《网络工程设计与项目实训》-09 防火墙配置

*第1页第9章

防火墙配置*第2页学习目标理解：防火墙的工作机制掌握：防火墙的基本配置及应用理解：防火墙的动态地址转换的工作机制掌握：防火墙的动态地址转换的配置及应用理解：防火墙的端口地址转换的工作机制掌握：防火墙的端口地址转换的配置及应用理解：防火墙的静态地址转换的工作机制掌握：防火墙的静态地址转换的配置及应用学习完本次课程，您应该能够：*第3页课程内容

防火墙的基本配置

防火墙的动态地址转换

防火墙的端口地址转换

防火墙的静态地址转换

*第4页1ASA防火墙基本配置主要内容ASA防火墙ASA防火墙的基本配置及案例*第5页1.1ASA防火墙1）ASA防火墙简介2005年5月，Cisco推出适应性安全产品（ASA,AdaptiveSecurityAppliance），即ASA系列的防火墙。ASA系列防火墙是作为PIX系列防火墙的替代产品出现的。ASA系列防火墙在提供基本防火墙的功能之外，还提供了更多的安全特性，适用于在各种网络环境中使用，并且更加便于管理、监控和维护。CiscoASA5500系列自适应安全设备是能够为从小型办公室/家庭办公室和中小企业到大型企业的各类环境提供新一代安全性和VPN服务的模块化安全平台。并且可以根据客户对防火墙、入侵防御（IPS）、Anti-X和VPN的要求而特别定制安全服务。*第6页2）ASA产品系列介绍适用于低端小型或分支办公室的防火墙：CiscoASA5505、CiscoASA5510、CiscoASA5512-X、CiscoASA5515-X等。适用于中型企业的防火墙：CiscoASA5520、CiscoASA5540等。适用于大型企业的防火墙：CiscoASA5550、CiscoASA5580等。*第7页1.2ASA防火墙的基本配置1）设置主机名命令格式：CiscoAsa(config)#hostname主机名参数说明：主机名：也就是设备名，默认为ciscoasa。强烈建议为每个安全设备设立一个独特的主机名称，以方便在网络中对它们辨认与区别。*第8页2）配置域名命令格式：CiscoAsa(config)#domain-name域名参数说明：域名：网络设备通常都属于某一个域，此命令用于设置设备所在的域名。如果设备的主机名为ASA001，域名设置为ABC.com，那么此设备的全称域名为ASA001.ABC.com。*第9页3）设置密码密码可分为远程登录密码和特权密码。ASA防火墙的密码都是加密保存的。远程登录密码命令格式：CiscoAsa(config)#password远程登录密码参数说明：远程登录密码：即telnet密码。特权模式密码命令格式：CiscoAsa(config)#enablepassword特权模式密码参数说明：特权模式密码：即使用enable进入特权模式时的密码。*第10页4）清空内存中的配置内容将内存中的配置全部清除。也即将running-config的内容全部清空。命令格式：CiscoAsa(config)#cleatrconfigall命令说明：请注意此命令是在全局配置模式下执行。*第11页5）清空启动配置文件将启动配置文件的内容全部清空。也即将startup-config文件的内容全部清空。命令格式：CiscoAsa#writeerase命令说明：请注意此命令是在特权配置模式下执行。*第12页6）接口配置防火墙的接口可分为数据传输接口和管理接口（控制口）。数据传输接口默认情况下都是关闭的。对于数据传输接口的主要配置是设置接口的名称、安全级别、IP地址。*第13页（1）接口名称配置命令格式：CiscoAsa(config-if)#nameif接口名称参数说明：接口名称：防火墙用接口名称来标识和区别各个接口所连接网络的类型，比如，内部网络、外部网络、DMZ区等。根据接口连接的网络，接口别名一般可设置为：inside、outside、dmz，它们分别表示内部接口、外部接口和非军事区接口。CiscoASA5520、5540和5550系列都是默认将GigabitEthnet0/1作为内部接口，5510系列都是默认将FastEthnet0/1作为内部接口。我们发现如果某接口别名没有配置，则此接口不会自动出现在防火墙的直连路由中。*第14页（2）安全级别配置命令格式：CiscoAsa(config-if)#security-level安全级别参数说明：安全级别：安全级别的数值范围：0—100。其中0安全级别最低，100安全级别最高。使用nameif给接口设置别名时，系统会自动为接口分配一个预定义的安全级别，inside安全级别为100，其他为0。一般情况下，我们可以将DMZ接口的安全级别设置为0--100之间的某一个值。安全级别反映了一个接口对另外接口的信任程度。如果某接口没有设置安全级别，它将不会在网络层作出任何响应。默认情况下，只要满足ACL、状态检测和NAT的要求，就允许流量从安全级别高的接口流向安全级别低的接口，比如，从内部接口向外部接口；当流量从安全级别低的接口流向安全级别高的接口时，必须要再经过额外的检测和过滤。CiscoASA允许多个接口的安全级别相同，如果想让相同级别的接口间能够相互通信，就需要在全局配置模式下，执行下面的命令：CiscoAsa(config)#same-security-trafficpermitinter-interfaces*第15页（3）IP地址配置命令格式：CiscoAsa(config-if)#ipaddressIP地址

子网掩码*第16页*第17页7）配置案例例1：CiscoASA防火墙接口e0/1、e0/2分别连接二个路由器R1、R2，现将ASA的e0/1口的别名设置为inside，安全级别为100，IP地址设置；将ASA的e0/2口的别名设置为dmz，安全级别为50，IP地址设置；并检验R1、ASA、R2之间的连通情况。网络拓扑图如图9.1.1所示。*第18页（1）在ASA上配置接口名称、安全级别、IP地址CiscoAsa(config)#interfacee0/1CiscoAsa(config-if)#nameifinsideCiscoAsa(config-if)#security-level100CiscoAsa(config-if)#ipaddressCiscoAsa(config)#interfacee0/2CiscoAsa(config-if)#nameifdmzCiscoAsa(config-if)#security-level50CiscoAsa(config-if)#ipaddress（2）在路由器R1上配置IP地址、默认路由R1(config)#iprouteR1(config)#interfacef0/0R1(config-if)#ipaddress*第19页（3）在路由器R2上配置IP地址、默认路由R2(config)#iprouteR2(config)#interfacef0/0R2(config-if)#ipaddress*第20页（4）连通性检测在R1上ping防火墙上的e0/1口的地址，在R2上ping防火墙上的e0/2口的地址。这二种操作的结果都是连通的。如果在R1上ping路由器R2上f0/0接口的地址，能通吗？为什么呢？（是不通的，防火墙默认是不允许ICMP的包穿过防火墙的。）*第21页如何检测R1、R2之间是否可通呢？我们可以在R2上打开远程登录，然后从R1上可以登录到R2上。具体配置如下：R2(config)#linevty04R2(config-line)#passwordabcR2(config-line)#login然后，在R1上远程登录R2：R1#telnet*第22页*第23页命令执行结果如图9.1.2所示。查看远程登录的情况。*第24页课程内容

防火墙的基本配置防火墙的动态地址转换

防火墙的端口地址转换防火墙的静态地址转换*第25页2ASA防火墙动态网络地址转换（动态NAT）主要内容ASA防火墙的地址转换ASA防火墙的动态地址转换的配置及案例*第26页2.1ASA防火墙的地址转换1）ASA防火墙的地址转换地址转换是防火墙的一项重要功能，也可以说是一项必备的功能。当前，几乎所有的企业网络在连入Internet时，都要做NAT。ASAIOS7.0以前，通过防火墙的流量默认必须是要做NAT的，否则，不能通过。地址转换可以在一定程度上解决IPv4的地址紧张问题；可以隐藏内部网络，起到保护内部网络的作用。*第27页2）ASA防火墙支持的NAT类型

CiscoASA防火墙一共支持以下5种类型的地址转换，它们的配置方法互不相同。动态NAT动态PAT静态NAT静态PAT策略NAT或PAT*第28页2.2动态网络地址转换（动态NAT）配置及案例ASA防火墙的动态NAT配置比路由器的NAT配置需要的命令数目少，ASA防火墙的动态NAT配置主要由以下二步组成：定义全局地址池；将全局地址池映射给本地地址。*第29页1）定义全局地址池（Global）命令格式：global(外网接口)NAT_ID起始IP地址-结束IP地址netmark子网掩码参数说明：外网接口：表示外网接口名称，一般为outside。NAT_ID标识：其值为大于等于1的数字。0有特殊用途。此global命令将与有相同NAT_ID的nat命令的配对进行地址转换。起始IP地址-结束IP地址：NAT的地址池，也即将被转成的ip地址范围。子网掩码：表示与地址池的全局IP地址的相对应的子网掩码。*第30页2）将全局地址池映射给本地地址（NAT）地址转换命令，将内网的私有ip转换为外网公网ip。命令格式：nat(内网接口)NAT_ID本地IP地址子网掩码参数说明：内网接口：表示内网接口名称，一般为inside。NAT_ID：其值为大于等于1的数字。0有特殊用途。此nat命令将于有相同NAT_ID的gobal命令的配对进行地址转换。本地IP地址：将会被转换的本地IP地址。子网掩码：表示与本地IP地址对应的子网掩码。*第31页3）配置案例例1．企业内网的网络地址为/24，现在通过动态NAT访问Internet，已知分配给动态NAT的IP地址池为0—9。现在ASA防火墙上实现动态NAT，并验证。*第32页（1）ASA防火墙、路由器等设备的基本配置按图1建立拓扑，并按图1所示对各设备进行配置，并测试验证。//在ASA上配置接口名称、安全级别、IP地址CiscoAsa(config)#interfacee0/1CiscoAsa(config-if)#nameifinsideCiscoAsa(config-if)#security-level100CiscoAsa(config-if)#ipaddressCiscoAsa(config-if)#noshutdown*第33页CiscoAsa(config)#interfacee0/0CiscoAsa(config-if)#nameifoutsideCiscoAsa(config-if)#security-level0CiscoAsa(config-if)#ipaddressCiscoAsa(config-if)#noshutdown*第34页//在路由器R1配置IP地址、默认路由R1(config)#iproute

//默认路由R1(config)#interfacef0/0

R1(config-if)#ipaddressR1(config-if)#noshutdown*第35页//在路由器R2配置IP地址、默认路由、设置远程登录口令R2(config)#iproute

R2(config)#interfacef0/0R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config)#linevty04R2(config-line)#passwordabcR2(config-line)#login*第36页完成以上配置，可通过下面的操作，对上面的配置结果进行验证。首先，从路由器R1上远程登录路由器R2。以检测网络是否可通。

*第37页其次，在路由器R2上查看用户。可以看到当前有一个来自（路由器R1）的远程登录。*第38页第三，在防火墙查看转换表。可以看到当前NAT转换表为空。*第39页（2）在ASA上定义全局地址池

CiscoAsa(config)#global(outside)10-9netmark（3）将全局地址池映射到本地地址

CiscoAsa(config)#nat(inside)1请注意NAT_ID的匹配使用的。上面的global、nat命令中，都使用了数字“1”作为NAT的标识。*第40页（4）动态NAT验证首先，从路由器R1上远程登录路由器R2。其次，在路由器R2上查看用户。可以看到当前有一个来自0的远程登录。

*第41页第三，在防火墙查看转换表。可以看到当前NAT转换表的内容。由上面的转换表的内容可知，内部IP地址被转换为IP地址0。*第42页例2．如果现在某企业网的内网有二个网段分别为/24和/24，希望通过动态NAT上网，且网段/24转换范围为0--9，网段/24转换范围为0--9。如何实现呢？*第43页（1）网络拓扑及设备基本配置 网络拓扑及设备基本配置与图9.2.1相同，并在此基础上，在路由器R1上添加一个环回地址/24。其它与例1的第一步完成相同。//在路由器R1配置IP地址、默认路由R1(config)#iproute

//默认路由R1(config)#interfacef0/0

R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config)#interfaceloopback0//设置回环口0R1(config-if)#ipaddress*第44页（2）在ASA上定义全局地址池

CiscoAsa(config)#global(outside)10-9netmark

CiscoAsa(config)#global(outside)20-9netmark（3）将全局地址池映射到本地地址CiscoAsa(config)#nat(inside)1CiscoAsa(config)#nat(inside)2请注意NAT_ID的匹配使用的。*第45页（4）动态NAT验证I．在路由器R1上使用为源地址远程登录路由器R2首先，从路由器R1上使用为源地址远程登录路由器R2。完整命令为：R1(config)#

telnet/source-interfacef0/0参数说明：source-interface：关键字，源接口。其后的f0/0，是准备使用的IP地址所在的接口类型与编号，在这里使用的在路由器的F0/0口。*第46页*第47页其次，在路由器R2上查看用户。可以看到当前有一个来自0的远程登录。*第48页然后，在ASA防火墙上查看NAT转换表II．在路由器R1上使用为源地址远程登录路由器R2首先，从路由器R1上使用为源地址远程登录路由器R2。是环回接口loopback0的地址其次，在路由器R2上查看用户。可以看到当前有一个来自0的远程登录。然后，在ASA防火墙上查看NAT转换表从上表可以看到，和分别被转换为0和0。*第52页课程内容

防火墙的基本配置防火墙的动态地址转换防火墙的端口地址转换

防火墙的静态地址转换*第53页3ASA防火墙动态端口地址转换（动态PAT）主要内容ASA防火墙的端口地址转换ASA防火墙的端口地址转换的配置及案例*第54页3.1ASA防火墙端口地址转换PAT在网络地址转换（NAT）时，本地地址与全局地址是一对一地进行转换，也即如果内部有10专用地址需要同时上网，那么，地址池中至少需要10个公用IP地址。换句话说，使用网络地址转换时，如果地址池中，只有10个全局地址，是没有办法让11个只有本地地址PC同时通过网络地址转换的。所以动态NAT对于缓解公用IP地址的不足问题非常有限。端口地址转换（PAT），将多个本地地址转换成一个单个的全局地址，同时将源端口号也会转换成一个指定的端口，并形成转换前的端口与转换后的端口对应表，此时主要通过端口来区分不同的网络连接。端口号长度为16位二进制位，可以有65536个端口号，即使有些端口（比如0--1023）已经保留给特定的网络使用。还有64000多个端口，理论上，一个全局地址可以让64000多个本地地址进行地址转换。这样，可大大地缓解单位网络由于全局地址不足的上网问题。*第55页需要特别指出的是，使用PAT时，虽然理论上一个全局地址可以让64000多个本地地址实现地址转换，但实际设备能够支持的往往小于这个理论数。当前各单位内部员工访问Internet，几乎都是使用PAT来实现地址转换的。*第56页3.2动态端口地址转换（动态PAT）配置及案例ASA防火墙的端口地址转换（PAT）配置与网络地址转换步骤是一样的，唯一的区别是，端口地址转换（PAT）配置中，只需要指定一个全局地址就可以了，而不是指定一个全局地址池。所以，ASA防火墙的端口地址转换（PAT）配置主要以下两步组成：定义一个全局地址（global）；将全局地址映射给本地地址（nat）。*第57页（1）定义一个全局地址（Global）命令格式：global(外网接口)NAT_ID全局地址netmark子网掩码参数说明：外网接口：表示外网接口名称，一般为outside。NAT_ID标识：其值为大于等于1的数字。0有特殊用途。此global命令将与有相同NAT_ID的nat命令的配对进行地址转换。全局地址：这里只需要指定一个全局地址就可以了。子网掩码：表示与地址池的全局IP地址的相对应的子网掩码。*第58页（2）将全局地址映射给本地地址（NAT）地址转换命令，将内网的私有ip转换为外网公网ip。命令格式：nat(内网接口)NAT_ID本地IP地址子网掩码参数说明：内网接口：表示内网接口名称，一般为inside。NAT_ID：其值为大于等于1的数字。0有特殊用途。此nat命令将与有相同NAT_ID的gobal命令的配对进行地址转换。本地IP地址：将会被转换的本地IP地址。子网掩码：表示与本地IP地址对应的子网掩码。*第59页（3）配置案例例1．企业内网的网络地址为/24，现在通过端口地址转换（PAT）访问Internet，已知分配给动态NAT的IP地址池为。现在ASA防火墙上实现端口地址转换（PAT），并验证。*第60页I．ASA防火墙、路由器等设备的基本配置按图9.3.1建立拓扑，并按图9.3.1所示对各设备进行配置，并测试验证。//在ASA上配置接口名称、安全级别、IP地址CiscoAsa(config)#interfacee0/1CiscoAsa(config-if)#nameifinsideCiscoAsa(config-if)#security-level100CiscoAsa(config-if)#ipaddressCiscoAsa(config-if)#noshutdown*第61页CiscoAsa(config)#interfacee0/0CiscoAsa(config-if)#nameifoutsideCiscoAsa(config-if)#security-level0CiscoAsa(config-if)#ipaddressCiscoAsa(config-if)#noshutdown*第62页//在路由器R1配置IP地址、默认路由R1(config)#iproute//默认路由R1(config)#interfacef0/0R1(config-if)#ipaddressR1(config-if)#noshutdown*第63页//在路由器R2配置IP地址、默认路由、设置远程登录口令R2(config)#iprouteR2(config)#interfacef0/0R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config)#linevty04R2(config-line)#passwordabcdR2(config-line)#login*第64页完成以上配置，可通过下面的操作，对上面的配置结果进行验证。首先，从路由器R1上远程登录路由器R2。以检测网络是否可通。*第65页其次，在路由器R2上查看用户。可以看到当前有一个来自（路由器R1）的远程登录。*第66页第三，在防火墙查看转换表。可以看到当前NAT转换表为空。II．在ASA上定义全局地址池

CiscoAsa(config)#global(outside)1netmarkIII．将全局地址池映射到本地地址

CiscoAsa(config)#nat(inside)1请注意NAT_ID的匹配使用的。上面的global、nat命令中，都使用了数字“1”作为NAT的标识。IV．端口地址转换（PAT）验证（1）从路由器R1上远程登录路由器R2。（2）在路由器R2上查看用户。可以看到当前有一个来自的远程登录。（3）在防火墙查看转换表。可以看到当前PAT转换表的内容。由上面的转换表的内容可知，当前转换表里有一条记录，转换类型为PAT，内部网络的本地地址，端口为31729，被转换为全局地址，端口为1024。V．在路由器Router1上添加一个环回接口R1(config)#interfaceloopback0//定义一个回环接口R1(config-if)#ipaddressVI．再次进行PAT检验（1）在路由器Router1上分别以和为源地址，远程登录Router2。（2）在ASA防火墙上查看转换表从转换表中，我们可以看到，本地地址和都被转换为全局地址，这二个连接转换的全局地址虽然相同，但端口是不一样的，的原端口为14389，转换为的端口为1027；的原端口为50138，转换为的端口为1028。*第74页课程内容

防火墙的基本配置防火墙的动态地址转换防火墙的端口地址转换防火墙的静态地址转换*第75页4ASA防火墙静态地址转换（StaticNAT）主要内容ASA防火墙的静态地址转换ASA防火墙的静态地址转换的配置及案例*第76页4.1ASA防火墙的静态地址转换静态地址转换，就是将专用IP地址与公用IP地址进行固定的映射。一般当内网或DMZ区中的使用专用IP地址的服务器想让外网的人访问时，就要将服务器的专用IP地址与全局IP地址做静态地址转换，这样方便外网用户的主动访问。*第77页4.2ASA防火墙的静态地址转换配置及案例ASA防火墙的静态NAT配置，一般由以下三步组成：配置静态地址转换设置允许外网访问的策略；将策略应用到接口上。*第78页（1）配置静态地址转换命令格式：static(内网接口，外网接口)全局IP地址本地IP地址参数说明：内网接口：可以是内部网络接口或DMZ接口。外网接口：表示外网接口名称，一般为outside。全局IP地址：被映射成的全局IP地址。本地IP地址：专用IP地址，被映射的本地IP地址。*第79页（2）设置策略通过ACL设置策略，让外网的主机可以访问被静态NAT的主机。例：将DMZ区的某服务器静态映射成，要让外网的人可以访问此服务器。可设置以下的ACL。CiscoAsa(config)#access-listoutpermitipanyhost*第80页（3）将策略应用到外网接口CiscoAsa(config)#interfacee0/0CiscoAsa(config-if)#

access-groupoutininterfaceoutside命令格式为：CiscoAsa(config-if)#access-groupACL列表名称ininterface外网接口名称说明：ACL列表名称：就是前面定义的访问策略的ACL列表名称；外网接口名称：外网接口名称要与第一步中的外网接口名称一致。如果已知防火墙的ethernet0/0接口与外网连接，且此接口的名称为outside，可使用以下的命令将第二步定义的策略out应用到此外网接口上：CiscoAsa(config)#interfacee0/0CiscoAsa(config-if)#access-groupoutininterfaceoutside*第82页（4）案例例1．企业内网的网络地址为/24，通过ASA防火墙与外网相连，现假设想将内网中的静态NAT为。网络拓扑及设备各接口的IP地址如图9.4.1所示。现在ASA防火墙上实现静态NAT，并验证。*第83页I．ASA防火墙、路由器等设备的基本配置按图9.4.1建立拓扑，并按图9.4.1所示对各设备进行配置，并测试验证。//在ASA上配