最新Cisco-Pix525防火墙维护手册.doc

《最新Cisco-Pix525防火墙维护手册.doc》由会员分享，可在线阅读，更多相关《最新Cisco-Pix525防火墙维护手册.doc（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateCisco-Pix525防火墙维护手册Catalyst2950交换机维护手 册Cisco Secure PIX 525防火墙维护手册Ver.1-1 CISCO SECURE PIX 525防火墙简述11.1外观11.2性能简述12设备硬件方面维护12.1环境要求12.2电源要求13设备配置维护23.1连接设备23.1.1从console连接23.1.2 远程telne

2、t连接43.2 基本信息配置53.2.1 配置机器名、telnet、密码53.2.2 激活以太端口53.2.3 命名端口与安全级别63.2.4 配置以太端口IP 地址63.2.5 配置远程访问63.2.6 配置访问列表63.2.7 指定外部地址范围（global）63.2.8 地址转换（NAT）和端口转换（PAT）73.2.9 设置指向内网和外网的静态路由（route）73.2.10 配置fixup协议74. 防火墙日常维护74.1 保存配置文件74.2 配置文件保存目录84.3 防火墙IOS保存和升级84.4 防火墙密码恢复84.5 修改登录防火墙口令91 Cisco Secure PIX

3、525防火墙简述PIX 525实现了在Internet或所有IP网络上的安全保密通信。集成了VPN的主要功能隧道、数据加密、安全性和防火墙，能提供安全、可扩展的平台，更好、经济高效地使用公共数据服务来实现远程访远程办公和外部网络连接。PIX 525防火墙支持各种网络接口卡（NIC），包括单端口或4端口10/100快速以太网、千兆以太网、4/16令牌环和双连接多模FDDI卡。具有惊人的灵活性。1.1外观型号图片硬件描述PIX 525双集成10Base-T快速以太网，3个PCI插槽，控制台端口为RJ-45。1.2性能简述1) 随机读写内存高达256MB，闪存为16MB；2) 可以同时连接高达4个V

4、PN层；3) 对于安全数据加密，Cisco的IP Sec实现全部支持56位数据加密标准（DES）和168位3DES算法；4) 自适应安全算法为所有TCP/IP对话提供静态安全性，保护敏感的机密资源；5) 静态故障切换/热备用提供高可用性，保障网络的可靠性；6) 支持多达28万个同时连接；7) 防止拒绝服务攻击保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击；2设备硬件方面维护2.1环境要求l 工作温度：-25-131（-5-55）l 存储温度：- 13-158（-25-70）l 工作相对湿度：95%相对湿度（非冷凝） l 工作海拨高度：最大10000英尺（3000米）l 存储海拨高度：最

5、大15000英尺（4500米）l （非）工作震动：3-500Hz2.2电源要求l 功率消耗：30W（最大），每小时410BTU（最大） l 交流输入电压/频率：100-240VAC（自适应），50-60Hz l 电流：5-2.5安培3设备配置维护3.1连接设备有两种方式可以对防火墙进行连接：1）从CONSOLE连接（用随机附带的网线将防火墙与PC直接相连）；2）远程Telnet到防火墙；3.1.1从console连接第一次对防火墙进行配置，必须从CONSOLE口进入。以后可以选择使用CONSOLE口或远程连接登录首先先将机器上架，按要求接好电源，然后用随机附带的CONSOLE线和转接头将防火墙

6、的CONSOLE口与PC的串口相联，如下图所示：通过CONSOLE口连接步骤如下：1）双击超级终端图标：2）任意输入连接名称：3）选择所连接的串口：4）COM1口设置如下，直接点击“还原为默认值”也可以：检查电源等没有问题后，开启电源，会出现类似下面的显示: Welcome to the PIX firewall Type help or ? for a list of available commands. PIX525 在PIX525下，输入ENABLE回车，进入全局模式3.1.2 远程telnet连接在默认的情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Insid

7、e端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。所以通过先登录连接防火墙的交换机，然后再从交换机登录防火墙的方式进行telnet连接。1）远程登录到10.220.5.252交换机，在交换机的全局模式下（MISO-SW01）输入防火墙地址10.220.5.253，回车；2）进入防火墙登录界面，提示输入口令。口令验证后进入全局模式（MISO-FW），在全局模式下输入en，回车，再次提示输入口令以进入特权模式（MISO-FW#）。3.2 基本信息配置3.2.1 配置机器名、telnet、密码1）在特权模式下，用config terminal（简写为conf t），进入配置

8、模式，进行以下的配置：PIX525#conf t2)管理方面的配置：PIX525(config)#hostname xxx-shxxx-sh(config)#xxx-sh(config)# enable password xxxxxxxx-sh(config)# line vty 0 4xxx-sh(config)# loginxxx-sh(config)# password xxxxx3.2.2 激活以太端口必须用enable进入，然后进入configure模式xxx-sh enable Password: xxx-sh#config t xxx-sh(config)#interface e

9、thernet0 autoxxx-sh(config)#interface ethernet1 auto在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。3.2.3 命名端口与安全级别采用命令nameifxxx-sh(config)#nameif ethernet0 outside security0xxx-sh(config)#nameif ethernet0 outside security100 security0是外部端口outside的安全

10、级别（0安全级别最高）security100是内部端口inside的安全级别,若中间还有以太口，则以security10，security20等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非军事区域)。3.2.4 配置以太端口IP 地址采用命令为：ip address xxx-sh(config)#ip address inside 10.220.5.253 255.255.255.0 内部网络地址xxx-sh(config)#ip address outside 58.246.38.22 255.255.255.240 外部网络地址3

11、.2.5 配置远程访问在默认情况下，PIX的以太口是不允许telnet的，这一点与路由器有区别。inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。xxx-sh(config)#telnet 10.220.5.253 255.255.255.0 insidexxx-sh(config)#telnet 58.246.38.22 255.255.255.240 outside P3.2.6 配置访问列表此功能与Cisco IOS基本上是相似的，也是防火墙的主要部分，有permit和deny两个功能，网络协议一般有IP|TCP|UDP|ICMP等，例如：只允许访问主

12、机:10.220.2.200的www,端口为：80xxx-sh(config)#access-list 100 permit ip any host 10.220.2.200 eq www xxx-sh(config)#access-list 100 deny ip any anyxxx-sh(config)#access-group 100 in interface outside3.2.7 指定外部地址范围（global）global命令把内网的地址翻译成外网的地址或一个地址段。配置语法：xxx-sh(config)#global(outside) nat_id ip1ip2 netmar

13、k global_mask 其中：nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip1-ip2表示翻译后的单个ip地址或一段ip地址范围。netmark global_mask表示全局ip地址的网络掩码。 xxx-sh(config)#global (outside) 1 61.144.51.42-61.144.51.48 内网的主机通过防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。xxx-sh(config)#global (outside) 1 61.144.51.42 内网要

14、访问外网时，防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。 xxx-sh(config)#no global (outside) 1 61.144.51.42 删除这个全局表项。3.2.8 地址转换（NAT）和端口转换（PAT）NAT与路由器基本是一样的，首先必须定义IP Pool，提供给内部IP地址转换的地址段，接着定义内部网段。 Kc1Oxxx-sh(config)#global(outside) 1 10.220.6.1-10.220.6.254 netmask 255.255.255.0 xxx-sh(config)#nat(outside) 1 192

15、.168.0.0 255.255.255.0如果是内部全部地址都可以转换出去则:xxx-sh(config)#nat (outside) 1 0.0.0.0 0.0.0.0在某些情况下，外部地址是很有限的，有些主机必须单独占用一个IP地址，必须解决的是公用一个外部IP(10.220.6.253),则必须多配置一条命令，这种称为（PAT），这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:xxx-sh(config)#global (outside) 1 10.220.6.1-10.220.6.252 netmask 255.255.255.0 xxx-sh (conf

16、ig)#global (outside) 1 10.220.6.253 netmask 255.255.255.0xxx-sh(config)#nat (outside) 1 0.0.0.0 0.0.0.03.2.9 设置指向内网和外网的静态路由（route） 定义一条静态路由。route命令配置语法：route(if_name) 0 0 gateway_ip metric 其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。metric表示到gateway_ip的跳数。通常缺省是1。 例1：xxx-sh(config)#rout

17、e outside 0 0 61.144.51.168 1 一条指向边界路由器（ip地址61.144.51.168）的缺省路由。 例2：xxx-sh(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 xxx-sh(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由，静态路由的下一条路由器ip地址是172.1

18、6.0.1 3.2.10 配置fixup协议fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。xxx-sh(config)#fixup protocol ftp 21 启用ftp协议，并指定ftp的端口号为21 xxx-sh(config)#fixup protocol http 80 为http协议指定80和1080两个端口。xxx-sh(config)#fixup protocol http 1080 xxx-sh(config)#no fixup protocol smtp 80 禁用smtp协议。 4. 防火墙日常

19、维护4.1 保存配置文件在平时的防火墙、路由器的维护工作中，会定期将设备的配置文件保存到设备以外的其他介质上（PC、服务器等）。防止当设备发生故障后能快速地恢复原配置，保证工作的正常进行。对于防火墙等配置的保存可以采取以下几种方式：方法一：直接拷贝、粘贴1）登录到防火墙上（用CONSOLE口或者Telnet均可）；2）xxx-sh#show run3）拖动鼠标，选中显示出的内容，按菜单中的“copy”；4）打开记事本，新建一个文件，将拷贝的内容粘贴到记事本并保存后，即可。方法二：用命令拷贝1）启动TFTP软件；2）登录到防火墙上（用CONSOLE口或者Telnet均可）；3）xxx-sh#co

20、py startup-config tftp4）保存到指定路径，即可。4.2 配置文件保存目录配置文件存放的目录，按照设备类型、建立日期来指定。例如PIX525防火墙的存放目录为：is$:Network防火墙、路由器、防火墙配置文档网络防火墙防火墙名，并以防火墙名+日期作为文件名保存。以后每当有防火墙配置发生改变时，就保存在此目录下。4.3 防火墙IOS保存和升级防火墙的IOS保存和升级是采用TFTP协议完成，首先PC必须安装TFTP软件，然后按照下面的步骤来进行：IOS保存：1）启动TFTP；2）登录3500防火墙，然后在enable状态下输入如下命令来完成IOS的保存：xxx-sh#cop

21、y flash tftp Source IP address or hostname 10.220.64.245? Source filename ? cat6000-sup2k8.7-1-1.binDestination filename cat6000-sup2k8.7-1-1.binn? Loading cat6000-sup2k8.7-1-1.bin to 10.220.5.253 (via VLAN5):!OK - 1125001 bytesIOS的升级：SWITCH#COPY TFTPFLASHSOURCE IP ADDRESS OR HOSTNAME ?10.220.5.253S

22、OURCE FILENAME ? CAT6000-SUP2K8.7-1-1.BINDESTINATION FILENAME CAT6000-SUP2K8.7-1-1.BIN?YLOADING CAT6000-SUP2K8.7-1-1.BINFROM 10.220.64.245 (VIA VLAN64):!OK - 1125001 BYTES4.4 防火墙密码恢复此方法只针对没有floppy的PIX，采用TFTP进行文件传输。1）准备：1）PC一台，其上安装TFTP服务器2）交叉线一条，连接PIX以太网口和PC网卡3）下载密码恢复软件（根据PIXOS的版本选择不同的恢复软件），放到TFTP服务器

23、的目录下，2）详细恢复过程：启动PIX，ctrl+breack，进入到monitor模式下，执行下面的操作：monitor interface 00: i8255X PCI(bus:0 dev:13 irq:10)1: i8255X PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9monitor address 192.168.18.111address 192.168.18.111monitor server 192.168.18.254server 192.168.1

24、8.111monitor file np52.binfile np52.binmonitor gateway 192.168.18.254gateway 192.168.18.254monitor ping 192.168.18.254Sending 5, 100-byte 0xf8d3 ICMP Echoes to 192.168.18.254, timeout is 4 seconds:!Success rate is 100 percent (5/5)monitor tftptftp np52.bin192.168.18.254 via 192.168.18.254.Received 9

25、2160 bytes Cisco Secure PIX Firewall password tool (3.0) #0: Tue Aug 22 23:22:19 PDT 2000Flash=i28F640J5 0x300BIOS Flash=AT29C257 0xd8000 Do you wish to erase the passwords? yn yPasswords have been erased. Rebooting.重新启动后就可以了！4.5 修改登录防火墙口令xxx-sh#conf txxx-sh(config)#enable secretxxx-sh(config)#enable password 新口令xxx-sh(config)#line vty 0 4xxx-sh(config)#loginxxx-sh(config)#password 新口令另：页面设置上页边距2.5厘米页眉1.5厘米下页边距2.0厘米页脚1.0厘米左页边距2.7厘米字符44（跨度 10.25磅）右页边距2.0厘米行数50（跨度 14.25磅）装订线0厘米行间距1行