防火墻基礎(chǔ)知識

1、防火墻基礎(chǔ)知識一、防火墻與路由器的異同：1、防火墻的登陸管理方式及基本配置是一樣，有的防火墻多一個DMZ端口。2、路由器只能簡單的路由策略，防火墻具備強(qiáng)大的訪問控制：分組對象。3、路由器是默認(rèn)的端口是開放的，防火墻的端口默認(rèn)的常見端口外都是關(guān)閉的。二、防火墻的登陸方式:1、console口，路由器的登陸方式一樣2、telnet登陸，需要設(shè)置3、SSH登陸，同telnet登陸一樣三、防火墻的用戶模式：1、用戶模式：PIX5252、特權(quán)模式PIX525#3、全局配置模式PIX525(config)#4、局部配置模式PIX525(config-if)#四、防火墻基本配置1、接口配置防火墻PIX525

2、默認(rèn)的的有3個端口，外網(wǎng)口、內(nèi)網(wǎng)口、DMZ端口，主要配置ip地址、工作模式、速度、接口名字、安全級別interfaceEthernet0nameifoutsidesecurity-level0ipaddressduplexfull2、訪問控制列表access-listacl_outextendedpermiticmpanyanyaccess-listacl_outextendedpermittcpanyhostobject-groupDMZaccess-listallownetextendedpermitiphostobject-groupmsn3、設(shè)置網(wǎng)關(guān)地址routeoutside外網(wǎng)口網(wǎng)

3、關(guān)routeinside內(nèi)網(wǎng)口網(wǎng)關(guān)路由的網(wǎng)關(guān)設(shè)置Iproute4、端口重定向PIX525(config)#object-groupservicewordTCPPIX525(config-if)port-objecteq8866先在服務(wù)的對象分組中開放一個端口，在全局模式下static(inside,outside)tcpnetmask5、地址轉(zhuǎn)換：global(outside)1interface使用interfaceoutside的地址做NAT的global地址nat(inside)0access-listnat0五、對象分組:對象分組提供了一種將一些相似類型的對象進(jìn)行分組的方法，這樣可以將

4、一個單一的ACL應(yīng)用到組中的所有對象上?？梢詣?chuàng)建以下幾種類型的對象分組：網(wǎng)絡(luò)-客戶端主機(jī)、服務(wù)器主機(jī)或子網(wǎng)。協(xié)議多種協(xié)議?？梢酝ㄟ^相應(yīng)的關(guān)鍵字例如：icmp、ip、tcp或者udp來指定相關(guān)的協(xié)議，還可以在1到254的整數(shù)范圍內(nèi)選擇相應(yīng)的IP協(xié)議號來指定相關(guān)的協(xié)議。如果使用關(guān)鍵字ip則表示匹配任何的Internet協(xié)議，包括ICMPTCP和UDP服務(wù)一一被分配到不同服務(wù)上的TCP或UDP端口號ICMP類型一一允許或拒絕訪問的ICMP消息類型。ThisisFirewallofzp*?Forbidaccessuithoutauthorization?!*If/ouhaveanyprohlern!P

5、leasecontactwithnetworkFlandorerUserAccessUerifictionPassword：TVPehelporJ?*foralistofavailableconnands.PIX515EenPassword：PIXSISEItconFtPIX515EconfPIX515EttohPIK515E41object-gvoiip?confiuremodecommands/options:icnp-typenetworkpro七quoJ.seruiceSpecifiesSpecifiecSpecifiesSpecifiesagroupofaofag-poupofagr

6、oupofICMPtvpes,cuehasechohostorsubnetIFaddressesprotocoIssuchasTCP,etcTCP/UDPports/servicesnoobject-groupobject-typegrp-idnetwork對象類型:(config)#object-groupnetworknetserver設(shè)定分組名稱(config-network)#descriptionPublicwebservers分組描述(config-network)#network-object！添加分組對象protocol對象類型：進(jìn)入對象配置接口：object-grouppro

7、tocolgrp-id(config-protocol)#protocol-objecttcp!添加分組成員service對象類型：進(jìn)入對象配置接口：object-groupserviceobj_grp_idtcp|udp|tcp-udp(config)#object-groupservicemis_servicetcp(config-service)#port-objecteqftp將一個單獨的端口號加入(config-service)#port-objectrange50006000!rangebeginend將一組端口加入icmp-type對象類型：進(jìn)入對象配置接口：object-gro

8、upicmp-typeicmp_test(config-icmp-type)#icmp-object0常見的應(yīng)用：1、控制外網(wǎng)：PIX525(config)#object-groupnetworknetserverPIX525(config-network)#network-object或PIX525(config-network)#network-objecthostaccess-listallownetextendedpermitipobject-groupnetserveranynat(inside)global(outside)1interface2、開MSN：object-group

9、networkmsnnetwork-objectnetwork-objectnetwork-objectnetwork-objectnetwork-objectnetwork-objectnetwork-objectnetwork-objectnetwork-objectnetwork-objectnetwork-objectnetwork-objectaccess-listallownetextendedpermitiphostobject-groupmsnnat(inside)global(outside)1interface3、給OA服務(wù)器做映射見端口重定向六、其他的管理設(shè)置PIX525

10、（config）#hostnamePIX525，只有網(wǎng)管電腦可以登陸防火墻enablepassword123456（密碼）；encrypted設(shè)置特權(quán)的登陸密碼，密文顯示，usernametestpasswordsssssslevel1encrypted，添口一個連接到防火墻的普通用戶，level15的級別就是特權(quán)級別，使用vpn時注意添加登陸用戶的權(quán)限七、防火墻的備份與恢復(fù)FIX515EenPassword:wxjfx試mPIK515EttcapvrunPIX515EttcopvmnninsfconfigtftpSourcefilenamepunning-conFigJ?AddressornameofremotehostII?192.1S8_3_100inationfilenane(i*unning-confisil?Cryptochecksurn:23bcc52e325acbb8849d070ebbh376eb117S45bytesc