CISCO防火墙常见功能实现.ppt

2023/3/13Inspur groupCISCO防火墙常见功能实现2Inspur group主要内容主要内容ASA/PIX基本配置访问控制VPN配置双机配置特殊情况使用防火墙板卡3Inspur groupASA/PIXASA/PIX基本配置基本配置1、设备名称asa（config）hostnameasa2、接口信息配置interfacefastehernet0/1ipadd10.1.1.125.255.255.0nameifoutsidesecurity-level06.0及以前版本使用如下命令：nameiffastethernet0/1outsidesecurity-level0ipaddressoutside10.1.1.1255.255.255.03、路由配置routeoutside0.0.0.00.0.0.010.1.1.24Inspur groupASA/PIXASA/PIX基本配置基本配置Nameif：为每个端口确定名字security-level：安全级别，你可以给每个端口分配1-99的任何一个安全级别，数值越大，安全级别越高。默认inside100、manage100、outside052023/3/13Inspur group访问控制访问控制当你从一个高安全级别的端口访问低安全级别的端口时,使用使用NAT(insideoutside、insidedmz、dmzoutside)当你从一个低安全级别的端口访问高安全级别的端口时,使用使用STATIC+ACL(outsideinside、outsidedmz、dmzinside)6Inspur group访问控制访问控制-NAT-NAT动态NAT静静态NATBYPASS NAT7Inspur group访问控制访问控制-NAT-NAT动态NAT将内网的多个私有地址将内网的多个私有地址转换成外网地址成外网地址Global（outside）1202.102.111.1Nat（inside）1192.168.0.0255.255.255.0上述命令表示内部192.168.0.0/24网段访问外网的时将转换成202.102.111.1的地址访问internet,若以外网端口地址转换则称为PATGlobal（outside）1interfaceNat（inside）1192.168.0.0255.255.255.08Inspur group访问控制访问控制-NAT-NAT动态NATglobal指定公网地址范围：定义地址池。Global命令的配置语法：global(if_name)nat_idip_address-ip_addressnetmarkglobal_mask其中：(if_name)：表示外网接口名称，一般为outside。nat_id：建立的地址池标识(nat要引用)。ip_address-ip_address：表示一段ip地址范围。netmarkglobal_mask：表示全局ip地址的网络掩码。9Inspur group访问控制访问控制-NAT-NAT动态NATnat地址转换命令，将内网的私有ip转换为外网公网ip。nat命令配置语法：nat(if_name)nat_idlocal_ipnetmark其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。netmark：表示内网ip地址的子网掩码。10Inspur group访问控制访问控制-NAT-NAT静静态NAT配置内网地址与外网地址一一配置内网地址与外网地址一一对应，也可以配置基于，也可以配置基于应用端口的静用端口的静态转换，称，称为static PAT11Inspur group访问控制访问控制-NAT-NAT静静态NATStatic（inside,outside)209.165.201.110.1.1.1netmask255.255.255.255Static(inside,outside)tcp209.165.201.12310.1.1.123Netmask255.255.255.25512Inspur group访问控制访问控制-NAT-NAT静静态NATstatic(internal_if_name,external_if_name)outside_ip_addrinside_ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name表示外部网络接口，安全级别较低，如outside。outside_ip_address表示外部网络的公有ip地址。inside_ip_address表示内部网络的本地ip地址。13Inspur group访问控制访问控制-NAT-NATBYPASS NAT高安全高安全级别区域地址以原地址区域地址以原地址访问低安全低安全级别区域区域14Inspur group访问控制访问控制-NAT-NATBYPASS NAT1、整体hostname(config)#nat(inside)010.1.1.0255.255.255.02、匹配策略Access-list100permitip192.168.0.0255.255.255.0192.168.1.0255.255.255.0Nat(inside)0access-list10015Inspur group访问控制访问控制-ACL-ACL标准准Access-list test stand permit 192.168.0.0 255.255.255.0扩展展Access-list test extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0使用方法：使用方法：Access-group test in interface outside 16Inspur groupVPNVPN配置配置LAN-LAN(L2L)Remote-access（ra）17Inspur groupVPNVPN配置配置-L2L-L2L环境境说明明 两地用两地用户，内部网段分，内部网段分别为10.1.1.0/24与与10.1.2.0/24要求使用要求使用L2L进行数据加密行数据加密处理理18Inspur groupVPNVPN配置配置-L2L-L2L1、定、定义IKE policy，并在接口启用，并在接口启用crypto isakmp policy 10 authentication pre-share /pre-share认证方式方式 encryption 3des /加密加密 hash sha /完整性完整性验证 group 2 /密密钥位数位数1024，group1为768 lifetime 86400/sa周期默周期默认一天一天crypto isakmp enable outside19Inspur groupVPNVPN配置配置-L2L-L2L2、定、定义触触发流量流量access-list 100 extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.03、配置、配置VPN流量以原地址流量以原地址访问access-list nonat extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0nat(inside)0 access-list nonat20Inspur groupVPNVPN配置配置-L2L-L2L4、定、定义IPSEC转换集集crypto ipsec transform-set myset esp-3des esp-sha-hmacEsp-3des加密算法；esp-sha-hmac验证算法5、配置加密、配置加密图并并应用在相关接口用在相关接口crypto map outside_map 20 match address 100 crypto map outside_map 20 set peer 192.168.1.1crypto map outside_map 20 set transform-set mysetcrypto map outside_map interface outside21Inspur groupVPNVPN配置配置-L2L-L2L6、配置虚、配置虚拟通道及属性通道及属性tunnel-group 192.168.1.1 type ipsec-l2ltunnel-group 192.168.1.1 ipsec-attributes pre-shared-key*22Inspur groupVPNVPN配置配置-Remote ACCESS-Remote ACCESS1、配置用、配置用户地址池地址池 ip local pool vpnpool 192.168.10.1-192.168.10.1002、配置、配置IKE协商策略，并商策略，并应用在外网接口用在外网接口crypto isakmp policy 10 authentication pre-share /pre-share认证方式方式 encryption 3des /加密加密 hash sha /完整性完整性验证 group 2 /密密钥位数位数1024，group1为768 lifetime 86400/sa周期默周期默认一天一天crypto isakmp enable outside23Inspur groupVPNVPN配置配置-Remote ACCESS-Remote ACCESS3、定、定义转换集集crypto ipsec transform-set myset esp-3des esp-sha-hmac4、配置、配置动态加密加密图Crypto dynamic-map ravpn 10 set transform-set myset Crypto dynamic-map ravpn 10 set reverse-route5、配置静、配置静态加密加密图调用用动态加密加密图并并应用在外部接口用在外部接口crypto map vpn 10 ipsec-isakmp dynamic ravpncrypto map vpn interface outside24Inspur groupVPNVPN配置配置-Remote ACCESS-Remote ACCESS6、允、允许nat穿越穿越Crypto isakmp nat-traversal7、创见并并设置置组策略策略Group-policy vpnclient internalGroup-policy vpnclient attributes dns-server value 1.1.1.1 split-tunnel-policy tunnelall 25Inspur groupVPNVPN配置配置-Remote ACCESS-Remote ACCESS8、隧道、隧道组建立及属性建立及属性设置置Tunnel-group vpnclient type ipsec-raTunnel-group vpnclient ipsec-attributes pre-shared key ciscoTunnel-group vpnclient general-attributes address-pool vpnpool authentication-server-group(outside)LOCAL default-group-policy vpnclient26Inspur groupVPNVPN配置配置-Remote ACCESS-Remote ACCESS8、设置置账户Username cisco password cisco Username cisco attributes9、配置、配置VPN用用户与内部网与内部网络访问（假（假设内网内网为192.168.1.0）acl 192.168.10.0 192.168.1.0(outside)no nat 192.168.1.0 192.168.10.0(inside)27Inspur groupVPNVPN配置配置-讨论讨论假假设用用户既有既有l2l又有又有remote access 的的VPN需求，防火需求，防火墙设备改改如何如何实现此功能此功能？28Inspur groupASA FailoverASA Failover配置配置配置Failover时，需要两台完全一样的ASA设备，同时需要硬件、软件及License的支持。Failover主要有两种模式Active/ActivefailoverandActive/Standby，前者相当于负载均衡的械式，后者则是主备的方式，同时只有一台设备有流量通过。配置Failover需要配置FailoverLink，Link的方式有两处，一种是基于serialcable，另一种是基于Lan的，ASA设备都是基于Lan的。29Inspur groupASA FailoverASA Failover配置配置主用主用ASA配置配置ASA-1(config)#failoverASA-1(config)#failoverlanunitprimaryASA-1(config)#failoverlaninterfaceHAEthernet0/2ASA-1(config)#failoverlinkHAEthernet0/2ASA-1(config)#failoverkeytest)!)ASA-1(config)#failoverinterfaceipHA192.168.110.1255.0.0.0standby192.168.110.2ASA-1(config)#failover使用使用no shut 启用接口启用接口30Inspur groupASA FailoverASA Failover配置配置备用用ASA配置配置ASA-2(config)#failoverASA-2(config)#failoverlanunitsecondaryASA-2(config)#failoverlaninterfaceHAEthernet0/2ASA-2(config)#failoverlinkHAEthernet0/2ASA-2(config)#failoverkeytest)!)ASA-2(config)#failoverinterfaceipHA192.168.110.1255.0.0.0standby192.168.110.2ASA-2(config)#failover使用使用no shut 启用接口启用接口31Inspur group特殊情况使用特殊情况使用 CISCO防火防火墙的安全特性，的安全特性，导致内部用致内部用户在使用外部在使用外部dns的的时候不候不能正确能正确访问自己的网站自己的网站应用。若用。若单位内部位内部www服服务器器192.168.1.1，转换成成202.102.111.1，以，以 对外提供服外提供服务器，器，则内部内部用用户不能使用域名不能使用域名访问。可以使用。可以使用alias别名方法解决名方法解决 alias（inside）192.168.1.1 202.102.111.1 255.255.255.255或或dns修改修改static(inside,outside)202.102.111.1192.168.1.1netmask255.255.255.255dns32Inspur group防火墙板卡防火墙板卡1、登、登陆到防火到防火墙板卡板卡cisco7609#sessionslot3professor12、防火墙工作模式FWSM有2种context工作模式：一种为singlecontextmode即为一个物理FWSM；另一种为MultipleContextMode即将FWSM虚拟成多个FW，可通过showmode命令查看。!切换至multiple context mode，会提示重新启动设备FWSM(config)#modemultiple!重启后验证一下：FWSM#shmodeSecuritycontextmode:multiple33Inspur group防火墙板卡防火墙板卡3、在交、在交换机机创建建VLAN并添加到并添加到FWSMcisco7609(config)#firewallmultiple-vlan-interfacescisco7609(config)#firewallmodule3vlan-group1,2cisco7609(config)#firewallvlan-group110,12,110,112cisco7609(config)#firewallvlan-group280-92,180-1924、FWSM配置配置创建CONTEXT配置多个context必须先创建admin context，然后再创建其他的34Inspur group防火墙板卡防火墙板卡FWSM(config)#admin-contextadminFWSM(config)#contextadminFWSM(config-ctx)#allocate-interfacevlan12FWSM(config-ctx)#allocate-interfacevlan112FWSM(config-ctx)#config-urldisk:/admin.cfgFWSM(config-ctx)#contexttestFWSM(config-ctx)#allocate-interfacevlan10FWSM(config-ctx)#allocate-interfacevlan110FWSM(config-ctx)#config-urldisk:/test.cfg35Inspur group防火墙板卡防火墙板卡配置CONTEXT用changetocontextname直接切换至某一context,下面以test为例FWSM#changetocontexttestFWSM/test#conftFWSM/test(config)#intvlan10FWSM/test(config-if)#nameifinsideFWSM/test(config-if)#ipadd192.168.1.1255.255.255.0INFO:Securitylevelforinsidesetto100bydefault.FWSM/test(config-if)#intvlan110FWSM/test(config-if)#nameifoutsideINFO:Securitylevelforoutsidesetto0bydefault.36Inspur group防火墙板卡防火墙板卡FWSM/test(config-if)#ipaddress172.30.0.130255.255.255.248FWSM/test(config)#routeoutside00172.16.0.33其他配置可参考ASA附录ASASSH配置372023/3/13Inspur group谢谢大家!