CISCO防火墙常见功能实现.ppt
《CISCO防火墙常见功能实现.ppt》由会员分享,可在线阅读,更多相关《CISCO防火墙常见功能实现.ppt(37页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、2023/3/13Inspur groupCISCO防火墙常见功能实现2Inspur group主要内容主要内容ASA/PIX基本配置访问控制VPN配置双机配置特殊情况使用防火墙板卡3Inspur groupASA/PIXASA/PIX基本配置基本配置1、设备名称asa(config)hostnameasa2、接口信息配置interfacefastehernet0/1ipadd10.1.1.125.255.255.0nameifoutsidesecurity-level06.0及以前版本使用如下命令:nameiffastethernet0/1outsidesecurity-level0ipad
2、dressoutside10.1.1.1255.255.255.03、路由配置routeoutside0.0.0.00.0.0.010.1.1.24Inspur groupASA/PIXASA/PIX基本配置基本配置Nameif:为每个端口确定名字security-level:安全级别,你可以给每个端口分配1-99的任何一个安全级别,数值越大,安全级别越高。默认inside100、manage100、outside052023/3/13Inspur group访问控制访问控制当你从一个高安全级别的端口访问低安全级别的端口时,使用使用NAT(insideoutside、insidedmz、dmz
3、outside)当你从一个低安全级别的端口访问高安全级别的端口时,使用使用STATIC+ACL(outsideinside、outsidedmz、dmzinside)6Inspur group访问控制访问控制-NAT-NAT动态NAT静静态NATBYPASS NAT7Inspur group访问控制访问控制-NAT-NAT动态NAT将内网的多个私有地址将内网的多个私有地址转换成外网地址成外网地址Global(outside)1202.102.111.1Nat(inside)1192.168.0.0255.255.255.0上述命令表示内部192.168.0.0/24网段访问外网的时将转换成20
4、2.102.111.1的地址访问internet,若以外网端口地址转换则称为PATGlobal(outside)1interfaceNat(inside)1192.168.0.0255.255.255.08Inspur group访问控制访问控制-NAT-NAT动态NATglobal指定公网地址范围:定义地址池。Global命令的配置语法:global(if_name)nat_idip_address-ip_addressnetmarkglobal_mask其中:(if_name):表示外网接口名称,一般为outside。nat_id:建立的地址池标识(nat要引用)。ip_address-i
5、p_address:表示一段ip地址范围。netmarkglobal_mask:表示全局ip地址的网络掩码。9Inspur group访问控制访问控制-NAT-NAT动态NATnat地址转换命令,将内网的私有ip转换为外网公网ip。nat命令配置语法:nat(if_name)nat_idlocal_ipnetmark其中:(if_name):表示接口名称,一般为inside.nat_id:表示地址池,由global命令定义。local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。netmark:表示内网ip地址的子网掩码。10Inspur group访问控制访问控制-NAT-
6、NAT静静态NAT配置内网地址与外网地址一一配置内网地址与外网地址一一对应,也可以配置基于,也可以配置基于应用端口的静用端口的静态转换,称,称为static PAT11Inspur group访问控制访问控制-NAT-NAT静静态NATStatic(inside,outside)209.165.201.110.1.1.1netmask255.255.255.255Static(inside,outside)tcp209.165.201.12310.1.1.123Netmask255.255.255.25512Inspur group访问控制访问控制-NAT-NAT静静态NATstatic(in
7、ternal_if_name,external_if_name)outside_ip_addrinside_ip_address其中:internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name表示外部网络接口,安全级别较低,如outside。outside_ip_address表示外部网络的公有ip地址。inside_ip_address表示内部网络的本地ip地址。13Inspur group访问控制访问控制-NAT-NATBYPASS NAT高安全高安全级别区域地址以原地址区域地址以原地址访问低安全低安全级别区域区域14Inspur gr
8、oup访问控制访问控制-NAT-NATBYPASS NAT1、整体hostname(config)#nat(inside)010.1.1.0255.255.255.02、匹配策略Access-list100permitip192.168.0.0255.255.255.0192.168.1.0255.255.255.0Nat(inside)0access-list10015Inspur group访问控制访问控制-ACL-ACL标准准Access-list test stand permit 192.168.0.0 255.255.255.0扩展展Access-list test extende
9、d permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0使用方法:使用方法:Access-group test in interface outside 16Inspur groupVPNVPN配置配置LAN-LAN(L2L)Remote-access(ra)17Inspur groupVPNVPN配置配置-L2L-L2L环境境说明明 两地用两地用户,内部网段分,内部网段分别为10.1.1.0/24与与10.1.2.0/24要求使用要求使用L2L进行数据加密行数据加密处理理18Inspur groupVPNVPN配置配置-L
10、2L-L2L1、定、定义IKE policy,并在接口启用,并在接口启用crypto isakmp policy 10 authentication pre-share /pre-share认证方式方式 encryption 3des /加密加密 hash sha /完整性完整性验证 group 2 /密密钥位数位数1024,group1为768 lifetime 86400/sa周期默周期默认一天一天crypto isakmp enable outside19Inspur groupVPNVPN配置配置-L2L-L2L2、定、定义触触发流量流量access-list 100 extended
11、 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.03、配置、配置VPN流量以原地址流量以原地址访问access-list nonat extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0nat(inside)0 access-list nonat20Inspur groupVPNVPN配置配置-L2L-L2L4、定、定义IPSEC转换集集crypto ipsec transform-set myset esp-3des esp-sha-hmacEsp-3de
12、s加密算法;esp-sha-hmac验证算法5、配置加密、配置加密图并并应用在相关接口用在相关接口crypto map outside_map 20 match address 100 crypto map outside_map 20 set peer 192.168.1.1crypto map outside_map 20 set transform-set mysetcrypto map outside_map interface outside21Inspur groupVPNVPN配置配置-L2L-L2L6、配置虚、配置虚拟通道及属性通道及属性tunnel-group 192.168
13、.1.1 type ipsec-l2ltunnel-group 192.168.1.1 ipsec-attributes pre-shared-key*22Inspur groupVPNVPN配置配置-Remote ACCESS-Remote ACCESS1、配置用、配置用户地址池地址池 ip local pool vpnpool 192.168.10.1-192.168.10.1002、配置、配置IKE协商策略,并商策略,并应用在外网接口用在外网接口crypto isakmp policy 10 authentication pre-share /pre-share认证方式方式 encryp
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISCO 防火墙 常见 功能 实现
限制150内