思科防火墙基本配置思路及命令

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了思科防火墙基本配置思路及命令相关的知识,希望对你有一定的参考价值。

修改防火墙名称

config# hostname xxxx

配置特权密码

config# enable password xxxx

远程登陆密码

config# password xxxx

配置接口名称

config-if # nameif xxxx

配置接口安全级别

config-if # security-level xxxx(0-100)

访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是
《标准访问控制列表》
,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。

它的具体格式:
access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]
access-list-number 为1-99 或者 1300-1999之间的数字,这个是访问列表号。

例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255
通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。

标准访问列表配置实例:
R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 10 permit any
R1(config)#int fa0/0.1
R1(config-subif)#ip access-group 10 out
上面配置的含义是阻止来自网段192.168.2.0的机器从int fa0/0.1端口出去,访问列表在配置好之后,要把它在端口上应用,否则配置了还是无效的。

    注意事项:
1、标准访问列表,一般来说配置尽量靠近目的端。
2、配置的第二条命令中的any相当于 0.0.0.0 255.255.255.255
3、一定要加pemint any,使其他的网络可通。
4、访问列表是从上到下一条一条进行匹配的,所以在设置访问列表的时候要注意顺序。如果从第一条匹配到最后一条还是不知道要怎么做,路由器就会丢弃这个数据包,也就是为什么上面的例子中上一定要加permit any。
5、如果只阻止一个主机,那可以用 host 192.168.1.12 或者 192.168.1.12 0.0.0.0,这两种配置是等价的。

删除已建立的标准ACL
R1(config)#no access-list +access-list number
对标准的ACL来说,不能删除单个acl语句,只能删除整个ACL

《扩展访问控制列表》
上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。

扩展访问控制列表的格式:
access-list access-list number {permit/deny} protocol +源地址+反码 +目标地址+反码+operator operan(It小于,gt大于,eq等于,neq不等于.具体可?)+端口号
1、扩展访问控制列表号的范围是100-199或者2000-2699。
2、因为默认情况下,每个访问控制列表的末尾隐含deny all,所以在每个扩展访问控制列表里面必须有:access-list 110 permit ip any any 。
3、不同的服务要使用不同的协议,比如TFTP使用的是UDP协议。
4、更多注意事项可以参考上面标准访问控制列表部分

例如:access-list 101 deny tcp any host 192.168.1.1 eq www //将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。

小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。

扩展访问控制列表配置实例:
R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq www
R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq ftp
R2(config)#int fa0/0
R2(config-if)#ip access-group 110 out
上面配置的含义是拒绝访问192.168.1.12的www和ftp服务
实例二:
路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
要求:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。
路由器配置命令:
access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www //设置ACL101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。由于CISCO默认添加DENY ANY的命令,所以ACL只写此一句即可。
进入相应端口
ip access-group 101 out //将ACL101应用到端口

设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了。

删除已建立的扩展标准ACL
删除和标准一样,不能单条删除,只能删除整个acl

《命名访问控制列表》
不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点影响了我们的工作,为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。

命名访问控制列表格式:
ip access-list {standard/extended} access-list-name(可有字母,数字组合的字符串)

例如:ip access-list standard softer //建立一个名为softer的标准访问控制列表。

命名访问控制列表使用方法:
router(config)#ip access-list standard +自定义名
router(config-std-nac1)#11 permit host +ip //默认情况下第一条为10,第二条为20.如果不指定序列号,则新添加的ACL被添加到列表的末尾
router(config-std-nac1)#deny any
对于命名ACL来说,可以向之前的acl中插入acl,删除也可以删除单条acl,
如:router(config)#ip access-list standard benet
router(config-std-nasl)#no 11

使用show access-lists可查看配置的acl信息

《反向访问控制列表》
反向访问控制列表属于ACL的一种高级应用。他可以有效的防范病毒。通过配置反向ACL可以保证AB两个网段的计算机互相PING,A可以PING通B而B不能PING通A。
说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机。反向ACL控制的就是上面提到的连接请求。

反向访问控制列表的格式:
反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可。

反向访问控制列表配置实例:
路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中的计算机都是服务器,我们通过反向ACL设置保护这些服务器免受来自172.16.3.0这个网段的病毒攻击。
要求:禁止病毒从172.16.3.0/24这个网段传播到172.16.4.0/24这个服务器网段。
路由器配置命令:
access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established //定义ACL101,容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机,前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。
进入路由相应端口
ip access-group 101 out //将ACL101应用到端口

设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器区了。因为病毒要想传播都是主动进行TCP连接的,由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接,因此病毒无法顺利传播。

《定时访问控制列表》

设置步骤:
1、定义时间段及时间范围。
2、ACL自身的配置,即将详细的规则添加到ACL中。
3、宣告ACL,将设置好的ACL添加到相应的端口中。

定义时间范围的名称:
router(config)#time-range time-range-name
定义一个时间周期
router(config-time-range)#periodic(周期) days-of-the-week hh:mm to [days-of-the-week] hh:mm
其中days-of-the-week的取值有
Monday Tuesday Wednesday Thursday Friday Saturday Sunday{周一到周日}
daily(每天)weekdays(在平日)weekend(周末)

定义一个绝对时间
router(config)#time-range time-range-name
router(config-time-range)#absolute [start hh:mm day month year] [end hh:mm day month year]
在扩展ACL中引入时间范围
router(config)#access-list access-list-number {permit|deny} protocol {source ip +反码 destination ip +反码 +operator+time-range+time-range-name}

定时访问控制列表实例:
路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供FTP服务,IP地址为172.16.4.13。
要求:只容许172.16.3.0网段的用户在周末访问172.16.4.13上的FTP资源,工作时间不能下载该FTP资源。
路由器配置命令:
time-range softer //定义时间段名称为softer
periodic weekend 00:00 to 23:59 //定义具体时间范围,为每周周末(6,日)的0点到23点59分。当然可以使用periodic weekdays定义工作日或跟星期几定义具体的周几。
access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer //设置ACL,禁止在时间段softer范围内访问172.16.4.13的FTP服务。
access-list 101 permit ip any any //设置ACL,容许其他时间段和其他条件下的正常访问。
进入相应端口。
ip access-group 101 out //应用到端口

基于时间的ACL比较适合于时间段的管理,通过上面的设置172.16.3.0的用户就只能在周末访问服务器提供的FTP资源了,平时无法访问。

NAT

由器为Cisco2501,其ios为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念:

内部本地地址(Inside local address)

:分配给内部网络中的

计算机的内部IP地址。

内部合法地址(Inside global address)

:对外进入IP通信时,

代表一个或多个内部本地地址的合法

IP地址。需要申请才可取得的IP地址。

五、

NAT

的设置方法:

NAT

设置可以分为静态地址转换、动态地址转换、复用动态地址

转换。

1

、静态地址转换适用的环境

静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且

需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP

服务器等可以为外部用户提供的服务,这些服务器的IP地址

必须采用静态地址转换,以便外部用户可以使用这些服务。

静态地址转换基本配置步骤:

(1)、在内部本地地址与内部合法地址之间建立静态地址转换。

在全局设置状态下输入:

Ip nat inside source static

内部本地地址内部合法地址

(2)、指定连接网络的内部端口

在端口设置状态下输入:

ip nat inside
(3)、指定连接外部网络的外部端口

在端口设置状态下输入:
ip nat outside

注:可以根据实际需要定义多个内部端口及多个外部端口。

实例1:

本实例实现静态

NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为

192.1.1.2,192.1.1.3,192.1.1.4。路由器2501的配置:Current configuration:version 11.3

no service password-encryption

hostname 2501

ip nat inside source static 10.1.1.2 192.1.1.2

ip nat inside source static 10.1.1.3 192.1.1.3

ip nat inside source static 10.1.1.4 192.1.1.4

interface Ethernet0

ip address 10.1.1.1 255.255.255.0

ip nat inside

interface Serial0

ip address 192.1.1.1 255.255.255.0

ip nat outside

no ip mroute-cache

bandwidth 2000

no fair-queue

clockrate 2000000

interface Serial1

no ip address

shutdown

no ip classless

ip route 0.0.0.0 0.0.0.0 Serial0

line con 0

line aux 0

line vty 0 4

password cisco

end

配置完成后可以用以下语句进行查看:

show ip nat statistcs

show ip nat translations

line vty 0 4 password cisco end

3、复用动态地址转换适用的环境:

复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。

注意:当多个用户同时使用一个IP地址,外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机。

复用动态地址转换配置步骤:
在全局设置模式下,定义内部合地址池

ip nat pool
地址池名字起始IP地址终止IP地址子网掩码其中地址池名字可以任意设定。

在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。access-list 标号 permit 源地址通配符

其中标号为1-99之间的整数。在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。ip nat inside source list 访问列表标号pool 内部合法地址池名字 overload 在端口设置状态下,指定与内部网络相连的内部端口

ip nat inside

在端口设置状态下,指定与外部网络相连的外部端口

ip nat outside

实例:应用了复用动态

NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。10.1.1.0网段采用复用动态地址转换。假设企业只申请了一个合法的IP地址192.1.1.1。2501的配置Current configuration:
version 11.3 193.
no service password-encryption

hostname 2501

ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0

ip nat inside source list 1 pool bbb overload

interface Ethernet0

ip address 10.1.1.1 255.255.255.0

ip nat inside

interface Serial0

ip address 192.1.1.1 255.255.255.0

ip nat outside

no ip mroute-cache

bandwidth 2000

no fair-queue

clockrate 2000000

interface Serial1

no ip address

shutdown

no ip classless

ip route 0.0.0.0 0.0.0.0 Serial0

access-list 1 permit 10.1.1.0 0.0.0.255

line con 0

line aux 0

line vty 0 4

password cisco

end

以上是关于思科防火墙基本配置思路及命令的主要内容,如果未能解决你的问题,请参考以下文章

思科路由器删除单条路由表和删除全部路由表的命令分别是啥?

求cisco 思科ASA5505 中文使用说明书

求cisco 思科ASA5505 中文使用说明书

IT技术分享思科防火墙ASA8.4以上IOS如何配置端口映射及PAT

思科ASA5520防火墙如何配置能正常上网?

思科三层交换机配置实例及命令