Cisco防火墻配置筆記

1、1、防火墻和路由器的四種用戶配置模式：普通模式(Unprivilegedmode)特權(quán)模式(PrivilegedMode)配置模式(ConfigurationMode)端口模式(InterfaceMode)注：進(jìn)入特權(quán)用戶模式的命令為enable；進(jìn)入配置模式的命令為configterminal；而進(jìn)入端口模式的命令為interfaceethernet()。不過因?yàn)榉阑饓Φ亩丝跊]有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為全局配置模式。防火墻的基本配置原則默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的：拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。允許

2、所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。可論證地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗(yàn)證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許和的進(jìn)程。在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角度考慮，在防火墻的配置過程中需堅(jiān)持以下三個(gè)基本原則：.簡單實(shí)用：對防火墻環(huán)境設(shè)計(jì)來講，首要的就是越簡單越好。其實(shí)這也是任何事物的基本原則。越簡單的實(shí)現(xiàn)方式，越容易理解和使用。而且是設(shè)計(jì)越簡單，越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理

3、也越可靠和簡便。每種產(chǎn)品在開發(fā)前都會有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測產(chǎn)品主要針對網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時(shí)我們也可針對具體應(yīng)用環(huán)境進(jìn)行配置，不必要對每一功能都詳細(xì)配置，這樣一則會大大增強(qiáng)配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。.全面深入：單一的防御措施是難以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)

4、現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們不要停留在幾個(gè)表面的防火墻語句上，而應(yīng)系統(tǒng)地看等整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)。這方面可以體現(xiàn)在兩個(gè)方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢測、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。（3）.內(nèi)外兼顧：防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80以%上的威脅都來自內(nèi)部，所以我們要樹立防內(nèi)的觀念，從根本上改變過去那種防外不防內(nèi)的傳統(tǒng)觀念。對內(nèi)部威脅可以采取其它安全措施，比如入侵

5、檢測、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。目前來說，要做到這一點(diǎn)比較困難。樓二、防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以防火墻為例進(jìn)行介紹。防火墻的初始配置也是通過控制端口（）與機(jī)（通常是便于移動(dòng)的筆記本電腦）的串口連接，再通過系統(tǒng)自帶的超級終端（）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，參見圖所示。防火墻除了以上所說的通過控制端口（）進(jìn)行初始配置外，也可以通過和配置方式進(jìn)行高級配置，

6、但配置方式都是在命令方式中配置，難度較大，而方式需要專用的服務(wù)器軟件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（）、特權(quán)模式（和端口模式（）、配置模式（），進(jìn)入這四種用戶模式的命令也與路由器一樣:回復(fù)樓普通用戶模式無需特別命令，啟動(dòng)后即進(jìn)入；進(jìn)入特權(quán)用戶模式的命令為；進(jìn)入配置模式的命令為n而進(jìn)入端口模式的命令為（）不過因?yàn)榉阑饓Φ亩丝跊]有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為全局配置模式?；貜?fù)樓防火墻的具體配置步驟如下：將防火墻的端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，參見圖1打開防火電源，讓系統(tǒng)加電初始化，然后開啟與防火

7、墻連接的主機(jī)。運(yùn)行筆記本電腦系統(tǒng)中的超級終端()程序(通常在附件程序組中)。對超級終端的配置與交換機(jī)或路由器的配置一樣，參見本教程前面有關(guān)介紹。當(dāng)防火墻進(jìn)入系統(tǒng)后即顯示的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式?？梢赃M(jìn)行進(jìn)一步的配置了。輸入命令：進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：#輸入命令：進(jìn)入全局配置模式，對系統(tǒng)進(jìn)行初始化設(shè)置。()首先配置防火墻的網(wǎng)卡參數(shù)(以只有個(gè)和個(gè)接口的防火墻配置為例)號網(wǎng)卡系統(tǒng)自動(dòng)分配為網(wǎng)卡，選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型()配置防火墻內(nèi)、外部網(wǎng)卡的地址代表內(nèi)部網(wǎng)卡代表外部網(wǎng)卡()指定外部網(wǎng)卡的地址范圍：4).指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址5).配置某些控制選項(xiàng)

8、：其中，代表所有端口；表示可訪問的:指的是要控制的地址；：指的是所作用的端口，:指的是連接協(xié)議，比如：、等；：外部地址；：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼?；貜?fù)樓配置保存：退出當(dāng)前模式此命令為，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡單，只輸入命令本身即可。它與命令一樣。下面三條語句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。查看當(dāng)前用戶模式下的所有可用命令：，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡單功能描述。查看端口狀態(tài)：，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行,執(zhí)行后即顯示出防火墻所有接口配置情況。配配查看靜態(tài)地址映射，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)

9、行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。回復(fù)樓三、防火墻的基本配置同樣是用一條串行電纜從電腦的口連到防火墻的口；開啟所連電腦和防火墻的電源，進(jìn)入系統(tǒng)自帶的超級終端，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：日期、時(shí)間、主機(jī)名稱、內(nèi)部網(wǎng)卡地址、主域等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為:2輸入命令，進(jìn)入特權(quán)用戶模式默然密碼為空。如果要修改此特權(quán)用戶模式密碼，則可用命令，命令格式為：，這個(gè)密碼必須大于6。選項(xiàng)是確定所加密碼是否需要加密。4定義以太端口：先必須用命令進(jìn)入特權(quán)用戶模式，然后輸入（可簡稱為）進(jìn)入全局配置模式模式。具體配置在默然情況下是屬外部網(wǎng)卡是屬內(nèi)部網(wǎng)卡

10、在初始化配置成功的情況下已經(jīng)被激活生效了，但是必須命令配置激活。配置時(shí)鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。時(shí)鐘設(shè)置命令格式有兩種，主要是日期格式不同，分別為：和前一種格式為：小時(shí)：分鐘：秒月日年；而后一種格式為：小時(shí)：分鐘:秒日月年，主要在日、月份的前后順序不同。在時(shí)間上如果為0，可以為一位，如：21:。0:0回復(fù)所用配置命令為：.配置訪問列表,合格格式比較復(fù)雜，如下:標(biāo)準(zhǔn)規(guī)則的創(chuàng)建命令：擴(kuò)展規(guī)則的創(chuàng)建命令：它是防火墻的主要配置部分，上述格式中帶部分是可選項(xiàng)，參數(shù)是規(guī)則號，標(biāo)準(zhǔn)規(guī)則號（

11、）是之間的整數(shù)，而擴(kuò)展規(guī)則號（）是之間的整數(shù)。它主要是通過訪問權(quán)限和來指定的，網(wǎng)絡(luò)協(xié)議一般有等等。如只允許訪問通過防火墻對主機(jī)進(jìn)行訪問，則可按以下配置：其中的表示訪問規(guī)則號，根據(jù)當(dāng)前已配置的規(guī)則條數(shù)來確定，不能與原來規(guī)則的重復(fù)，也必須是正整數(shù)。關(guān)于這個(gè)命令還將在下面的高級配置命令中詳細(xì)介紹。地址轉(zhuǎn)換（）防火墻的配置與路由器的配置基本一樣，首先也必須定義供轉(zhuǎn)換的內(nèi)部地址組，接著定義內(nèi)部網(wǎng)段。定義供轉(zhuǎn)換的內(nèi)部地址組的命令是，它的格式為：，其中為接口名；參數(shù)代表內(nèi)部地址組號；而為本地網(wǎng)絡(luò)地址；為子網(wǎng)掩碼；為此接口上所允許的最大連接數(shù)，默認(rèn)為0表示不限制連接；為允許從此端口發(fā)出的連接數(shù)，默認(rèn)也為0即不

12、限制。如：表示把所有網(wǎng)絡(luò)地址為義為號地址組。，地子6網(wǎng)地掩0碼為的地主2機(jī)，地，址地定0隨后再定義內(nèi)部地址轉(zhuǎn)換后可用的外部地址池，它所用的命令為基本命令格式為：，各參數(shù)解釋同上。如：的1外7部5將上述命令所定的內(nèi)部地址組轉(zhuǎn)換成地址池中的外部地址，其子網(wǎng)掩耳盜鈴碼為這是靜態(tài)端口重定向命令。在版本以上，增加了端口重定向的功能，允許外部用戶通過一個(gè)特殊的地址端口通過防火墻傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。其中重定向后的地址可以是單一外部地址、共享的外部地址轉(zhuǎn)換端口（），或者是共享的外部端口。這種功能也就是可以發(fā)布內(nèi)部、等服務(wù)器，這種方式并不是直接與內(nèi)部服務(wù)器連接，而是通過端口重定向連接的，所以可使內(nèi)部服務(wù)

13、器很安全。命令格式有兩種，分別適用于通信和非通信：此命令中的以上各參數(shù)解釋如下：:內(nèi)部接口名稱;:外部接口名稱;:重定向后的外部地:本地子網(wǎng)掩碼；:選擇通信協(xié)議類型；址或共享端口；：本地地址;:允許:不對數(shù)據(jù)包:允許的最大連接數(shù)，默認(rèn)為0即不限制;從此端口發(fā)起的連接數(shù)，默認(rèn)也為0即不限制；排序，此參數(shù)通常不用選?；貜?fù)請求時(shí)，重定向到請求時(shí)，重定向到請求時(shí)，重定向到外部用戶向外部用戶向外部用戶向的主機(jī)發(fā)出8.的1主2機(jī)4發(fā).出98.的1端2口4發(fā).出2外部用戶向防火墻的外部地址發(fā)1出2請求時(shí)，重定向8到21401.1。.1.5發(fā)出請求時(shí)，重定向的端口發(fā)出請外部用戶向防火墻的外部地址到10.1。.

14、1.5外部用戶向防火墻的外部地址求時(shí)，重定向到10.1的.81號0.端7口。以上重寫向過程要求如圖所示，防火墻的內(nèi)部端口地址為外部端口地址為。以上各項(xiàng)重定向要求對應(yīng)的配置語句如下：顯示與保存結(jié)果顯示結(jié)果所用命令為：；保存結(jié)果所用命令為：y回復(fù)樓四、包過濾型防火墻的訪問控制表（）配置除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對訪問控制列表（）進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。:用于創(chuàng)建訪問規(guī)則這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號的規(guī)則可以看作一類規(guī)則，同一個(gè)序號之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過命令看到。在這個(gè)命令中

15、，又有幾種命令格式，分別執(zhí)行不同的命令。1）創(chuàng)建標(biāo)準(zhǔn)訪問列表命令格式：accesslistdenysourceaddrnormal|source-maskspeciallistnumber1permit（2）創(chuàng)建擴(kuò)展訪問列表命令格式：accesslistnormal|speciallistnumber2permitdenyprotocolsourceaddrsource-maskoperatorport1port2dest-addrdest-maskoperatorport1port2|icmp-typecodelo（3）刪除訪問列表命令格式：noaccess-listnormal|speci

16、alall|listnumbesubitem2006-12-1313:33回復(fù)11樓上述命令參數(shù)說明如下：normal:指定規(guī)則加入普通時(shí)間段。special：指定規(guī)則加入特殊時(shí)間段。listnumber1：是1至I之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問列表規(guī)則。iabao8241listnumber2：是1至11之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問列表規(guī)則。permit：表明允許滿足條件的報(bào)文通過。deny:表明禁止?jié)M足條件的報(bào)文通過。protocol:為協(xié)議類型，支持、等，其它的協(xié)議也支持，sourceaddr為源sourcemas：為源不輸入則代表通配位為0.destaddr為目的此時(shí)沒有端口

17、比較的概念；為時(shí)有特殊含義，代表所有的協(xié)議。地址。地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪問列表中是可選項(xiàng),.。0.0地址。destmas：為目的地址的子網(wǎng)掩碼。operator：端口操作符，在協(xié)議類型為或時(shí)支持端口比較，支持的比較操作有：等于（e）、大于（認(rèn)小于（lt）、不等于（ne）或介于（rane；如果操作符為rane則后面需要跟兩個(gè)端口。port1在協(xié)議類型為或時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或之間的一個(gè)數(shù)值。port2在協(xié)議類型為或且操作類型為rane時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或之間的一個(gè)數(shù)值。icmptpe在協(xié)議為時(shí)出現(xiàn)，代表報(bào)文類型；可以是關(guān)鍵字所設(shè)

18、定的預(yù)設(shè)值（如ecorepl或者是之間的一個(gè)數(shù)值。icmpco：e在協(xié)議為，且沒有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表碼，是之間的一個(gè)數(shù)值。log:表示如果報(bào)文符合條件，需要做日志。listnumber:為刪除的規(guī)則序號，是之間的一個(gè)數(shù)值。subitem:指定刪除序號為listnumber的訪問列表中規(guī)則的序號?；貜?fù)樓2例如，現(xiàn)要在華為的一款防火墻上配置一個(gè)允許源地址為網(wǎng)絡(luò)、iabao目的地址為網(wǎng)絡(luò)的配置語句只需兩行即可，如下:uiconig訪問，但不允許使用ccesslistuiconfigccess-list的訪問規(guī)則。相應(yīng)permittcpenytcpcleartpccesslistcoU清除

19、訪問列表規(guī)則的統(tǒng)計(jì)信息命令格式：cleraccess-listcounterslistnumber這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。如要在華為的一款包過濾路由器上清除當(dāng)前所使用的規(guī)則號為1、的、訪問規(guī)則統(tǒng)計(jì)信息。訪問配置語句為:clearaccess-listcounters1、如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語句需改為：uiy#clearaccess-listcounters3網(wǎng)ipaccess-group使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置，

20、對應(yīng)格式為:ipaccess-grouplistnumberin|out此命令須在端口用戶模式下配置，進(jìn)入端口用戶模式的命令為：interceetherne（t），括號中為相應(yīng)的端口號，通常、為外部接口，而1為內(nèi)部接口。進(jìn)入后再用ipccessgro命令來配置訪問規(guī)則。listnumber參數(shù)為訪問規(guī)則號，是之間的一個(gè)數(shù)值（包括標(biāo)準(zhǔn)訪問規(guī)則和擴(kuò)展訪問規(guī)則兩類）;in表示規(guī)則應(yīng)用于過濾從接口接收到的報(bào)文；而表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)出去的報(bào)文。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進(jìn)行排列，序號大的排在前面，也就是優(yōu)先級高。對報(bào)文進(jìn)行過濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號的訪問列表中；在同一個(gè)序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用命