同时还支持认证,授权和计费高级特性.南京澎湃IT教育中心www.happywork.me安全代理检测连接.3.在安全设备层,安全代理提示用户提供帐号和密码.CiscoSecure4.安全代理初始化到ISP的连接.南京澎湃IT教育中心www.happywork.me随后安全代理通过RADIUS

或TACACS+服务器对用户

进行认证.Cut-ThroughProxyOperation5.安全设备直接连接到内网或外网的用户到ISP.其通讯3.UsernameandPasswordRequiredSecurityApplianceEnterusernameforCCOat1.用户向ISP发起请求.处于OSI模型的低层.内网或外

网用户student123@456OKUser

Name:Password

:CancelISP2.•类似于FTP,HTTP,H.323和SQL的连接需要协商连接并且动态在防

火墙上启用源和目标端口.•防火墙在网络层上检测数据包获取会话信息.•防火墙为通过其自己的连接开启合法的client-server的连接端口.Data-

Port

2010Port

2010

OKData协议和应用的检测FTPServerControlPort21南京澎湃IT教育中心www.happywork.meControl

DataPort

Port

2008

2010DataPort20ClientSitetoSite

Internet

IPsec

VPN

、

南京澎湃IT教育中心www.happywork.meSSL

VPN

B

A

N

K虚拟私用网络VPN

RemoteAccessHeadquartersB

A

N

K南京澎湃IT教育中心www.happywork.me能够在一个防火墙上创建多个虚拟防火墙.OnePhysicalFirewall

FourVirtualFirewallsIInternetIInternet虚拟防火墙特性FourPhysicalFirewalls•可以将安全防火墙部署为透明桥模式•提供了丰富的二到七层的安全服务.南京澎湃IT教育中心www.happywork.meInternet透明桥南京澎湃IT教育中心www.happywork.me基于WEB的管理解决方案澎湃

IT教育中心CiscoPIX&ASA

设备南京澎湃IT教育中心www.happywork.me南京澎湃IT教育中心www.happywork.mePIX525前置面板ActivePower南京澎湃IT教育中心www.happywork.mePIX525背板接口Fixed

interfacesExpansion

s

lots南京澎湃IT教育中心www.happywork.meStatusASA5550

前置面板FlashActiveVPNPowerSlot

0ConsoleportPowerconnector南京澎湃IT教育中心www.happywork.meFour

10/100/1000

PowerswitchGigabitEthernetportsASA5550

背板接口Four

FiberGigabitEthernetportsFour10/100/1000GigabitEthernetports10/100out-of-band

managementportUSB2.0

portsCompactFlashAUXportSlot

1澎湃

IT教育中心基本的用户操作接口南京澎湃IT教育中心www.happywork.meCisco防火墙三种主要的管理访问模式

:•

无特权•

特权•

配置ciscopix>ciscopix#ciscopix

(config)#南京澎湃IT教育中心www.happywork.me访问模式ciscopix>enable

[privlevel]•进入特权模式c

iscopix>enablepassword:c

iscoasa#南京澎湃IT教育中心www.happywork.meInternet特权模式全局配置模式ciscopix#configureterminal•进入全局配置模式ciscopix#exit•退出全局配置模式ciscopix>enablepassword

:ciscopix#configureterminal

ciscopix

(config)#exitciscopix#exitciscopix>南京澎湃IT教育中心www.happywork.meciscopix>

help

?enable

Turnonprivileged

commandsexit

Exit

thecurrentcommand

modeloginLog

in

as

aparticularuserlogout

Exitfromcurrentuserprofiletounprivilegedmode

perfmonChangeorviewperformancemonitoringoptionspingTestconnectivityfromspecified

interfacetoan

IP

addressquit

Exit

the

current

commandmodeciscopix>help

enableUSAGE:enable

[<priv_level>]DEscriptION

:enable

Turnonprivileged

commands南京澎湃IT教育中心www.happywork.me帮助命令澎湃

IT教育中心文件系统管理南京澎湃IT教育中心www.happywork.mestartup-running-config

config(saved)如下命令可以让您查看或保存配置

:•

copyrun

start–

showrunning-config–

show

startup-config•

writememory–

writeterminal南京澎湃IT教育中心www.happywork.me查看和保存配置保存改变的配置

:

copyrun

startConfiguration

Changesciscopix(config)#clearconfigureall·

清除runningconfigurationciscopix

(config)#clearconfigall南京澎湃IT教育中心www.happywork.me清除RunningConfiguration清除runn

ingconfiguration

:

clearconfigallrunn

ing-config(default)startup-

configciscopix#writeerase·

清除startupconfigurationciscopix#writeerase南京澎湃IT教育中心www.happywork.me清除StartupConfigurationstartup-config(default)清除startup

configuration

:runn

ing-

configwr

ite

eraseciscopix#reload

[athh:mm[monthday|day

month]]

[cancel]

[in

[hh:]mm]

[max-hold-time

[hh:]mm]

[no

confirm][quick]

[reasontext]

[save-

config]•重启防火墙同时载入配置•可以配置计划任务的重启ciscopix#reloadProceedwithreload?[confirm]yRebooting...南京澎湃IT教育中心www.happywork.me重载配置·

Software

image·

Configurationfile

·

Privatedata·

ASDM

image·

Backup

image*·

Backupconfiguration

file*

·

Virtualfirewallconfigurationfile*Release6.0andearlier·

Software

image·

Configurationfile

·

Privatedatafile

·

PDM

image·

Crash

information南京澎湃IT教育中心www.happywork.me文件系统*SpaceavailableRelease7.0and

laterdir

[/all]

[/recursive]

[all-filesystems]

[disk0

:

|disk1

:

|

flash

:

|system

:]•查看目录内容ciscopix#dirDirectoryofdisk0

:/8-rw-820224013

:37

:33Jul282006pix721-k8.bin1264

-rw-553975613

:21

:13Jul282006asdm-521.bin62947328bytes

total

(49152000bytes

free)Internet

南京澎湃IT教育中心www.happywork.mePIXSecurityApplianceflash

:查看文件系统ASAdisk0:

disk1:ciscopix#选择系统引导文件ciscopix#dirDirectoryofdisk0

:/8

-rw-

820224013

:37

:33Jul282006pix721-k8.bin1264

-rw-

553975613

:21

:13Jul

28

2006asdm-521.bin62947328bytes

total

(49152000bytes

free)ciscopix(config)#boot

{system

|config}url•能够存储一个或多个系统镜像文件•指定那个文件在下一次系统启动时被加载ciscopix

(config)#bootsystemdisk0

:/pix721-k8.bin南京澎湃IT教育中心www.happywork.me南京澎湃IT教育中心www.happywork.meCurrentBOOTvariable=disk0:/pix622-k9.binCONFIG_FILEvariable=CurrentCONFIG_FILEvariable=ciscopix#showbootvarBOOTvariable=disk0:/pix721-k8.binInternetciscoapix(config)#showbootvar确认启动镜像文件Boot

imagedisk0:/pix622-k9.binRunningConfigured1南京澎湃IT教育中心www.happywork.me澎湃

IT教育中心

安全级别•用于实现通过安全设备的状态型连接控制.•通过配置允许one-way(outbound)连接数量.出站的连接是指源自于受保护网络的主机到不安全的外部网络.•监测返回的数据包以确保其有效性.•随机的TCP序列号以最小化受到网络攻击可能.南京澎湃IT教育中心www.happywork.me防火墙设备

:安全算法OutsideNetworkEthernet0·Securitylevel0·Interfacename=outsideInsideNetworkEthernet1·Security

level

100·Interfacename=inside南京澎湃IT教育中心www.happywork.meEthernet2·Security

level

50·

Interfacename=DMZInternet

_______________________________________

e0安全级别示例e2e1DMZNetwork澎湃

IT教育中心防火墙基本配置南京澎湃IT教育中心www.happywork.me•

hostname•

interface–

name

if–

ip

address–

security-level–

duplexe0–

no

shutdown南京澎湃IT教育中心www.happywork.me–

speed

Internet

基本命令行e1e2Boston

(pix2)NewYork

(

pix1)ServerServerciscopix(config)#hostnamenewname•改变主机名配置ciscopix(config)#hostnamepix1

pix1

(config)#南京澎湃IT教育中心www.happywork.meInternet配置主机名Dallas(pix3)Serverciscopix(config)#interface

{physicalinterface[.subinterface]

|mappedname}•进入到接口配置模式pix1(config)#interfaceEthernet0pix1(config-if)#南京澎湃IT教育中心www.happywork.meInternet接口命令Ethernet0Ethernet2Ethernet1e1e0e2ciscopix(config-if)#name

if

if

name•

为接口配置名称.pix1(config)#interfaceEthernet0

pix1(config-if)#name

ifoutside南京澎湃IT教育中心www.happywork.meEthernet0Interfacename=outsideEthernet1Interfacename=

insideEthernet2Interfacename=

dmzInternet配置接口命名e1e0e2ciscopix(config-if)#ipaddressip_address[mask][standbyip_address]•为接口配置IP地址pix1(config)#interfaceEthernet0pix1(config-if)#nameifoutsidepix1(config-if)#ipaddressEthernet0Interfacename=outsideIPaddress=

南京澎湃IT教育中心www.happywork.meInternet配置接口IP地址e1e0e2ciscopix(config-if)#ipaddressdhcp

[set

route]·启用接口DHCP方式自动获取地址pix1(config)#interfaceEthernet0

pix1(config-if)#name

if

outsidepix1(config-if)#ip

address

dhcpe/0南京澎湃IT教育中心www.happywork.meEthernet0Interfacename=outside

IPaddress=

dhcp配置接口自动获取地址InternetDHCPAssignedsecurity-levelnumber•

为接口配置安全级别pix1(config)#interface

Ethernet0

pix1(config-if)#nameif

outsidepix1(config-if)#ip

address

192.168.1.2

pix1(config-if)#security-level0Ethernet0Interfacename=outsideIPaddress=

Security

level=0南京澎湃IT教育中心www.happywork.me配置接口的安全级别Internetciscopix(config-if)#e1e2e0same-

security-trafficpermit

{inter-interface

|intra-interface}•能够让相同级别端口之间进行通讯,或者能够让数据进入离开相同

的接口.pix1

(config)#same-

security-trafficpermitinter-interfaceInsideNetworkEthernet1Security

level

100Interfacename=

inside南京澎湃IT教育中心www.happywork.meEthernet2Securitylevel

100

Interfacename=

dmz同级别的端口通讯DMZNetworkciscopix(config)#Internete0

e1e2speed

{10

|

100

|

1000

|auto

|nonegotiate}duplex

{auto

|full

|half}•配置接口的速率和双工模式pix1(config)#interface

Ethernet0pix1(config-if)#nameif

outsidepix1(config-if)#ip

address

pix1(config-if)#security-level0pix1(config-if)#speed100pix1(config-if)#duplexfull南京澎湃IT教育中心www.happywork.me配置接口的速率和双工模式InternetEthernet0Speed=100Duplex=fullciscopix(config-if)#e1e0e2ciscopix(config-if)#management-only•配置当前的接口仅仅接受管理流量

nomanagement-only•

禁用管理接口pix1(config)#interface

Ethernet3pix1(config-if)#nomanagement-only南京澎湃IT教育中心www.happywork.meEthernet3Managementonly

=

noe3Internet配置管理接口e2e0e1ciscopix(config-if)#shutdown•禁用接口•

no

shutdown

=

enabledpix1(config)#interface

Ethernet0

pix1(config-if)#noshutdown南京澎湃IT教育中心www.happywork.meInternet

e0启用和禁用接口Ethernet0

Enablede1e2澎湃

IT教育中心配置基本的NAT南京澎湃IT教育中心www.happywork.me0

10.0.0.11南京澎湃IT教育中心www.happywork.me192.168.10.111网络地址转换OutsideMappedPoolTranslationTableNATInside

LocalInternet010

10.0.0.11·启用或禁用NAT的配置需求pix1(config)#nat-control南京澎湃IT教育中心www.happywork.me200.200.200.11Internet启用NATOutsideMappedPoolTranslationTableNATInside

Local

101ciscopix(config)#nat

(if

name)natidaddress[netmask]

[dns]•启用IP地址转换pix1(config)#nat

(inside)1南京澎湃IT教育中心www.happywork.meInternetnat

CommandX.X.X.X

INAT11ciscopix(config)#global(ifname)natid{mappedip[-mappedip][netmaskmappedmask]}|interface•当内部网络主机访问到外网时,基与nat命令共同工作,用于分配公网的或已注册的IP地址给内部主机.pix1(config)#nat(inside)10.0.0.00.0.0.0pix1(config)#global(outside)1192.168.1.20-192.168.1.254南京澎湃IT教育中心www.happywork.meInternetglobalCommand0INAT10.1.1110.ciscopix(config)#route

if

name

ip

address

netmaskgateway

ip

[metric]•为接口定义静态或默认路由pix1(config)#

route

outside1pix1(config)#route

inside

021南京澎湃IT教育中心www.happywork.meInternet配置静态路由Default

Route

Static

Route021ciscopix(config)#nameip_addressname•配置名称到IP地址的映射pix1(config)#namespix1(config)#namebastionhostpix1(config)#name1insidehost南京澎湃IT教育中心www.happywork.me配置名称到IP地址映射Internet

.2.1“bastionhost

”

“insidehost

”

1.1.11ciscopix#showrun

nat·

查看单个主机或是主机地址范围的转换项pix1#show

runn

ing-

config

natnat

(ins

ide)10

.0

.0

.00

.0

.0

.0pix1#南京澎湃IT教育中心www.happywork.meInternet查看NAT配置X.X.X.X

INAT110.0.1.Xciscopix#showrunglobal·查看映射地址池pix1#showrunglobalglobal(outside)1192.168.1.20-192.168.1.254netmask255.255.255.0Internet1I10.0.1.XMappedPool0-54南京澎湃IT教育中心www.happywork.me查看natglobal配置ciscopix#showxlate·查看nat转换项内容pix1#showxlate1inuse,1mostusedGlobal192.168.1.20Local10.0.1.11Outsidemappedpool0

10.0.

1.

11南京澎湃IT教育中心www.happywork.meInternet查看nat转换项0XlateTableInside

local11ciscopix#showroute[interface_name[ip_address[netmask[static]]]]·查看路由pix1(config)#showrouteS[1/0]via,outsideCisdirectlyconnected,insideC*isdirectlyconnected,cplaneCisdirectlyconnected,dmzCisdirectlyconnected,outside南京澎湃IT教育中心www.happywork.meInternet172.16.1.0查看路由e2e1e0.1ciscopix#ping[ifname]host[datapattern][repeatcount][sizebytes][timeoutseconds][validate]•确定目标主机是否处于active状态pix1#ping1Sending5,100-byteICMPEchosto1,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=10/12/20ms南京澎湃IT教育中心www.happywork.meInternet使用ping命令

10.0.1.11ciscopix#traceroute

{destination_ip|hostname}

[sourcesource_ip|source-

interface]

[numeric]

[timeouttimeoutvalue]

[probeprobe_num]

[ttl

min_ttlmaxttl]

[port

portvalue]

[use-icmp]•确定数据包如何到目标网络pix1#traceroute

0南京澎湃IT教育中心www.happywork.meInternet路由跟踪pix1(config)#writeterminal...interfaceEthernet0speed100duplexfullnameifoutsidesecurity-level0ipaddress192.168.1.2255.255.255.0interfaceEthernet1speed100duplexfullnameifinsidesecurity-level100ipaddress10.0.1.1255.255.255.0...配置示例172.16.1.南京澎湃IT教育中心www.happywork.meEthernet0·Interfacename=outside·Securitylevel=0·IPaddress=Ethernet1·Interfacename

=

inside

·Security

level=

100·IP

address=

10.0.

1.

1Internet0.2.1.1.1interfaceEthernet2nameifdmzsecurity-level50speed100duplexfullipaddress172.16.1.1255.255.255.0hostnameasa1namesname172.16.1.2bastionhostname10.1.1.11insidehost南京澎湃IT教育中心www.happywork.meEthernet2·Interfacename=dmz·Securitylevel=50·IPaddress=Internet配置示例

(Cont.)“bastionhost

”

.1“insidehost

”

1.1.1.2nat-controlnat(inside)10.0.0.00.0.0.000global(outside)1192.168.1.20-192.168.1.254routeoutside0.0.0.00.0.0.0192.168.1.11routeinside10.1.1.0255.255.255.010.0.1.1021南京澎湃IT教育中心www.happywork.me“insidehost”1.1Internet配置示例

(Cont.).2 .1“bastionhost

”

.102DefaultRouteStaticRoute0-

254Mapped

Pool.1.1.2澎湃

IT教育中心确认防火墙状态南京澎湃IT教育中心www.happywork.mepix1#showinterfaceInterfaceEthernet0"inside",isup,lineprotocolisupHardwareisi82559,BW100MbpsAuto-Duplex(Full-duplex),Auto-Speed(100Mbps)MACaddress0000.ab6e.c400,MTU1500IPaddress,subnetmask12packetsinput,0bytes,0nobufferReceived9broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0ignored,0abort6L2decodedrops0packetsoutput,0bytes,0underruns0outputerrors,0collisions,0interfaceresets0babbles,0latecollisions,0deferred0lostcarrier,0nocarrierinputqueue(curr/maxblocks):hardware(128/128)software(0/8)outputqueue(curr/maxblocks):hardware(0/0)software(0/0)pix1#showruninterface t.erfaceEthernet0speed100duplexfullnameifoutsidesecurity-level0ipaddress!interfaceEthernet1speed100duplexfullnameifinsidesecurity-level100ipaddress...南京澎湃IT教育中心www.happywork.me查看当前配置和接口信息showrun

interfaceshow

interfaceciscopix#showmemorypix1#

showmemoryFreememory:468962336bytes(87%)Usedmemory:67908576bytes(13%)南京澎湃IT教育中心www.happywork.meTotalmemory:536870912bytes(100%)查看内存使用ciscopix#show

cpuusagepix1#

showcpu

usageCPU

utilization

for5

seconds

=

0%;

1minute:0%;5minutes:0%南京澎湃IT教育中心www.happywork.meInternet查看CPU使用率

1pix1#showversionCiscoPIXSecurityApplianceSoftwareVersion7.2(2)CompiledonWed22-Nov-0614:16bybuildersSystemimagefileis"Unknown,monitormodetftpbootedimage"Configfileatbootwas"startup-config"pix1up7mins29secsHardware:PIX-525,128MBRAM,CPUPentiumII300MHzFlashE28F128J3@0xfff00000,16MBBIOSFlashAM29F400B@0xfffd8000,32KB0:Ext:Ethernet0:addressis0000.ab6e.c400,irq91:Ext:Ethernet1:addressis0000.ab6e.c401,irq112:Ext:Ethernet2:addressis0000.ab6e.c402,irq113:Ext:Ethernet3:addressis0000.ab6e.c403,irq114:Ext:Ethernet4:addressis0000.ab6e.c404,irq11•

显示防火墙的系统版本信息,工作时间,最后一次启动,处理器类

型,存储器类型,接口,序列号和激活key等重要信息.南京澎湃IT教育中心www.happywork.me查看系统版本IPaddressSubnetmaskMethod192.168.1.1255.255.255.0manual202.102.1.1255.255.255.0manualIPaddressSubnetmaskMethod192.168.1.1255.255.255.0manual202.102.1.1255.255.255.0manualpix

1#

show

ip

addre

s

sSy

stem

IP

Addre

s

se

s:Interface

NameEthernet0

in

s

ide

Ethernet

1

out

s

ide

Current

IPAddre

s

se

s:Interface

NameEthernet0

in

s

ide

Ethernet

1

out

s

ide南京澎湃IT教育中心www.happywork.me

.1Internet.2.1查看IP地址信息172.16.1.0.1pix1#

showname

ifInterface

Name

Secur

ityEthernet0

ins

ide

0Ethernet1

outs

ide

100Ethernet2

dmz

50Ethernet0·Interfacename=outside

·Security

level=0Ethernet1·Interfacename=inside·Security

level=100南京澎湃IT教育中心www.happywork.meEthernet2·

Interfacename=dmz·Security

level=50Internet查看接口命名信息e2e1e0澎湃

IT教育中心配置时间和NTP南京澎湃IT教育中心www.happywork.meclocksethh:mm:ss{day

month|monthday}yearciscopix(config)#clocktimezone

zone

hours[minutes]•配置时间•配置时区pix1#clock

set21

:0

:0

jul232006pix1(config)#clock

timezone

CHINA

8Wed23-Jul-06

21:00CHINAciscopix#

1南京澎湃IT教育中心www.happywork.meInternet配置时间和时区1NTPServer2ciscopix(config)#ntpserverip_address[keynumber]sourceifname[prefer]•配置防火墙同步NTP服务器时间信息pix1(config)#ntpauthentication-key1234md5cisco123pix1(config)#ntptrusted-key1234pix1(config)#ntpserver2key1234sourceinsidepreferpix1(config)#ntpauthenticate南京澎湃IT教育中心www.happywork.me配置防火墙为NTP客户端Internet澎湃

IT教育中心防火墙syslog配置南京澎湃IT教育中心www.happywork.me南京澎湃IT教育中心www.happywork.me通过syslog监测防火墙系统日志InternetSyslog

MessagesSyslog

ServerInternalbufferTelnetorSSHsessionE-mailaddressConsoleASDMSyslogserverSNMP

NMS南京澎湃IT教育中心www.happywork.meadmin@e