cisco防火墙配置手册.doc

cisco防火墙配置手册 一、Cisco Pix日常维护常用命令 1、Pix模式介绍 “”用户模式 firewallenable 由用户模式进入到特权模式 password: “#”特权模式 firewall#config t 由特权模式进入全局配置模式 “（config）#”全局配置模式 firewall(config)# 防火墙的配置只要在全局模式下完成就可以了。 1、 基本配置介绍 1、端口命名、设备命名、IP地址配置及端口激活 nameif ethernet0 outside security0 端口命名 nameif gb-ethernet0 inside security100 定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。 firewall(config)#hostname firewall 设备名称 firewall（config）#ip address outside 内外口地址设置 firewall（config）#ip address inside firewall（config）# interface ethernet0 100full 激活外端口 firewall（config）# interface gb-ethernet0 1000auto 激活内端口 2、telnet、ssh、web登陆配置及密码配置 防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。 firewall（config）#telnet inside 允许内网此网断内的机器Telnet到防火墙 配置从外网远程登陆到防火墙 Firewall（config）#domain-name firewall（config）# crypto key generate rsa firewall（config）#ssh outside 允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如： firewall（config）#ssh 1 55 outside firewall（config）#enable password cisco 由用户模式进入特权模式的口令 firewall（config）#passrd cisco ssh远程登陆时用的口令 firewall（config）#username Cisco password Cisco Web登陆时用到的用户名 firewall（config）#http enable 打开http允许内网10网断通过http访问防火墙 firewall（config）#http inside firewall（config）#pdm enable firewall（config）#pdm location inside web登陆方式： 3、保证防火墙能上网还要有以下的配置 firewall（config）#nat （inside）1 0 0 对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发 firewall（config）#nat (inside) 1 fierwall(config)#nat (inside) 1 firewall (config) # global (outside) 1 interface 对进行nat转换得地址转换为防火墙外接口地址 firewall (config) # route 　指一条默认路由器到ＩＳＰ 做完上面的配置内网用户就可以上网了，内部有３层交换机且划分了Ｖｌａｎ，若要保证每个Ｖｌａｎ都能够上网，还要在防火墙上指回到其他ＶＬａｎ的路由，如： Firewall (config) # route inside 4、内网服务器映射 如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。服务器映射可以是一对一的映射，也可以是端口映射，一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。下面以发布内网一台WEB服务器来举例说明： Firewall(config)#static (inside,outside) tcp 80 00 80 上述命令便将内部的web服务器放到了公网上面，但外面的用户并不能访问到，因为防火墙的外界口安全级别最低，从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开，如下： Firewall(config)#access-list outside permit tcp any host eq 80 Firew