很多年来,Cisco PIX一直都是Cisco确定的防火墙。但是在2005年5月,Cisco推出了一个新的产品——适应性安全产品(ASA,Adaptive Security Appliance)。不过,PIX还依旧可用。我已听到很多人在多次询问这两个产品线之间的差异到底是什么。让我们来看一看。

Cisco PIX是什么?
Cisco PIX是一种专用的硬件防火墙。所有版本的Cisco PIX都有500系列的产品号码。最常见的家用和小型网络用产品是PIX 501;而许多中型企业则使用PIX 515作为企业防火墙。

PIX防火墙使用PIX操作系统。虽然PIX操作系统和Cisco IOS看起来非常的接近,但是对那些非常熟悉IOS的用户来说,还是有足够的差异性弄得他们头昏脑胀。

PIX系列的防火墙使用PDM(PIX设备管理器,PIX Device Manager)作为图形接口。该图形界面系统是一个通过网页浏览器下载的Java程序。

一般情况下,一台PIX防火墙有个外向接口,用来连到一台Internet路由器中,这台路由器再连到Internet上。同时,PIX也有一个内向接口,用来连到一台局域网交换机上,该交换机连入内部网络。

Cisco ASA是什么?
而ASA是Cisco系列中全新的防火墙和反恶意软件安全用具。(不要把这个产品和用于静态数据包过滤的PIX搞混了)

ASA系列产品都是5500系列。企业版包括4种:Firewall,IPS,Anti-X,以及×××。而对小型和中型公司来说,还有商业版本。

总体来说,Cisco一共有5种型号。所有型号均使用ASA 7.2.2版本的软件,接口也非常近似Cisco PIX。Cisco PIX和ASA在性能方面有很大的差异,但是,即使是ASA最低的型号,其所提供的性能也比基础的PIX高得多。

PIX类似,ASA也提供诸如入侵防护系统(IPS,intrusion prevention system),以及×××集中器。实际上,ASA可以取代三种独立设备——Cisco PIX防火墙,Cisco ××× 3000系列集中器,以及Cisco IPS 4000系列传感器。

现在,我们已经看过了两种安全工具各自的基本情况,下面我们来看看他们互相比较的结果。

PIX对ASA
虽然PIX是一款非常优秀的防火墙,但是安全方面的情况却在日新月异。仅仅使用一台静态数据包过滤防火墙来对你的网络进行保护已远远不够了。对网络而言,新的威胁层出不穷——包括病毒,蠕虫,多余软件(比如P2P软件,游戏,即时通讯软件),网络欺诈,以及应用程序层面的攻击等等。

如果一台设备可以应付多种威胁,我们就称其提供了“anti-X”能力,或者说它提供了“多重威胁(multi-threat)”防护。但PIX恰恰无法提供这种层次的防护。

绝大多数公司不希望采用安装一台PIX进行静态防火墙过滤,同时再使用一些其他的工具来防护其他威胁的办法。他们更希望采用一台“集所有功能于一身”的设备——或是采用一台UTM(统一威胁管理)设备。

而ASA恰好针对这些不同类型的攻击提供了防护。它甚至比一台UTM设备更厉害——不过,要成为一台真正的UTM,它还需要装一个CSC-SSM模块(CSC-SSM,内容安全以及控制安全服务,Content Security and Control Security Service)才行。该模块在ASA中提供anti-X功能。如果没有CSC-SSM,那ASA的功能看起来会更像一台PIX

那么,到底哪一个才适合你的企业呢?正如我们通常所说的,这要看你企业的需求而定。不过,我还是倾向于优先选择ASA,而后才是PIX。首先,一台ASA的价格要比同样功能的PIX要低。除去成本的原因不谈,至少从逻辑上来说,选择ASA就意味着选择了更新更好的技术。

对于那些已经在使用Cisco PIX的人来说,Cisco已经提供了一个迁移指南,以解决如何从Cisco PIX迁移到ASA上的问题。就我观点而言,我觉得这起码预示了一点,就是Cisco终止PIX的日子正离我们越来越近。虽然Cisco公司尚未明确宣布这一点,但是我认为这只是一个时间问题罢了。

要记住,面对Internet上五花八门的不同威胁,我们无法再简单地像以往那样有了一套防火墙就万事大吉了;对完整的防护措施而言,一个多重防护的方法必不可少。虽然ASA的确是很好的一个选择,但是这也并不意味着它是你的唯一选项。许多生产商都提供了很好的产品,在你最终选择ASA之前,建议你不妨对它们多了解了解。

 
Description
  This document describes how to recover a PIX password for PIX software releases through 5.1.
  The PIX Password Lockout Utility is based on the PIX software release you are running.
  In addition to the required files listed in the next section, you will need the following items to follow the password recovery procedure:

A PC
A working serial terminal or terminal emulator
Approximately 10 minutes of PIX and network downtime
Required Files
  Note: If you are a registered user and have logged in, you can download the files here. If you are not a registered user, please open a case with the Technical Assistance Center (TAC) to obtain the files.

  The PIX Password Lockout Utility, which includes the following files:

rawrite.exe>
One of the following files:

nppix.bin (4.3 and earlier releases)
np44.bin (4.4 release)
np50.bin (5.0 release)
np51.bin (5.1 release)
Step-by-Step Procedure

 PIX with a Floppy Drive
1.      Execute the rawrite.exe file on your PC and answer the questions on the screen.
2.      Install a serial terminal or a PC with terminal emulation software on the PIX console port.
3.      Verify that you have a connection with the PIX, and that characters are going from the terminal to the PIX, and from the PIX to the terminal.
Note: Because you are locked out, you will see only a password prompt.
4.      Insert the PIX Password Lockout Utility disk into the floppy drive of the PIX.
5.      Push the Reset button on the front of the PIX. The PIX will reboot from the floppy and print the message below:
Erasing Flash Password. Please eject diskette and reboot.
6.      Eject the disk and press the Reset button. You will now be able to log in without a password. When you are prompted for a password, press Return.
7.      Create a password with the passwd command, and save your configuration.
 PIX without a Floppy Drive
1.      Install a serial terminal or a PC with terminal emulation software on the PIX console port.
2.      Verify that you have a connection with the PIX, and that characters are going from the terminal to the PIX, and from the PIX to the terminal.
Note: Because you are locked out, you will see only a password prompt.
3.      Immediately after you power on the PIX Firewall and the startup messages appear, send a BREAK character or press the Esc (Escape) key. The monitor> prompt is displayed. If needed, enter a question mark (?) to list the available commands.
4.      Use the interface command to specify which interface the ping traffic should use. If the PIX 515 has only two interfaces, the monitor command defaults to the inside interface.
5.      Use the address command to specify the IP address of the PIX Firewall's interface.
6.      Use the server command to specify the IP address of the remote server.
7.      Use the file command to specify the filename of the PIX password recovery file. For example, np51.bin.
8.      If needed, enter the gateway command to specify the IP address of a router gateway through which the server is accessible.
9.      If needed, use the ping command to verify accessibility. If this command fails, fix access to the server before continuing.
10.  Use the tftp command to start the download.
11.  As the password recovery file loads, the following message is displayed:
 Do you wish to erase the passwords? [yn] y
 Passwords have been erased.

Create a password with the passwd command, and save your configuration.
 
一、基本环境
 
当前公司有PIX 515E防火墙一台(三个接口),服务器若干。要求将服务器迁移至DMZ区域并确保服务器正常工作,简略拓扑结构图如下所示:
PIX ASA 资料_PIX
 
二、配置DMZ基本命令
 
1.         分别定义outsideinsidedmz的安全级别
nameif ethernet0 outside security0               #定义E0口为非信任端口,security0代表此端口安全级别最低
nameif ethernet1 inside security100             #定义E1口为信任端口,security100代表此端口安全级别最高
nameif ethernet2 dmz security50                 #定义E2口为DMZ端口,security50代表此端口安全级别介于信任与非信任端口之间
这里的数字050100可自行调整,但需要注意数字之间的大小关系不能混淆。
 
 
2.         设置dmz接口IP
ip address dmz 10.0.200.1 255.255.255.0         #设置DMZ接口IP地址,设置好后可以按拓扑结构图测试从PIXping 10.0.200.2检查连通性。
 
3.         允许dmz区域的主机通过icmp数据包以及访问外网的80端口
access-list acl_dmz permit icmp any any             #允许DMZ主机访问外部网络icmp协议
 
4.         acl_dmz规则邦定到dmz端口上使之生效
access-group acl_dmz in interface dmz               #应用策略到DMZ接口
 
5.         设置静态的因特网、局域网、dmz区的访问关系
static (dmz,outside) 218.104.XX.XX 10.0.200.2 netmask 255.255.255.255 0 0          #发布DMZ服务器到因特网
 
6.         允许outside区域访问dmz区域特定的某个端口
access-list 100 permit tcp any host 218.104.XX.XX eq www                    #设置策略允许因特网访问DMZ服务器80端口
 
 
三、基本测试方法及故障排除
 
1、  利用 ping/tracert命令测试
10.0.200.2服务器上,ping 10.0.200.1 正常,ping 10.0.6.8 不通;
10.0.6.8测试机上,ping 10.0.200.1 不通,ping 10.0.200.2不通,ping 10.0.1.254 正常;
 
问题:局域网与DMZ区不能正常通讯。
 
故障分析与排除:默认情况下,PIX防火墙的局域网接口可以访问DMZ接口,但DMZ接口不能访问局域网接口,在PIX上用命令show route可以看到有一条隐藏的到DMZ区域的静态路由存在,也就是说配置好DMZ后局域网就应该可以访问DMZ区域服务器(但DMZ接口是不允许ping的)。
但是为什么当前配置好DMZ后局域网测试机器不能正常访问DMZ区域的服务器呢?这里需要注意一点,在局域网访问DMZIP地址时,用命令tracert 10.0.200.2时发现局域网访问10.0.200.2的数据包从因特网口出去了!根本就没有发往DMZ接口。所以重新加一条命令:
access-list nonat permit ip 10.0.6.0 255.255.255.0 10.0.200.0 255.255.255.0
nat (inside) 0 access-list nonat
再用 ping/tracert命令测试结果如下:
10.0.200.2服务器上,ping 10.0.200.1 正常,ping 10.0.6.8 不通;
10.0.6.8测试机上,ping 10.0.200.1 不通,ping 10.0.200.2正常ping 10.0.1.254 正常;
 
2、  因特网访问DMZ
用笔记本拨号上网,访问[url]http://218.104.XX.XX[/url] 显示正常,说明DMZ服务器发布成功。
 
3、  DMZ访问局域网
10.0.200.2服务器上,利用远程桌面方式访问10.0.6.8(端口号被手工修改为9989,非标准端口3389), 访问超时。
 
问题:DMZ不能访问局域网
 
故障分析与排除:默认情况下DMZ区域是不能访问局域网网络的。但有些特殊情况:比如将WEB放在DMZ区,但是后台数据库放在了局域网。这样就必须使DMZ某些服务器可以访问局域网内特殊机器特殊端口。所以需要在PIX上更加策略以使DMZ可以访问局域网。
所以应该在策略上加一条命令:
access-list acl-DMZ permit tcp 10.0.200.0 255.255.255.0 host 10.0.6.8 eq 9989            #允许DMZ可以访问10.0.6.89989端口,经测试可以正常访问。
 
 
4、  DMZ不能访问因特网
10.0.200.2的机器上,访问 [url]www.baidu.com[/url] 不能正常显示页面。
 
问题:DMZ不能正常访问因特网
 
故障分析与排除:DMZ原则上是不能访问因特网的,但是因为某些特殊情况比如邮件服务器放在DMZ时,则必须允许该服务器访问因特网的SMTP协议(25端口),所以还必须在DMZ接口上应用的策略上加一条命令:
access-list acl_dmz permit tcp 10.0.200.0 255.255.255.0 any eq 80          #允许DMZ访问外部网络tcp 80端口
access-list acl_dmz permit tcp 10.0.200.0 255.255.255.0 any eq 53          #允许DMZ访问外部网络tcp 53端口
access-list acl_dmz permit udp 10.0.200.0 255.255.255.0 any eq 53         #允许DMZ访问外部网络udp 53端口
加完这条命令后,测试访问 [url]www.baidu.com[/url] 仍然不能正常显示页面,问题依旧。
继续查找问题可能存在的问题,用命令ping 外网DNS发现可以正常ping通,再ping百度的IP地址发现也可以ping通,telnet 百度地址的80端口也正常,但就是打不开百度的页面,用其他网站测试结果相同。
 
这个问题研究了很久,没有得到很好的解决办法,后来跟我的经理一起讨论研究这个问题,他让我试一下网通的DNS看行不行。我把DMZ服务器的DNS修改成网通DNS后,发现可以正常访问百度首页,其他网站也正常打开。这个问题是经验问题,因为我们公司是网通链路,而我在DMZ服务器上设置的是电信的DNS(因为这个DNS我记得非常熟,所以基本上做测试都用它),而没有想到电信和网通在DNS服务器解析上有严格的保护措施,导致最终问题解决被推迟了很长时间。
 
 
以上是我这次在PIX 515E上做DMZ配置的一些心得和体会,测试过程不是很复杂,但是相对一些初次接触DMZ的新手来说值得一看,DMZ的原理都一样,只是每种设备的配置不相同而已。
 
在这里要感谢一位朋友:夕阳.流水, 在配置和排错过程中得到了她的大力帮助和支持,衷心的感谢她!HOHO~~
 
本文出自 “天涯的小窝” 博客,请务必保留此出处[url]http://cdmatong.blog.51cto.com/13419/38937[/url]
 
 
 
某油田公司的办公网络以前是和中国石油总公司的全国网络连在一起的,用的是保留IP(10.*.*.*),对INTERNET的访问则是走的石油总公司的统一出口。随着业务的开展和网络技术的发展,公司决定在本地申请一条DDN线路,这样公司的INTERNET访问不再通过总公司,而是直接从本地电信局接入。由于油田数据的敏感性,所以有必要做一套防火墙系统。经过研究,决定上一套Cisco的PIX520防火墙系统。另外,公司有一台旧的Cisco 2501路由器,我们决定用它作为公司接入电信局的路由器。
  公司申请了2M 专线后,电信局赠送了16个公共IP地址:200.100.50.32/28,即200.100.50.32~200.100.50.47;由于200.100.50.32是网络地址,200.100.50.47是广播地址,故实际可用地址只有14个(安全起见,这里IP的网络标识部分用虚假数字)。这显然不能满足公司办公需要,所以需要做NAT(Network Address Translation:网络地址翻译)。
    考虑到这台Cisco 2501的IOS版本为11.2,不支持NAT,而flash ram(内存)只有8M,要升级IOS必须升级内存,麻烦多多。所以不如将NAT做在PIX 520上。
  工作内容主要是两个方面:
  (1) 部署防火墙;
  (2) 配置NAT。
  配置过程:
    以下为实际安装中部分配置过程,其中IP地址做过修改。
   1、 连接PIX 520,加电;
   2、 将计算机的串口于PIX 520的控制口相连,运行超级终端:
  pixfirewall>
   3、 先后输入enable命令和configure terminal命令,依次进入特权模式和全局配置模式:
  pixfirewall(config)#
   4、 指定内外网卡及安全级别:
  pixfirewall(config)# nameif ethernet0 outside security0
  pixfirewall(config)# nameif ethernet1 inside security100
  释:ethernet0为外网卡,安全级别最低;ethernet1为内网卡,安全级别最高。
   5、 配置外网卡:
  pixfirewall(config)# interface ethernet0 auto
  pixfirewall(config)# ip address outside 200.100.50.34 255.255.255.240
  释:外网卡地址是200.100.50.34,掩码是255.255.255.240;网卡为自适应。
   6、 配置内网卡:
  pixfirewall(config)# interface ethernet1 auto
  pixfirewall(config)# ip address inside 10.70.130.254 255.255.255.0
  释:内网卡地址是10.70.130.254,掩码是255.255.255.0;网卡为自适应。
   7、 配置全局地址池:
  pixfirewall(config)# global (outside) 1 200.100.50.35-200.100.50.46
  释:这12个地址用以内网做NAT。
   、 配置使用上述全局地址池的内网地址范围:
  pixfirewall(config)# nat (inside) 1 10.70.130.0 255.255.255.0 0 0
  释:内网10.70.130.0/24网段可以使用上述全局地址池出去(连接INTERNET)。
   9、 设置指向内部网和外部网的缺省路由
  pixfirewall(config)# route outside 0.0.0.0 0.0.0.0 200.100.50.33 1
  pixfirewall(config)# route inside 10.70.130.0 255.255.255.0 10.70.130.253 1
  释:缺省路由指向Cisco 2501,其IP地址为:200.100.50.33。10.70.130.253是内网网关(本例中为公司内部第三层交换机的路由模块的IP)。
   10、 设置telnet选项:
  pixfirewall(config)# telnet 10.70.130.0 255.255.255.0
  释:只允许内部网络10.70.130.0/24远程登陆到防火墙。
  以上是对PIX 520的初步配置,当然还可以进行更复杂的设置,这里不再累述。
  附录:
  下面是这台PIX 520的配置内容,供参考。
  : Saved
  :
  PIX Version 4.4(5)
  nameif ethernet0 outside security0
  nameif ethernet1 inside security100
  enable password oMCmcbd1jkjYHinD encrypted
  passwd dc.0Bh12lvH98fKM encrypted
  hostname kfc
  fixup protocol ftp 21
  fixup protocol http 80
  fixup protocol h323 1720
  fixup protocol rsh 514
  fixup protocol smtp 25
  fixup protocol sqlnet 1521
  names
  pager lines 24
  logging on
  no logging timestamp
  no logging console
  no logging monitor
  no logging buffered
  no logging trap
  logging facility 20
  logging queue 512
  interface ethernet0 auto
  interface ethernet1 auto
  mtu outside 1500
  mtu inside 1500
  ip address outside 200.100.50.34 255.255.255.240
  ip address inside 10.70.130.254 255.255.255.0
  no failover
  failover timeout 0:00:00
  failover ip address outside 0.0.0.0
  failover ip address inside 0.0.0.0
  arp timeout 14400
  global (outside) 1 200.100.50.35
  global (outside) 1 200.100.50.36-200.100.50.37
  nat (inside) 1 10.70.130.0 255.255.255.0 0 0
  conduit permit icmp any any
  no rip outside passive
  no rip outside default
  no rip inside passive
  no rip inside default
  route outside 0.0.0.0 0.0.0.0 200.100.50.33 1
  route inside 10.70.130.0 255.255.255.0 10.80.130.253 1
  timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
  timeout rpc 0:10:00 h323 0:05:00
  timeout uauth 0:05:00 absolute
  aaa-server TACACS+ protocol tacacs+
  aaa-server RADIUS protocol radius
  no snmp-server location
  no snmp-server contact
  snmp-server community public
  no snmp-server enable traps
  telnet 10.70.130.0 255.255.255.0
  telnet timeout 5
  terminal width 80
  Cryptochecksum:5277c997c2054fde9044a7a29f240265
 
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。
DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。
在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。
 
本篇文章为大家呈现某学校的PIX525配置实例,并为关键语句给出了详细注释。
  
  Welcome to the PIX firewall
  
  Type help or '?' for a list of available commands.
  
  PIX525> en
  Password:
  PIX525#sh config
  Saved
  
  PIX Version 6.0(1)
  
  PIX当前的操作系统版本为6.0
  
  Nameif ethernet0 outside security0
  
  Nameif ethernet1 inside security100
  
  显示目前pix只有2个接口
  
  Enable password 7Y051HhCcoiRTSQZ encrypted
  Passed 7Y051HhCcoiRTSQZ encrypted
  
  pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
  
  Hostname PIX525
  
  主机名称为PIX525
  
  Domain-name 123.com
  
  本地的一个域名服务器123.com,通常用做外部访问
  
  Fixup protocol ftp 21
  Fixup protocol http 80
  fixup protocol h323 1720
  fixup protocol rsh 514
  fixup protocol smtp 25
  fixup protocol sqlnet 1521
  fixup protocol sip 5060
  
  当前启用的一些服务或协议,注意rsh服务是不能改变端口号。
  
  names
  
  解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表中为空。
  
  pager lines 24
  
  每24行一分页。
  
  interface ethernet0 auto
  interface ethernet1 auto
  
  设置两个网卡的类型为自适应。
  
  mtu outside 1500
  mtu inside 1500
  
  以太网标准的MTU长度为1500字节。
  
  ip address outside 61.144.51.42 255.255.255.248
  ip address inside 192.168.0.1 255.255.255.0
  
  pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
  
  ip audit info action alarm
  ip audit attack action alarm
  
  pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
  
  pdm history enable
  
  PIX设备管理器可以图形化的监视PIX
  
  arp timeout 14400
  
  arp表的超时时间
  
  global (outside) 1 61.144.51.46
  
  如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个,也就是内部网络都使用61.144.51.46这个IP和外界通讯。
  
  nat (inside) 1 0.0.0.0 0.0.0.0 0 0
  static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
  conduit permit icmp any any
  conduit permit tcp host 61.144.51.43 eq www any
  conduit permit udp host 61.144.51.43 eq domain any
  
  用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口。
  
  route outside 0.0.0.0 0.0.0.0 61.144.51.61 1
  
  外部网关61.144.51.61
  
  timeout xlate 3:00:00
  
  某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址。
  
  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
  
  timeout uauth 0:05:00 absolute
  
  AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证。
  
  aaa-server TACACS+ protocol tacacs+
  aaa-server RADIUS protocol radius
  
  AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全。
  
  no snmp-server location
  no snmp-server contact
  snmp-server community public
  
  由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人。
  
  no snmp-server enable traps
  
  发送snmp陷阱。
  
  floodguard enable
  
  防止有人伪造大量认证请求,将pix的AAA资源用完。
  
  no sysopt route dnat
  telnet timeout 5
  ssh timeout 5
  
  使用ssh访问pix的超时时间
  
  terminal width 80
  Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
  PIX525#
  PIX525#write memory
  
  将配置保存
  
  上面这个配置实例还需要说明一下,该pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,当然如果你的公司公网IP不够用的话可以使用global命令强制使用单一ip地址,该IP地址和外部接口的ip地址相同即可。
  
  在实际工作中我们可以使用show interface查看端口状态,show static查看静态地址映射,show ip查看接口ip地址,ping outside|inside ip_address确定连通性。这些都是在故障发生后调试所必须的命令。
 
防火墙具有下列几种许可形式,通过使用show version命令可以看设备所支持的特性:
Unrestricted (UR) 所有的限制仅限于设备自身的性能,也支持Failover
Restricted (R) 防火墙的内存和允许使用的最多端口数有限制,不支持Failover
Failover (FO) 不能单独使用的防火墙,只能用于Failover
Failover-Active/Active (FO-AA) 只能和UR类型的防火墙一起使用,支持active/active failover
注:FWSM内置UR许可。
activation-key 命令用于升级设备的许可,该许可和设备的serial number有关(show version输出可以看到),6.x为16字节,7.x为20字节。
 
硬件防火墙的配置过程讲解
【导读】本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品
牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。
一. 防火墙的基本配置原则
默认情况下,所有的防火墙都是按以下两种情况配置的:
●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:
(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。
(2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
(3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。目前来说,要做到这一点比较困难。
二、防火墙的初始配置
像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似,所以在此仅以Cisco PIX防火墙为例进行介绍。
防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样,参见图1所示。
图1
防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。
防火墙与路由器一样也有四种用户配置模式,即:普通模式(Unprivileged mode)、特权模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode),进入这四种用户模式的命令也与路由器一样:
普通用户模式无需特别命令,启动后即进入;
进入特权用户模式的命令为"enable";进入配置模式的命令为"config terminal";而进入端口模式的命令为"interface ethernet()"。不过因为防火墙的端口没有路由器那么复杂,所以通常把端口模式归为配置模式,统称为"全局配置模式"。
防火墙的具体配置步骤如下:
1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上,参见图1。
2. 打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
3. 运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
4. 当PIX防火墙进入系统后即显示"pixfirewall>"的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。
5. 输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。
6. 输入命令: configure terminal,进入全局配置模式,对系统进行初始化设置。
(1). 首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)
Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡,"auto"选项为系统自适应网卡类型 Interface ethernet1 auto
(2). 配置防火墙内、外部网卡的IP地址
IP address inside ip_address netmask # Inside代表内部网卡 IP address outside ip_address netmask # outside代表外部网卡
(3). 指定外部网卡的IP地址范围:
global 1 ip_address-ip_address
(4). 指定要进行转换的内部地址
nat 1 ip_address netmask
(5). 配置某些控制选项:
conduit global_ip port[-port] protocol foreign_ip [netmask]
其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TCP、UDP等;foreign_ip:表示可访问的global_ip外部IP地址;netmask:为可选项,代表要控制的子网掩码。
7. 配置保存:wr mem
8. 退出当前模式
此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。
pixfirewall(config)# exit pixfirewall# exit pixfirewall>
9. 查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。
10. 查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。 11. 查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。
三、Cisco PIX防火墙的基本配置
1. 同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口;
2. 开启所连电脑和防火墙的电源,进入Windows系统自带的"超级终端",通讯参数可按系统默然。进入防火墙初始化配置,在其中主要设置有:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。此时的提示符为:pix255>。
3. 输入enable命令,进入Pix 525特权用户模式,默然密码为空。
如果要修改此特权用户模式密码,则可用enable password命令,命令格式为:enable password password [encrypted],这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。
4、 定义以太端口:先必须用enable命令进入特权用户模式,然后输入configure terminal(可简称为config t),进入全局配置模式模式。具体配置
pix525>enable Password: pix525#config t pix525 (config)#interface ethernet0 auto pix525 (config)#interface ethernet1 auto
在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
5. clock
配置时钟,这也非常重要,这主要是为防火墙的日志记录而资金积累的,如果日志记录时间和日期都不准确,也就无法正确分析记录中的信息。这须在全局配置模式下进行。
时钟设置命令格式有两种,主要是日期格式不同,分别为:
clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year
前一种格式为:小时:分钟:秒 月 日 年;而后一种格式为:小时:分钟:秒 日 月 年,主要在日、月份的前后顺序不同。在时间上如果为0,可以为一位,如:21:0:0。
6. 指定接口的安全级别
指定接口安全级别的命令为nameif,分别为内、外部网络接口指定一个适当的安全级别。在此要注意,防火墙是用来保护内部网络的,外部网络是通过外部接口对内部网络构成威胁的,所以要从根本上保障内部网络的安全,需要对外部网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系列防火墙中,安全级别的定义是由security()这个参数决定的,数字越小安全级别越高,所以security0是最高的,随后通常是以10的倍数递增,安全级别也相应降低。如下例:
pix525(config)#nameif ethernet0 outside security0 # outside是指外部接口 pix525(config)#nameif ethernet1 inside security100 # inside是指内部接口
7. 配置以太网接口IP地址
所用命令为:ip address,如要配置防火墙上的内部网接口IP地址为:192.168.1.0 255.255.255.0;外部网接口IP地址为:220.154.20.0 255.255.255.0。 配置方法如下: pix525(config)#ip address inside 192.168.1.0 255.255.255.0 pix525(config)#ip address outside 220.154.20.0 255.255.255.0
8. access-group
这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为:access-group acl_ID in interface interface_name,其中的"acl_ID"是指访问控制列表名称,interface_name为网络接口名称。如:
access-group acl_out in interface outside,在外部网络接口上绑定名称为"acl_out"的访问控制列表。 clear access-group:清除所有绑定的访问控制绑定设置。 no access-group acl_ID in interface interface_name:清除指定的访问控制绑定设置。 show access-group acl_ID in interface interface_name:显示指定的访问控制绑定设置。
9.配置访问列表
所用配置命令为:access-list,合格格式比较复杂,如下:
标准规则的创建命令:access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] 扩展规则的创建命令:access-list [ normal | special ] listnumber2 { permit |
deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
它是防火墙的主要配置部分,上述格式中带"[]"部分是可选项,listnumber参数是规则号,标准规则号(listnumber1)是1~99之间的整数,而扩展规则号(listnumber2)是100~199之间的整数。它主要是通过访问权限"permit"和"deny"来指定的,网络协议一般有IP|TCP|UDP|ICMP等等。如只允许访问通过防火墙对主机:220.154.20.254进行www访问,则可按以下配置:
pix525(config)#access-list 100 permit 220.154.20.254 eq www
其中的100表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。关于这个命令还将在下面的高级配置命令中详细介绍。
10. 地址转换(NAT)
防火墙的NAT配置与路由器的NAT配置基本一样,首先也必须定义供NAT转换的内部IP地址组,接着定义内部网段。
定义供NAT转换的内部地址组的命令是nat,它的格式为:nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]],其中if_name为接口名;nat_id参数代表内部地址组号;而local_ip为本地网络地址;netmask为子网掩码;max_conns为此接口上所允许的最大TCP连接数,默认为"0",表示不限制连接;em_limit为允许从此端口发出的连接数,默认也为"0",即不限制。如:
nat (inside) 1 10.1.6.0 255.255.255.0
表示把所有网络地址为10.1.6.0,子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。
随后再定义内部地址转换后可用的外部地址池,它所用的命令为global,基本命令格式为:
global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ,各参数解释同上。如:
global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0
将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址,其子网掩耳盗铃码为255.255.255.0。
11. Port Redirection with Statics
这是静态端口重定向命令。在Cisco PIX版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器,这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。
命令格式有两种,分别适用于TCP/UDP通信和非TCP/UDP通信:
(1). static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]
(2). static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]
此命令中的以上各参数解释如下:
internal_if_name:内部接口名称;external_if_name:外部接口名称;{tcp|udp}:选择通信协议类型;{global_ip|interface}:重定向后的外部IP地址或共享端口;local_ip:本地IP地址;[netmask mask]:本地子网掩码;max_conns:允许的最大TCP连接数,默认为"0",即不限制;emb_limit:允许从此端口发起的连接数,默认也为"0",即不限制;norandomseq:不对数据包排序,此参数通常不用选。
现在我们举一个实例,实例要求如下
●外部用户向172.18.124.99的主机发出Telnet请求时,重定向到10.1.1.6。 ●外部用户向172.18.124.99的主机发出FTP请求时,重定向到10.1.1.3。 ●外部用户向172.18.124.208的端口发出Telnet请求时,重定向到10.1.1.4。 ●外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时,重定向到10.1.1.5。 ●外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时,重定向到10.1.1.5。 ●外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时,重定向到10.1.1.7的80号端口。
以上重写向过程要求如图2所示,防火墙的内部端口IP地址为10.1.1.2,外部端口地址为172.18.124.216。 图2
以上各项重定向要求对应的配置语句如下:
static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0 static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0 static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0
12. 显示与保存结果
显示结果所用命令为:show config;保存结果所用命令为:write memory。
四、包过滤型防火墙的访问控制表(ACL)配置
除了以上介绍的基本配置外,在防火墙的安全策略中最重要还是对访问控制列表(ACL)进行配有关置。下面介绍一些用于此方面配置的基本命令。
1. access-list:用于创建访问规则
这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则,同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。在这个命令中,又有几种命令格式,分别执行不同的命令。
(1)创建标准访问列表
命令格式:access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
命令格式:access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
命令格式:no access-list { normal | special } { all | listnumber [ subitem ] }
上述命令参数说明如下:
●normal:指定规则加入普通时间段。 ●special:指定规则加入特殊时间段。 ●listnumber1:是1到99之间的一个数值,表示规则是标准访问列表规则。 ●listnumber2:是100到199之间的一个数值,表示规则是扩展访问列表规则。 ●permit:表明允许满足条件的报文通过。 ●deny:表明禁止满足条件的报文通过。 ●protocol:为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 ●source-addr:为源IP地址。 ●source-mask:为源IP地址的子网掩码,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 ●dest-addr:为目的IP地址。 ●dest-mask:为目的地址的子网掩码。 ●operator:端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 ●icmp-type:在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 ●icmp-code:在协议为ICMP,且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 ●log:表示如果报文符合条件,需要做日志。 ●listnumber:为删除的规则序号,是1~199之间的一个数值。 ●subitem:指定删除序号为listnumber的访问列表中规则的序号。
例如,现要在华为的一款防火墙上配置一个"允许源地址为10.20.10.0 网络、目的地址为10.20.30.0网络的WWW访问,但不允许使用FTP"的访问规则。相应配置语句只需两行即可,如下: Quidway (config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq www Quidway (config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp
2. clear access-list counters:清除访问列表规则的统计信息
命令格式:clear access-list counters [ listnumber ]
这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号,如不指定,则清除所有的规则的统计信息。
如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为:
clear access-list counters 100 如有清除当前所使用的所有规则的统计信息,则以上语句需改为:Quidway#clear access-list counters
3. ip access-group
使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置,对应格式为: ip access-group listnumber { in | out }
此命令须在端口用户模式下配置,进入端口用户模式的命令为:interface ethernet(),括号中为相应的端口号,通常0为外部接口,而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号,是1~199之间的一个数值(包括标准访问规则和扩展访问规则两类);in 表示规则应用于过滤从接口接收到的报文;而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。 例如将规则100应用于过滤从外部网络接口上接收到的报文,配置语句为(同样为在倾为包过滤路由器上):
ip access-group 100 in
如果要删除某个访问控制表列绑定设置,则可用no ip access-group listnumber { in | out } 命令。
4. show access-list
此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为:show access-list [ all | listnumber | interface interface-name ]
这一命令须在特权用户模式下进行配置,其中all参数表示显示所有规则的应用情况,包括普通时间段内及特殊时间段内的规则;如果选择listnumber参数,则仅需显示指定规则号的过滤规则;interface 表示要显示在指定接口上应用的所有规则序号;interface-name参数为接口的名称。
使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察
可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。例如,现在要显示当前所使用序号为100的规则的使用情况,可执行Quidway#show access-list 100语句即可,随即系统即显示这条规则的使用情况,格式如下:
Using normal packet-filtering access rules now. 100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1) 100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2) 100 deny udp any any eq rip (no matches -- rule 3)
5. show firewall
此命令须在特权用户模式下执行,它显示当前防火墙状态。命令格式非常简单,也为:show firewall。这里所说的防火墙状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
6. Telnet
这是用于定义能过防火配置控制端口进行远程登录的有关参数选项,也须在全局配置用户模式下进行配置。
命令格式为:telnet ip_address [netmask] [if_name]
其中的ip_address参数是用来指定用于Telnet登录的IP地址,netmask为子网掩码,if_name用于指定用于Telnet登录的接口,通常不用指定,则表示此IP地址适用于所有端口。如:
telnet 192.168.1.1
如果要清除防火墙上某个端口的Telnet参数配置,则须用clear telnet命令,其格式为:clear telnet [ip_address [netmask] [if_name]],其中各选项说明同上。它与另一个命令no telnet功能基本一样,不过它是用来删除某接口上的Telnet配置,命令格式为:no telnet [ip_address [netmask] [if_name]]。
如果要显示当前所有的Telnet配置,则可用show telnet命令。
思科PIX防火墙
【导读】思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中,我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。
在本期应用指南中,管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。
假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说,这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后,这个设置就很容易了。 下面,让我们看看如何进行设置。
思科PIX防火墙的基础
思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中,我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。
PIX防火墙有内部和外部接口的概念。内部接口是内部的,通常是专用的网络。外部接口是外部的,通常是公共的网络。你要设法保护内部网络不受外部网络的影响。
PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。
下面是显示“nameif”命令的输出情况:
pixfirewall# show nameif
nameif ethernet0 outside security0
nameif ethernet1 inside security100
pixfirewall#
请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。
指南
在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是:
·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。
·内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。
·外部网络是1.1.1.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的外部IP地址应该是1.1.1.1。
·你要创建一个规则允许所有在10.0.0.0网络上的客户做端口地址解析并且连接到外部网络。他们将全部共享全球IP地址1.1.1.2。
·然而,客户只能访问端口80(网络浏览)。
·用于外部(互联网)网络的默认路由是1.1.1.254。 设置
当你第一次启动PIX防火墙的时候,你应该看到一个这样的屏幕显示:
你将根据提示回答“是”或者“否”来决定是否根据这个互动提示来设置PIX防火墙。对这个问题回答“否”,因为你要学习如何真正地设置防火墙,而不仅仅是回答一系列问题。
然后,你将看到这样一个提示符:pixfirewall>
在提示符的后面有一个大于号“>”,你处在PIX用户模式。使用en或者enable命令修改权限模式。在口令提示符下按下“enter”键。下面是一个例子:
pixfirewall> en
Password:
pixfirewall#
你现在拥有管理员模式,可以显示内容,但是,你必须进入通用设置模式来设置这个PIX防火墙。
现在让我们学习PIX防火墙的基本设置:
PIX防火墙的基本设置
我所说的基本设置包括三样事情:
·设置主机名
·设置口令(登录和启动)
·设置接口的IP地址
·启动接口
·设置一个默认的路由
在你做上述任何事情之前,你需要进入通用设置模式。要进入这种模式,你要键入:
pixfirewall# config t
pixfirewall(config)#
要设置主机名,使用主机名命令,像这样:
pixfirewall(config)# hostname PIX1
PIX1(config)#
注意,提示符转变到你设置的名字。
下一步,把登录口令设置为“cisco”(思科),像这样:
PIX1(config)# password cisco
PIX1(config)#
这是除了管理员之外获得访问PIX防火墙权限所需要的口令。
现在,设置启动模式口令,用于获得管理员模式访问。
PIX1(config)# enable password cisco
PIX1(config)#
现在,我们需要设置接口的IP地址和启动这些接口。同路由器一样,PIX没有接口设置模式的概念。要设置内部接口的IP地址,使用如下命令:
PIX1(config)# ip address inside 10.1.1.1 255.0.0.0
PIX1(config)#
现在,设置外部接口的IP地址:
PIX1(config)# ip address outside 1.1.1.1 255.255.255.0
PIX1(config)#
下一步,启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意,ethernet0接口是外部接口,它在PIX 501防火墙中只是一个10base-T接口。ethernet1接口是内部接口,是一个100Base-T接口。下面是启动这些接口的方法:
PIX1(config)# interface ethernet0 10baset
PIX1(config)# interface ethernet1 100full
PIX1(config)#
注意,你可以使用一个显示接口的命令,就在通用设置提示符命令行使用这个命令。
最后,让我们设置一个默认的路由,这样,发送到PIX防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的IP地址是1.1.1.254)。你可以这样做:
PIX1(config)# route outside 0 0 1.1.1.254
PIX1(config)#
当然,PIX防火墙也支持动态路由协议(如RIP和OSPF协议)。
现在,我们接着介绍一些更高级的设置。 网络地址解析
由于我们有IP地址连接,我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用一种称作“PAT”或者“NAT Overload”的网络地址解析。这样,所有内部设备都可以共享一个公共的IP地址(PIX防火墙的外部IP地址)。要做到这一点,请输入这些命令:
PIX1(config)# nat (inside) 1 10.0.0.0 255.0.0.0
PIX1(config)# global (outside) 1 1.1.1.2
Global 1.1.1.2 will be Port Address Translated
PIX1(config)#
使用这些命令之后,全部内部客户机都可以连接到公共网络的设备和共享IP地址1.1.1.2。然而,客户机到目前为止还没有任何规则允许他们这样做。
防火墙规则
这些在内部网络的客户机有一个网络地址解析。但是,这并不意味着允许他们访问。他们现在需要一个允许他们访问外部网络(互连网)的规则。这个规则还将允许返回的通信。
要制定一个允许这些客户机访问端口80的规则,你可以输入如下命令:
PIX1(config)# access-list outbound permit tcp 10.0.0.0 255.0.0.0 any eq 80
PIX1(config)# access-group outbound in interface inside
PIX1(config)#
注意:与路由器访问列表不同,PIX访问列表使用一种正常的子网掩码,而不是一种通配符的子网掩码。
使用这个访问列表,你就限制了内部主机访问仅在外部网络的Web服务器(路由器)。
显示和存储设置结果
现在你已经完成了PIX防火墙的设置。你可以使用显示命令显示你的设置。
确认你使用写入内存或者“wr m”命令存储你的设置。如果你没有使用这个命令,当关闭PIX防火墙电源的时候,你的设置就会丢失。
 
conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,staticconduit命令将一起使用,来指定会话的建立。

conduit命令配置语法:
conduit deny|permit <protocol> <g_ip> <g_mask> [<operator> <port> [<port>] 
<f_ip> <f_mask>
 
其中,
1)      permit | deny 允许 | 拒绝访问
2)      protocol 指的是连接协议,比如:TCPUDPICMP等。
3)      g_ip:global_ip 指的是先前由globalstatic命令定义的全局ip地址,如果global_ip0,就用any代替0;如果global_ip是一台主机,就用host命令参数+具体IP地址。
4)      port :指的是服务所作用的端口,例如www使用80smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
5)      f_ip :foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
 
下面以一个配置实例来具体说明conduit的用法。
 
PIX ASA 资料_PIX_02 
 
配置要求:
1、  内网能够Ping通外网。
2、  外网能访问内网192.168.10.180端口。
 
主要配置:
1、  NAT转换
global (outside) 1 interface
nat (inside) 1 192.168.10.0 255.255.255.0
static (inside,outside) tcp 192.168.20.1 www 192.168.10.1 www netmask 255.255.255.255 0 0
 
2、  Conduit配置
conduit permit icmp any any
conduit permit tcp host 192.168.20.1 eq 80 any
 
个人认为Conduit命令简单好用,可以满足一些基本的访问控制要求。不过,在IOS 6.3以后,Cisco通过ACL取代了Conduit的功能。相对而言,ACL的应用范围更广,可以用于比较复杂的访问控制。上述配置利用ACL的实现方式如下:
 
1、  NAT转换
<相同>
 
2、  ACL配置
access-list acl_out permit icmp any any
access-list acl_out permit tcp any host 192.168.20.1 eq www
access-group acl_out in interface outside  //ACL应用在outside端口上
 
 
备注:当端口应用了ACL以后,Conduit配置内容失效。换句话说,ACLConduit配置内容有冲突,端口将按照ACL的规则进行数据包过滤。
 
声明:以上看法纯属个人认识,有不对之处,还望指正。谢谢!
本文出自 “自#己@自$在~” 博客,请务必保留此出处[url]http://intelboy.blog.51cto.com/22786/45611[/url]
 
 
1):下载qemu-0.9.0-i386.tar.gz模拟器到这里下载 
    2):下载kqemu-1.3.0pre11.tar.gz(QEMU Accelerator Module)
    地址同上当然这一步不是必须的
    3):下载pixemu和pixos 到[url]www.dynamips.cn[/url]这里可以找到。
    注意:
    因为我使用的是pixemu_public2007-04-13[1]_code.rar源码   ([url]www.dynamips.cn[/url]有下),按要求源码需要在          
    gcc3.4下面编译,所以你必须在你的linux下面装载gcc3.4哦
    安装步骤
    tar -zxvf file.tar.gz (放在根目录即/下面即可)
    ./configure
    make(这大概是个漫长的过程,耐心等待吧,谁让我们是搞这个的呢)
    make install
    完毕 输入gcc -v 应该可以看到你的gcc版本是3.40了
    接下来我们开始安装模拟器z:
    1):解压qemu-0.9.0-i386.tar.gz在/目录下,无需安装.
    2):解压安装kqemu-1.3.0pre11.tar.gz(此步骤可选)
         tar -zxvf file.tar.gz (放在根目录即/下面即可)
         ./configure
         make
         make install
    3):编译pixemu_public2007-04-13[1]_code
         unzip pixemu_public2007-04-13[1]_code.zip
         cd pixemu_public2007-04-13
         make
         修改Makefile(CC=gcc-3.4换成CC=gcc"Z0ef,BHOST_CC=gcc-3.4换成HOST_CC=gcc)
         可手动到该文件夹下修改并保存。
    4):在pixemu目录下执行 dd if=/dev/zero of=FLASH bs=1k count=16k
    5):把PixOS7.21.bin文件复制到pixemu_public2007-04-13目录内,然后执行命令:
         unzip pixos7.21.bin
         mv target/f1/pix ./
    6):Pix7.21码激活
         修改pixemu.ini可以激活版本, 在ini里面改ACKey无效,运行后用命令
         ac 0xd2390d2c 0x9fc4b36d 0x98442d99 0xeef7d8b1 
    7):启动pix(全部一起输入)
       ./pixemu -net nic,vlan=1,macaddr=00:aa:00:00:02:01
       -net tap,vlan=1,script=if1up -net nic,vlan=2,macaddr=00:aa:00:00:02:02
 -net tap,vlan=2,script=if2up -serial stdio -m 128 FLASH
                                |            |                            
                                |||          |||                           
                              .|| ||.      .|| ||.                         
                           .:||| | |||:..:||| | |||:.                       
      C i s c o  S y s t e m s
Cisco PIX Security Appliance Software Version 7.2(1)
Copyright (c) 1996-2006 by Cisco Systems, Inc.
                Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706
         Type help or '?' for a list of available commands.
         pixfirewall>
         pixfirewall>
         pixfirewall>
         pixfirewall>
本文出自 “Kendy” 博客,请务必保留此出处[url]http://kendy.blog.51cto.com/147692/25367[/url]
 
 
 
——Cisco Catalyst 6509交换机[u][b][color=#ff0000]FWSM[/color][/b][/u]防火墙模块测试报告
    我们以往接触比较多的防火墙大都是单独的设备产品,抑或是与路由器集成在一起的模块, 这种防火墙往往是位于网关位置,担当了内外网之间的防护线职能。而思科系统公司充分利用自己对网络的理解,以一种不同的理念和思路把安全贯彻到了网络上的每一个角落。当我们《网络世界》评测实验室拿到插入[u][b][color=#ff0000]FWSM[/color][/b][/u]防火墙模块的被测设备Catalyst 6509交换机时,更是深刻地体会到了Cisco这种独特的视角。 [img]http://cnw2005.cnw.com.cn/issues/2003/26/p_w_picpaths/cisco6500.jpg[/img]
[img]http://cnw2005.cnw.com.cn/issues/2003/26/p_w_picpaths/fwsm.jpg[/img]
集成:改变防火墙角色    
从外观上看,不同于以往的防火墙,[u][b][color=#ff0000]FWSM[/color][/b][/u]防火墙模块本身并不带有任何端口,可以插在Catalyst 6509交换机任何一个交换槽位中,交换机的任何端口都能够充当防火墙端口,一个[u][b][color=#ff0000]FWSM[/color][/b][/u]模块可以服务于交换机所有端口,在网络基础设施之中集成状态防火墙安全特性。    
由于70%的安全问题来自企业网络内部,因此企业网络的安全不仅在周边,防止未经授权的用户进入企业网络的子网和VLAN是我们一直忽视的问题,也正是6509交换机加上[u][b][color=#ff0000]FWSM[/color][/b][/u]防火墙模块要完成的职责。    
Catalyst 6509作为企业的汇聚或核心交换机,往往要为企业的不同部门划分子网和VLAN,[u][b][color=#ff0000]FWSM[/color][/b][/u]模块的加入为不同部门之间搭建了坚实的屏障。    
与传统防火墙的体系结构不同,[u][b][color=#ff0000]FWSM[/color][/b][/u]内部体系主要由一个 双 Intel PIII处理器和3个IBM网络处理器以及相应的ASIC芯片组成。其中两个网络处理器各有三条千兆线路连接到6509的背板上。[u][b][color=#ff0000]FWSM[/color][/b][/u]使用的是Cisco PIX操作系统这一实时、牢固的嵌入式操作系统,采用基于ASA(自适应安全算法)的核心实现机制,继承了思科PIX防火墙性能与功能方面的既有优势。    
对于已经购买了Catalyst 6509交换机的用户来说,它们不需要对原有产品进行更换,就可以通过单独购买[u][b][color=#ff0000]FWSM[/color][/b][/u]模块,获得这种防火墙特性,在简化网络结构的同时,真正实现对用户的投资保护。     

功能:细致到每一处
从[u][b][color=#ff0000]FWSM[/color][/b][/u]防火墙模块的管理和易用性来看,对于那些很熟悉Cisco IOS命令行的工程师来说,通过Console或Telnet进行配置很容易上手,而对于笔者这种对Cisco 命令仅略通一二的人来说,最好的管理和配置方式莫过于用Web进行管理,Web管理其实是调用了用来管理PIX防火墙的PIX Device Manager(PDM)2.1(1)工具,非常直观地帮助用户进行规则配置、管理和状态监控。进行Web管理的安全通过HTTP+SSL(HTTPS)来进行保障。

网络特性方面,我们需要提及的是由于与交换机集成,所以[u][b][color=#ff0000]FWSM[/color][/b][/u]模块拥有很多独特之处,包括可以支持各种百兆和千兆以太网接口,进而拥有了Catalyst 6509交换机的可扩展性,支持静态路由和RIP、OSPF动态路由协议,可以作ARP代理和DHCP服务器。在规则设定中支持基于VLAN设定安全区域,对每个VLAN实施安全策略。    

在高可用性方面,不仅在Catalyst 6509上插的两个防火墙模块之间可以实现冗余备份,两台Catalyst 6509交换机之间可以通过LAN进行故障恢复。据思科工程师介绍,6509最多可以插入4个[u][b][color=#ff0000]FWSM[/color][/b][/u]防火墙模块,这四个模块绑在一起可以提供的吞吐量是单个防火墙模块的4倍。    

对于访问[u][b][color=#ff0000]FWSM[/color][/b][/u]防火墙模块的用户,思科考虑的非常细心的一个特点是通过PDM可以对CLI命令设置优先级,分为15个级别,创建与这些优先级对应的用户账号或登录环境,以更细的粒度对访问者进行管理。    

NAT是防火墙的必要特性,[u][b][color=#ff0000]FWSM[/color][/b][/u]模块不仅对动态和静态NAT提供了良好支持,而且还支持基于端口的PAT(端口地址转换)。     在使用PDM时,可通过组合网络对象、服务、协议或端口成为组进行管理和规则配置,最多支持128K ACL设置。    

对日志的支持程度是防火墙功能是否完备的重要标志。[u][b][color=#ff0000]FWSM[/color][/b][/u]不仅支持将日志记录到防火墙中,并对所用缓冲区进行限制,还支持用Syslog 服务器记录日志,将日志警告分为8个级别进行限制。    
[u][b][color=#ff0000]FWSM[/color][/b][/u]防火墙模块能够支持H.323、SIP等VoIP相关协议。    
PDM提供的状态监控功能非常强大,可以按照图形或表格形式非常直观地显示CPU、内存利用率以及进出防火墙的数据包状态等详细信息。    
易于查找的帮助信息也是思科为用户考虑的周到之处,用户通过Web界面可以非常容易得到相关信息。    
性能:多流环境上佳表现    
传统防火墙往往会成为网络上的瓶颈,因此性能是用户相当关心的问题。通过此次测试(请见表中数据),我们可以看到出众的性能是[u][b][color=#ff0000]FWSM[/color][/b][/u]与Catalyst 6500紧密集成所带来的结果,交换机的优异性能表现在启动防火墙后同样得到了良好的体现。 
去年我们曾经作过千兆防火墙公开比较评测,当时测试环境是在两条流条件下进行的,成绩最好的千兆防火墙在64字节帧长下吞吐量达到59%线速。此次测试我们选用两个1000Base-SX分别作内、外网口,采用20条UDP流并存的条件下,测试结果64、512、1518三种帧长下吞吐量为85.19%、100%、100%,显然,与以往我们曾经测试过的结果相比,吞吐量性能更为出色。    
而且,我们还发现由于配置为按照目的端口进行负载均衡,在防火墙上使用show conn命令可以实时观察到网络处理器之间确实对所承担的Session进行了分担。    
帧丢失率和延迟的测试结果更是让人眼前一亮,三种帧长下的结果为6.29%、0、0。在吞吐量的条件下测试的延迟结果也均在90祍以下。    
衡量防火墙性能的一个更有标志性的指标“最大TCP/HTTP并发连接数”结果为942802,完全可以满足大型企业级用户的需求。


[table=98%][tr][td=4,1]性能测试结果[/td][/tr][tr][td]帧长[/td][td]64字节[/td][td]512字节[/td][td]1518字节[/td][/tr][tr][td]吞吐量[/td][td]85.19%[/td][td]100%[/td][td]100%[/td][/tr][tr][td]帧丢失率[/td][td]6.29%[/td][td]0[/td][td]0[/td][/tr][tr][td]延迟(μs)[/td][td]80.88[/td][td]48.86[/td][td]81.29[/td][/tr][tr][td]最大并发连接数[/td][td=3,1]942802     我们可以看到防火墙与交换机的结合在提升企业网络内部安全性的同时对网络性能的影响并不大,让用户可以真正体验到安全与性能的完美结合。     传统防火墙处于网关位置,往往会结合入侵检测或×××功能,是各种功能的综合体。而思科Catalyst 6500系列[u][b][color=#ff0000]FWSM[/color][/b][/u]模块的防火墙特性更为突出,不但可以单独工作,还可以与部署在同一台6500交换机箱中独立的入侵检测模块、×××模块和SSL加密模块密切协作,各司其职,这也显示了细化分工的趋势,使企业可以按照更为清晰的架构搭建多层次的安全网络。     测试方法     在性能测试中,我们使用了由思傅伦通信公司提供的SmartBits 6000B测试仪。我们在测试中使用的测试软件为SmartFlow 1.50和WebSuite Firewall 1.10。使用1000Base-X SmartMetrics模块的两个1000Base-SX GBIC,通过光纤将其分别与被测设备的两个千兆端口直连。测试环境如图所示。
[/td][/tr][/table][img]http://cnw2005.cnw.com.cn/issues/2003/26/p_w_picpaths/03zftu1.jpg[/img]
在测试中,我们将Catalyst 6509交换机配置为类似于一台防火墙和一个路由器串联,防火墙配置为内、外网全通,交换机配置为根据目的端口进行负载均衡。    
我们用SmartFlow完成了吞吐量、延迟和帧丢失率的测试,双向设置20个流(每个方向各有10个流),测试时间为120秒。    
每个方向的10个流中源MAC/IP/端口相同,目的MAC/IP相同,目的端口不同。其中吞吐量测试中允许的帧丢失率为0,延迟测试是在吞吐量的条件下完成的。测试过程选用了64、512、1518字节三种帧长。    
我们用WebSuite Firewall 完成了最大并发连接数的测试,测试速率为4000个连接/秒。每项测试我们都进行三遍,最终取平均值作最后结果。    
被测的Catalyst 6509交换机控制引擎配置为SUP2/MSFC2,IOS版本为12.1(13)E5,FWSM 软件版本为1.1(2),PDM版本为2.1(1)。
2007-7-16 02:17 PM yelangdy
Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的防火墙服务模块(1)

阅读提示:防火墙服务模块(FWSM)是一个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块,可以与总线和交换矩阵进行交互。
Q. 什么是防火墙服务模块?

A. 防火墙服务模块(FWSM)是一个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块,可以与总线和交换矩阵进行交互。FWSM可以在Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器中提供状态防火墙功能。

Q. FWSM主要具有哪些特性?

A. FWSM的主要特性包括:

· 高性能,OC-48 或者 5 Gbps 吞吐量,全双工防火墙功能

· 具有整个PIX 6.0软件功能集和PIX 6.2的下列特性:

o 命令授权

o 对象组合

o ILS/NetMeeting修正

o URL过滤改进

· 3M pps 吞吐量

· 支持100个VLAN

· 一百万个并发连接

· LAN故障恢复:主从备份模式,设备内部/设备之间

· 利用OSPF/RIP进行动态路由

· 每个机箱支持多个模块

Q. 防火墙服务模块(FWSM)和Cisco PIX防火墙之间有何不同?

A. FWSM是Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的一种集成模块--与独立的Cisco PIX防火墙不同。

FWSM建立在Cisco PIX技术的基础之上。
Q. FWSM运行的是什么操作系统?

A. FWSM和Cisco PIX防火墙运行的操作系统都是实时操作系统Finesse。Finesse是一种真正的微核系统,能够提供可重复使用的软件、便于移植的源代码,并可以提高产品质量,减少测试次数,缩短产品上市时间,提高投资回报。
Q. FWSM用什么机制检测流量?

A. FWSM使用与Cisco PIX防火墙相同的检测算法:自适应安全算法(ASA)。ASA是一种状态检测引擎,可以检测流量的完整性。ASA可以使用源和目的地的地址和端口、TCP序列号,以及其他TCP标志,散列IP报头信息。散列的作用相当于指纹,即创建一个独特的代码,表明建立输入或者输出连接的客户端的身份。

如需查看更多的ASA文档,请接入:

[url]http://www.cisco.com/univercd/cc[/url] ... 60/config/intro.htm
Q. Cisco PIX防火墙和PWSM的特性有何区别?

A. FWSM支持Cisco PIX防火墙6.0版本的所有功能和6.2版本的某些功能。下表列出了它们的主要区别。如需查看这些区别的详细说明,请参阅"Cisco PIX 与防火墙模块的区别"文档。[提供该文档的URL][应当链接到防火墙网页]


特性 FSM   Cisco PIX  
性能 5 Gb 1.7 Gb
VLAN标签 有 无
路由 动态 静态
故障恢复使用许可 不需要 需要
××× 功能 无 有
IDS 签名 无 有
最大接口数 100 10
输入控制列表(ACL)支持 128000 2M
Q. FWSM的性能如何?

A. 总性能约为5Gbps。FWSM可以每秒支持一百万个并发连接,并且每秒可以建立超过10万个连接。

2007-7-16 02:21 PM yelangdy
Q. 装有FWSM的Catalyst 6500主要部署在什么地方?

A. 装有FWSM的Cisco Catalyst 6500 系列可以提供目前性能最高的防火墙功能--它能够让企业将多种关键任务型防火墙功能整合到一个设备之中,从而减少分散的防火墙的个数,简化对多个防火墙的管理。FWSM主要部署在企业园区的边缘和分布点。
Q. FWSM所能支持的最低的软件版本是多少?

A. 最低的IOS软件版本是12.1(13)E,而综合CatOS的最低版本是7.5(1)。
Q. FWSM支持交换矩阵吗?

A. 是的,FWSM支持交换矩阵。它具有一条与总线的连接和一条与交换矩阵的连接。
Q. FWSM是否利用热备份路由协议(HSRP)实现冗余?

A. 不是。主FWSM和冗余FWSM都使用与Cisco PIX防火墙相同的协议交换逻辑更新和状态信息。
Q. 怎样将流量发送给FWSM?该模块是否具有外部端口?

A. FWSM上没有外部端口。系统会给FWSM分配一些传输流量的VLAN,这些VLAN上的流量将获得防火墙的保护。
Q. FWSM是否支持冗余?

A. FCS可以提供状态防火墙故障恢复。FWSM采用了独特的设计,可以结合PIX状态故障恢复功能。FWSM模块可以安装在同一个或者另外一个Catalyst 6500系列交换机中。
Q. FWSM是否支持路由协议?

A. 是的,它支持开放最短路径优先(OSPF)和路由信息协议(RIP)。
Q. 在订购FWSM时,我应当使用什么产品编号?

A. FWSM的产品编号为:
产品编号 说明
WS-SVC-FWM-1-K9 用于Cisco Catalyst 6500的防火墙服务模块
WS-SVC-FWM-1-K9= 用于Cisco Catalyst 6500的防火墙服务模块(备件)
SC-SVC-FWM-1.1-K9 用于Catalyst 6500的防火墙模块软件
SC-SVC-FWM-1.1-K9= 用于Catalyst 6500的防火墙模块软件(备件)
Q. FWSM是否具有使用许可选项?

A. 没有,该模块没有任何受限的和不受限的使用许可选项。
Q. FWSM使用的是什么三重数据加密标准(3DES)软件?

A. FWSM上的加密功能只能用于网络管理。您不能用该模块上的3DES软件进行远程接入或者站点间隧道端接。
Q. 模块软件是否内置3DES软件,我是否需要单独订购该软件?

A. 3DES 与软件镜像捆绑提供。您不需要单独订购该软件。
Q. 机载闪存和DRAM内存有多大,我能否升级DRAM?

A. FWSM的闪存为128MB,DRAM内存为1GB。内存无法现场升级。
Q. FWSM获得了什么认证?

A. 我们将在2002日历年度的第四季度之前获得ICSA认证。
Q. 我是否可以在FWSM上连接远程虚拟专用网(×××)用户?

A. 不行,FWSM不能提供×××功能。
Q. 我是否可以在同一个机箱中安装多个模块?

A. 可以,每个机箱最多可以安装四个模块。
Q. FWSM是否支持组播功能?

A. 最初的版本不能支持组播功能,但是组播支持将在未来的版本中提供。
Q. 我是否可以在同一个设备中安装和运行FWSM和IPSec ×××加速模块?

A. 不能。最初版本的IOS镜像不能互相兼容,因而不能将这两个模块安装在同一个设备中。
Q. FWSM是否支持IDSM入侵检测模块?

A. 防火墙服务模块和IDS模块可以共存于同一个设备中。由于IDS模块是一个从设备,所以获得防火墙保护的VLAN也可以拓展到IDS模块,进行入侵检测。
Q. FWSM是否可以提供拒绝服务/DDoS检测和管理功能?

A. 可以。FWSM可以根据协议或者地址设置阀值、日志和配置。
Q. FWSM可以发现哪些拒绝服务攻击?

A. 它可以发现下列攻击:

o ICMP Flood

o UDP Flood

o Ping of Death

o IP Spoofing

o IP源路由选项
Q. FWSM是否支持IP源路由过滤功能?

A. IP源路由过滤功能由IOS提供。
Q. FWSM是否可以支持URL/HTTP过滤?

A. 是的,需要通过像Websense这样的Web过滤工具。
Q. FWSM缺省的安全设置是什么?

A. FWSM会拒绝所有方向上的所有分组,包括来自于管理接口的探测流量。
Q. FWSM是否可以提供高可用性的主/主备份支持?

A. FWSM 目前可以提供主/从备份支持。主/主备份支持目前正在研究之中。
Q. FWSM的主/从冗余功能是否可以提供无缝的故障恢复?

A. 可以。
Q. FWSM是否支持流量整型?

A. FWSM可以通过Catalyst 6500线卡支持流量整型,这种线卡可以为FWSM提供VLAN接口。
Q. FWSM是否支持QoS机制和速率限制?

A. 可以,它支持Catalyst 6500的所有QoS功能。
Q. FWSMD是否支持安全的带外管理?

A. 可以,通过管理VLAN上的IPSec。
Q. FWSM是否支持Traceroute和ping?

A. 如果获得明确许可就可以支持。缺省状态下不支持。
Q. 应当用什么应用配置FWSM和监控系统日志流量?

A. 在最初的版本中,用户可以通过CLI 和Cisco PIX设备管理器(PDM)管理FWSM。PDM可以通过基于向导的菜单帮助用户进行防火墙配置。

2007-7-16 02:24 PM yelangdy
防火墙透明模式配置

防火墙的透明模式
特性介绍:从PIX 7.0和[u][b][color=#ff0000]FWSM[/color][/b][/u] 2.2开始防火墙可以支持透明的防火墙模式,接口不需要配置地址信息,工作在二层。只支持两个接口inside和outside,当然可以配置一个管理接口,但是管理接口不能用于处理用户流量,在多context模式下不能复用物理端口。由于连接的是同一地址段的网络,所以不支持NAT,虽然没有IP地址但是同样可以配置ACL来检查流量。
进入透明模式 Firewall(config)# firewall transparent
(show firewall 来验证当前的工作模式,由于路由模式和透明模式工作方式不同,所以互相切换的时候会清除当前配置文件)
配置接口 Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level
注:不用配置IP地址信息,但是其它的属性还是要配置的,接口的安全等级一般要不一样,
same-security-traffic permit inter-interface命令可以免除此限制。  
配置管理地址 Firewall(config)# ip address ip_address subnet_mask
Firewall(config)# route   if_name   foreign_network foreign_mask gateway [metric]
MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表
Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间
Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目
Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证)
ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目
Firewall(config)# arp-inspection if_name enable [flood | no-flood]
端口启用ARP检查为非IP协议配置转发策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype}
Firewall(config)# access-group acl_id {in | out} interface if_name
 
 
6509的FWMS模块配置

我的6509 fwsm笔记
[url]http://bbs.tech-ccie.com/viewthread.php?tid=4910[/url]

基于PIX6.0,支持100个VLAN,和switch通过6G的etherchannel连接,802.1q封装。

未配置的VLAN都作为inside处理,它们之间的通信不经过FWSM。
外发的包到达高安全级端口,要经过NAT修改源地址后流向低安全级端口;流入的包要先经过检查,修改目标地址后转发到受保护端口

FWSM可以在MSFC前,也可以在MSFC后

3个配置例子
1

OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置过程

· Create the Layer 3 Interface to be used as gateway by FWSM. This is done in global config mode.
o MSFC(config)#interface vlan 10
o MSFC(config-int)#ip address 206.10.10.1 255.255.255.0
o MSFC(config-int)#no shutdown
· Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module.
o MSFC(config)#firewall vlan-group 1 10,20
o MSFC(config)#firewall module 3 vlan-group 1
· Session to the FWSM. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the
FWSM is in slot 3 of the chassis.
o MSFC#session slot 3 proc 1
· Create Layer 3 interfaces on the FWSM. The command to do this is “nameif &vlan# &interface name &security level” in
global config mode.
o FWSM(config)#nameif 10 outside 0
o FWSM(config)#ip address outside 206.10.10.2 255.255.255.0
o FWSM(config)#nameif 20 inside 100
o FWSM(config)#ip address inside 10.20.20.1 255.255.255.0
· Add default route to Outside security level on the FWSM.
o FWSM(config)#route outside 0.0.0.0 0.0.0.0 206.10.10.1 1
· Configure a STATIC NAT entry for hosts A and B to be seen by outside users.
o FWSM(config)#static (inside,outside) 206.10.10.25 10.20.20.25 netmask 255.255.255.255 ?Host A
o FWSM(config)#static (inside,outside) 206.10.10.26 10.20.20.26 netmask 255.255.255.255 ?Host B
· Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level.
o FWSM(config)#nat (inside) 1 0 0
o FWSM(config)#global (outside) 1 206.10.10.100
· Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the
outside security level.
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.25 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.25 (this allows outside users to ping)
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.26 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.26 ?(this allows outside users to ping)
· Now apply the defined access-list "outside-acl" to the outside interface as follows:
o FWSM(config)#access-group outside-acl in interface outside

2

OUTSIDE—vlan10—FWSM—vlan20—MSFC—vlan30—CORE——HOST 与上面例子的不同之处在于:
FWSM通过vlan10连接外部,所以65连接外部的g8/1要属于vlan10
o MSFC(config)#interface gigabit 8/1
o MSFC(config-int)# switchport
o MSFC(config-int)#switchport mode access
o MSFC(config-int)#switchport access vlan 10
o MSFC(config-int)#no shutdown
MSFC上使用静态路由即可
o MSFC(config)#ip route 0.0.0.0 0.0.0.0 10.20.20.1
FWSM使用静态路由以便使外部数据可以进入内部
o FWSM(config)#route inside 10.0.0.0 255.0.0.0 10.20.20.2


3

DMZ
|
vlan50
|
OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置过程比1增加了如下:
|
vlan60
|
DMZ
· Create the DMZ VLAN’s on the MSFC in global config mode
o MSFC(config)#vlan 50
o MSFC(config-vlan)#no shutdown
o MSFC(config)#vlan 60
o MSFC(config-vlan)#no shutdown
· Add VLAN’s 50 and 60 to the firewall-vlan group created in Configuration #1.
o MSFC(config)#firewall vlan-group 1 50,60
DMZ的计算机连接端口要设成switchport以便FWSM可以看到
o MSFC(config)#interface FastEthernet 7/1
o MSFC(config-int)#switchport
o MSFC(config-int)switchport mode access
o MSFC(config-int)switchport access vlan 60
o MSFC(config-int)no shutdown
· Session to the FWSM as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ security levels.
o FWSM(config)#nameif 60 dmz1 60
o FWSM(config)#nameif 50 dmz2 50
o FWSM(config)#ip address dmz1 10.60.60.1 255.255.255.0
o FWSM(config)#ip address dmz2 10.50.50.1 255.255.255.0
· To enable users to be able to connect with the servers in the DMZ’s, STATIC and NAT translations will have to be
established depending upon the direction of the traffic flow.
o FWSM(config)#nat (dmz1) 2 10.60.60.0 255.255.255.0
o FWSM(config)#global (outside) 2 206.10.10.60
o FWSM(config)#global (dmz2) 2 10.50.50.200
o FWSM(config)#nat (dmz2) 3 10.50.50.0 255.255.255.0
o FWSM(config)#global (outside) 3 206.10.10.50
o FWSM(config)#static (inside,dmz1) 10.60.60.60 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (inside,dmz2) 10.50.50.50 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (dmz1,dmz2) 10.50.50.50 10.60.60.25 netmask 255.255.255.255
有关acl
o FWSM(config)#access-list web permit tcp any host 206.10.10.125 eq www
o FWSM(config)#access-list web permit tcp any host 206.10.1

2007-7-16 02:43 PM yelangdy
6509的FWMS模块配置

6509的FWMS模块配置

我的6509 [u][b][color=#ff0000]fwsm[/color][/b][/u]笔记
[url=http://bbs.tech-ccie.com/viewthread.php?tid=4910][color=#003366]http://bbs.tech-ccie.com/viewthread.php?tid=4910[/color][/url]

基于PIX6.0,支持100个VLAN,和switch通过6G的etherchannel连接,802.1q封装。

未配置的VLAN都作为inside处理,它们之间的通信不经过[u][b][color=#ff0000]FWSM[/color][/b][/u]。
外发的包到达高安全级端口,要经过NAT修改源地址后流向低安全级端口;流入的包要先经过检查,修改目标地址后转发到受保护端口

[u][b][color=#ff0000]FWSM[/color][/b][/u]可以在MSFC前,也可以在MSFC后

3个配置例子
1

OUTSIDE——MSFC—vlan10—[u][b][color=#ff0000]FWSM[/color][/b][/u]—vlan20—CORE——HOST的配置过程

· Create the Layer 3 Interface to be used as gateway by [u][b][color=#ff0000]FWSM[/color][/b][/u]. This is done in global config mode.
o MSFC(config)#interface vlan 10
o MSFC(config-int)#ip address 206.10.10.1 255.255.255.0
o MSFC(config-int)#no shutdown
· Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module.
o MSFC(config)#firewall vlan-group 1 10,20
o MSFC(config)#firewall module 3 vlan-group 1
· Session to the [u][b][color=#ff0000]FWSM[/color][/b][/u]. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the
[u][b][color=#ff0000]FWSM[/color][/b][/u] is in slot 3 of the chassis.
o MSFC#session slot 3 proc 1
· Create Layer 3 interfaces on the [u][b][color=#ff0000]FWSM[/color][/b][/u]. The command to do this is “nameif &vlan# &interface name &security level” in
global config mode.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nameif 10 outside 0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#ip address outside 206.10.10.2 255.255.255.0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nameif 20 inside 100
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#ip address inside 10.20.20.1 255.255.255.0
· Add default route to Outside security level on the [u][b][color=#ff0000]FWSM[/color][/b][/u].
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#route outside 0.0.0.0 0.0.0.0 206.10.10.1 1
· Configure a STATIC NAT entry for hosts A and B to be seen by outside users.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#static (inside,outside) 206.10.10.25 10.20.20.25 netmask 255.255.255.255 ?Host A
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#static (inside,outside) 206.10.10.26 10.20.20.26 netmask 255.255.255.255 ?Host B
· Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nat (inside) 1 0 0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#global (outside) 1 206.10.10.100
· Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the
outside security level.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#access-list outside-acl permit tcp any host 206.10.10.25 eq www
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp-data
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit icmp any host 206.10.10.25 (this allows outside users to ping)
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#access-list outside-acl permit tcp any host 206.10.10.26 eq www
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp-data
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)# access-list outside-acl permit icmp any host 206.10.10.26 ?(this allows outside users to ping)
· Now apply the defined access-list "outside-acl" to the outside interface as follows:
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#access-group outside-acl in interface outside

2

OUTSIDE—vlan10—[u][b][color=#ff0000]FWSM[/color][/b][/u]—vlan20—MSFC—vlan30—CORE——HOST 与上面例子的不同之处在于:
[u][b][color=#ff0000]FWSM[/color][/b][/u]通过vlan10连接外部,所以65连接外部的g8/1要属于vlan10
o MSFC(config)#interface gigabit 8/1
o MSFC(config-int)# switchport
o MSFC(config-int)#switchport mode access
o MSFC(config-int)#switchport access vlan 10
o MSFC(config-int)#no shutdown
MSFC上使用静态路由即可
o MSFC(config)#ip route 0.0.0.0 0.0.0.0 10.20.20.1
[u][b][color=#ff0000]FWSM[/color][/b][/u]使用静态路由以便使外部数据可以进入内部
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#route inside 10.0.0.0 255.0.0.0 10.20.20.2


3

DMZ
|
vlan50
|
OUTSIDE——MSFC—vlan10—[u][b][color=#ff0000]FWSM[/color][/b][/u]—vlan20—CORE——HOST的配置过程比1增加了如下:
|
vlan60
|
DMZ
· Create the DMZ VLAN’s on the MSFC in global config mode
o MSFC(config)#vlan 50
o MSFC(config-vlan)#no shutdown
o MSFC(config)#vlan 60
o MSFC(config-vlan)#no shutdown
· Add VLAN’s 50 and 60 to the firewall-vlan group created in Configuration #1.
o MSFC(config)#firewall vlan-group 1 50,60
DMZ的计算机连接端口要设成switchport以便[u][b][color=#ff0000]FWSM[/color][/b][/u]可以看到
o MSFC(config)#interface FastEthernet 7/1
o MSFC(config-int)#switchport
o MSFC(config-int)switchport mode access
o MSFC(config-int)switchport access vlan 60
o MSFC(config-int)no shutdown
· Session to the [u][b][color=#ff0000]FWSM[/color][/b][/u] as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ security levels.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nameif 60 dmz1 60
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nameif 50 dmz2 50
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#ip address dmz1 10.60.60.1 255.255.255.0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#ip address dmz2 10.50.50.1 255.255.255.0
· To enable users to be able to connect with the servers in the DMZ’s, STATIC and NAT translations will have to be
established depending upon the direction of the traffic flow.
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nat (dmz1) 2 10.60.60.0 255.255.255.0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#global (outside) 2 206.10.10.60
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#global (dmz2) 2 10.50.50.200
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#nat (dmz2) 3 10.50.50.0 255.255.255.0
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#global (outside) 3 206.10.10.50
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#static (inside,dmz1) 10.60.60.60 10.20.20.25 netmask 255.255.255.255
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#static (inside,dmz2) 10.50.50.50 10.20.20.25 netmask 255.255.255.255
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#static (dmz1,dmz2) 10.50.50.50 10.60.60.25 netmask 255.255.255.255
有关acl
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#access-list web permit tcp any host 206.10.10.125 eq www
o [u][b][color=#ff0000]FWSM[/color][/b][/u](config)#access-list web permit tcp any host 206.10.1

2007-7-16 02:46 PM yelangdy
HSRP 和 GLBP的比较


小弟最近在改造公司的网络,三台6509,其中两台上面配置了FWSM和IDS模块,另外一块没有,三台6509放置在两个机房,主机房为一台有FWSM和IDS模块的6509和一台没有FWSM和IDS模块的6509,备份机房放置一台配置了FWSM和IDS模块的6509。
小弟网络中有若干VLAN需要透传于这三台6509之间,请教是否可以使用GLBP协议?
GLBP协议和HSRP协议各自具备哪些优劣特性。

2007-3-9 14:34

链路冗余:HSRP/SLB/VRRP/GLBP简单理解

一、HSRP介绍及相关配置

1)HSRP介绍
全称Hot Standby Routing Protocol,原理比较简单,类似于服务器HA群集,
两台或更多的路由器以同样的方式配置成Cluster,创建出单个的虚拟路由器,
然后客户端将网关指向该虚拟路由器。
最后由HSRP决定哪个路由器扮演真正的默认网关。

具体说,HRSP用于在源主机无法动态地学习到网关IP地址的情况下防止默认路由的失败。
它主要用于多接入,多播和广播局域网(例如以太网)。

2)相关技术介绍
局域网中,在主网关失效瘫痪的情况下,如何找到备份网关,主要有以下几种办法:

proxy ARP
IRDP
动态路由
HSRP

Proxy ARP
支持Proxy ARP 的计算机无论与本网段的计算机还是不同网段的计算机进入通讯都发送ARP广播以寻找与目的地址相对应的MAC地址,
这时,知道目的地址的路由器会响应ARP的请求,并将自己的MAC地址广播给源计算机,
然后源计算机就将IP数据包发给该路由器,并由路由器最终将数据包发送到目的。

ARP代理的主要缺点是切换时间长,如果主网关正在传输数据时失效,客户机仍然会继续发包,导致传输中断,
只有再另外发送Proxy ARP请求或重新启动之后才能找到备用网关以进行传输。

IRDP
支持IRDP的客户机会监听主网关发出的“Hello”的多点广播信息包,
如果该计算机不再收到“Hello”信息时,它就会利用备份路由器进行数据传输。

动态路由
如果使用动态路由来实现网关切换,则存在收敛过慢和内存占用的问题。

HRSP
自动切换

3)HRSP原理
需要注意的是,Cluster里的每个成员路由器仍然是标准的路由器,
客户端仍然可以将成员路由器配置成其默认网关。

在Cisco路由器中,最多可以配置256个HSRP组,
因为HSRP能够使用的MAC地址类似于:0000.0c07.ac**。

HRSP每隔3秒发送hello包,包括group ID,HSRP group和优先级(默认为100)。
路由器彼此之间依据优先级,确定优先级最高的路由器是活动路由器。
如果优先级相同,在IP地址高的成为活动路由器。

在HRSP组中,只允许同时存在一个活动路由器,其他路由器都处于备用状态,
备用路由器不转发数据包。

如果备用路由器持续不断地收到活动路由器发来的hello包,
则其会一直处于备用状态。
一旦备用路由器在规定的时间内(Hold Time,默认10秒)没有收到hello包,,
则认为活动路由器失效,
优先级最高的备用路由器就接替活动路由器的角色,开始转发数据包。

4)HRSP preempt技术
HRSP技术能够保证优先级高的路由器失效恢复后总能处于活动状态。

活动路由器失效后,优先级最高的备用路由器处于活动状态,
如果没有使用preempt技术,
则当活动路由器恢复后,只能处于备用状态,
先前的备用服务器代替其角色处于活动状态,直到下一次选举发生。

5)HRSP track技术
如果所监测的端口出现故障,则也可以进行路由器的切换。

如果主路由器上有多条线路被跟踪,
则当一条线路出现故障时,就会切换到备份路由器上,即使其他都线路正常工作,
直到主路由器该线路正常工作,才能重新切换回来。

该功能在实际应用中完全可以由线路备份功能实现。

6)HRSP配置
routerA#conf t
routerA(config)#int e0
routerA(config)#standby ip 172.16.1.254
routerA(config)#standby preempt
routerA(config)#standby track serial 0
routerA(config)#exit
routerA#


二、SLB介绍及相关配置

1)SLB介绍
全称Server Load Balancing,可以看作HSRP的扩展,实现多个服务器之间的复杂均衡。

虚拟服务器代表的是多个真实服务器的群集,
客户端向虚拟服务器发起连接时,通过某种复杂均衡算法,转发到某真实服务器。

负载均衡算法有两种:
Weighted round robin(WRR)和Weighted least connections(WLC),
WRR使用加权轮询算法分配连接,WLC通过一定的权值,将下一个连接分配给活动连接数少的服务器。

2)SLB配置
配置分为两部分,
第一部分是使用slb serverfarm serverfarm_name命令定义SLB选项,包括指定真实服务器地址;
第二部分是使用ip slb vserver virtual_server-name来指定虚拟服务器地址。

router#config t
router(config)#ip slb serverfarm email
router(config-slb-sfarm)#real 192.168.1.1
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#real 192.168.1.2
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#exit
router(config)#ip slb vserver vserver_one
router(config-slb-vserver)#vitual 10.1.1.1 tcp 25
router(config-slb-vserver)#serverfarm email
router(config-slb-vserver)#inservice
router(config-slb-vserver)#exit
router(config)#exit
router#

三、VRRP介绍

全称Virtual Router Redundancy Protocol,和HSRP类似,
只是HSRP是Cisco专有的协议,只应用在Cisco设备上。
VRRP符合Internet标准,定义见RFC2338,是不同厂家之间共同遵循的标准。
VRRP负责从VRRP路由器组中选择一个作为Master,
然后客户端使用虚拟路由器地址作为其默认网关。
配置例子见:[url]http://www.2umm.com/xxlr1.asp?id=6134[/url]

四、GLBP介绍及配置

1)GLBP介绍
全称Gateway Load Banancing Protocol,
和HRSP、VRRP不同的是,GLBP不仅提供冗余网关,还在各网关之间提供负载均衡,
而HRSP、VRRP都必须选定一个活动路由器,而备用路由器则处于闲置状态。

和HRSP不同的是,GLBP可以绑定多个MAC地址到虚拟IP,
从而允许客户端选择不同的路由器作为其默认网关,而网关地址仍使用相同的虚拟IP,
从而实现一定的冗余。

2)活动网关选举
使用类似于HRSP的机制选举活动网关,
优先级最高的路由器成为活动落由器,称作Acitve Virtual Gateway,其他非AVG提供冗余。

某路由器被推举为AVG后,和HRSP不同的工作开始了,AVG分配虚拟的MAC地址给其他GLBP组成员。
所有的GLBP组中的路由器都转发包,
但是各路由器只负责转发与自己的虚拟MAC地址的相关的数据包。

3)地址分配
每个GLBP组中最多有4个虚拟MAC地址,非AVG路由器有AVG按序分配虚拟MAC地址,
非AVG也被称作Active Virtual Forwarder(AVF)。

AVF分为两类:Primary Virtual Forwarder和Secondary Virtual Forwarder。
直接由AVG分配虚拟MAC地址的路由器被称作Primary Virtual Forwarder,
后续不知道AVG真实IP地址的组成员,只能使用hellos包来识别其身份,然后被分配虚拟MAC地址,此类被称作Secondary Virtual Forwarder。

4)GLBP配置
如果AVG失效,则推举就会发生,决定哪个AVF替代AVG来分配MAC地址,推举机制依赖于优先级。
最多可以配置1024个GLBP组,不同的用户组可以配置成使用不同的组AVG来作为其网关。

router#conf t
router(config)#int fastethernet 0/0
router(config-if)#ip address 10.1.1.1
router(config-if)#glbp 99 ip 10.1.1.254
router(config-if)#glbp 99 priority 105
router(config-if)#glbp 99 preempt delay 10
router(config-if)#glbp 99 weighting track int s0 10
router(config-if)#exit
router(config)#^Z

2007-7-16 02:48 PM yelangdy
Downloads
思科Catalyst 6500系列和思科7600系列的防火墙服务模块产品资料

(PDF - 605 KB)


Cisco Catalyst&reg; 6500交换机和Cisco 7600系列路由器的防火墙服务模块(FWSM)是一种高速的、集成化的服务模块,可以提供业界最快的防火墙数据传输速率:5Gb的吞吐量,100000CPS,以及一百万个并发连接。在一个设备中最多可以安装四个FWSM,因而每个设备最高可以提供20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的一部分,FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。
FWSM采用了Cisco PIX技术,并且运行Cisco PIX操作系统(OS)--一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用ASA,FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。
FWSM的主要优点防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护企业网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。FBI的统计数据显示,70%的安全问题都来自于企业内部。在FBI开展的调查中,五分之一的受访者表示,在过去12个月中,有入侵者闯入或者试图闯入他们的企业网络。大部分专家都认为,大多数网络入侵活动都没有被检测出来。
集成模块 FWSM安装在Cisco Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部,让这些设备的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。Cisco Catalyst 6500 真正成为了那些需要各种智能化服务(例如防火墙接入、入侵检测、虚拟专用网(×××))和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。
适应未来需要FWSM可以支持5Gb的吞吐量,因而可以提供无以伦比的性能,让用户无须对系统进行彻底的升级,就可以满足未来的要求。在Catalyst 6500中最多可以添加三个FWSM,以满足用户不断发展的需求。
可靠性FWSM建立在Cisco PIX技术的基础之上,并使用了同一个经过时间检验的Cisco PIX操作系统--一个安全的、实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组,从而可以在同一个平台上×××能和安全的独特组合。
低廉的整体运营成本FWSM可以提供所有防火墙中最佳的性能价格比。Cisco Catalyst机型的SmartNet&reg; 合同中包含了维护成本。由于FWSM是基于Cisco PIX防火墙的,所以培训和管理成本都很低,而且由于它是集成在设备内部的,所以大大减少了需要管理的设备的数量。
易用性Cisco PIX 设备管理器的直观的图形化用户界面(GUI)可以用于管理和配置FWSM。在配置和监控方面,FWSM可以获得思科管理框架和Cisco AVVID(集成化语音、视频和数据体系结构)合作伙伴的支持。
FWSM 特性[tr]FWSM 特性[/tr][tr]主要特性 优点[/tr] 性能 5 Gbps 一百万个并发连接 每秒建立和断开超过10万个连接
多种接口 最多可以支持100个防火墙VLAN--任何Cisco Catalyst 4000 VLAN都可以充当防火墙VLAN 支持802.1q 和ISL 协议
切入型代理 对每个VLAN实施安全策略
主要特性 优点
配置支持 控制台到命令行界面(CLI) Telnet 到Cisco PIX防火墙的内部接口 基于IPSec的Telnet到Cisco PIX防火墙的外部接口 SSH到 CLI SSL 到 Cisco PIX 设备管理器
AAA 支持 通过TACACS+和RADIUS支持,集成常见的身份认证、授权和记帐服务
NAT/PAT 支持 提供动态/静态的网络地址解析(NAT)和端口地址解析(PAT)
Cisco PIX 设备管理器(PDM) 简便、直观、基于Web的GUI可以支持远程防火墙管理 多种基于实时数据和历史数据的报告可以提供使用趋势、基本性能和安全事件等信息
安全网络管理 安全的、采用三重数据加密标准 (3DES)加密的网络管理接入
访问控制列表 最多支持128000条访问控制列表
URL 过滤 在服务器中设定策略,并利用Websense软件检查输出的URL请求
命令授权 对所有CLI设置优先级,创建与这些优先级对应的用户账号或者登录环境。
对象群组 能够组合网络对象(例如主机)和服务(例如ftp和http)
防范 DoS DNS 保护 Flood Defender Flood Guard TCP 阻截 单播反向路径发送 FragGuard和虚拟重组
路由 静态路由 动态;例如路由信息协议(RIP)和开放最短路径优先(OSPF)
高可用性 状态故障恢复--设备内部和设备之间
日志 全面的系统日志、FTP、URL和ACL日志  
其他协议 H.323 V2 基于IP的NetBios RAS 第二版本 RTSP SIP XDMCP Skinny

FWSM 部署FWSM可以部署在企业园区的数据中心的网络拓扑中。
今天的企业不仅仅需要周边安全,还需要连接业务伙伴和提供园区安全区域,为企业中的各个部门提供安全服务。FWSM可以通过让用户和管理员以不同的策略在企业中设立安全域,提供一种灵活、经济、基于性能的解决方案。图2显示了一个利用状态过滤来建立不同的、基于VLAN的安全域的园区部署。
园区部署利用FWSM,用户可以为不同的VLAN制定相应的策略。
数据中心也需要用状态防火墙安全解决方案来保护数据,并以尽可能低的成本提供千兆位的性能。
电子商务数据中心部署FWSM可以通过在防火墙中提供最佳的性能价格比,最大限度地提高资本投资效率,让客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。
订购信息[tr]订购信息[/tr][tr]产品编号说明[/tr] WS-SVC-FWM-1-K9 用于Cisco Catalyst 6500的防火墙服务模块
WS-SVC-FWM-1-K9= 用于Cisco Catalyst 6500的防火墙服务模块(备件)
SC-SVC-FWM-1.1-K9 用于Catalyst 6500的防火墙模块软件
SC-SVC-FWM-1.1-K9= 用于Catalyst 6500的防火墙模块软件(备件)
使用许可FWSM不需要任何使用许可。
系统要求
Supervisor 2/多层交换功能卡2 (MSFC2)
内置Cisco IOS&reg; 软件,版本在12.1(13)E以上
综合CatOS 最低软件版本7.5(1)
在Cisco Catalyst 6500系列交换机或者Cisco 7600系列互联网路由器中占有一个插槽
在同一个设备中最多安装四个防火墙模块
政策法规安全
UL 1950
CSA C22.2 No. 950-95
EN60950
EN60825-1
TS001
CE Marking
IEC 60950
AS/NZS3260
EMI
FCC Part 15 Class A
ICES-003 Class A
VCCI Class B
EN55022 Class B
CISPR22 Class B
CE Marking
AS/NZS3548 Class B
NEBS
SR-3580 - NEBS: 标准等级 (符合第三级)
GR-63-CORE - NEBS: 物理保护
GR-1089-CORE - NEBS: EMC 和安全
ETSI
ETS-300386-2 交换设备
电信
ITU-T G.610
ITU-T G.703
ITU-T G.707
ITU-T G.783 Sections 9-10
ITU-T G.784
ITU-T G.803
ITU-T G.813
ITU-T G.825
ITU-T G.826
ITU-T G.841
ITU-T G.957 Table 3
ITU-T G.958
ITU-T I.361
ITU-T I.363
ITU I.432
ITU-T Q.2110
ITU-T Q.2130
ITU-T Q.2140
ITU-T Q.2931
ITU-T O.151
ITU-T O.171
ETSI ETS 300 417-1-1
TAS SC BISDN (1998)
ACA TS 026 (1997)
BABT /TC/139 (Draft 1e)
 
 
 
防止内网用户乱该ip地址,用户只能用给定的ip,如果改ip地址,则无法访问网络资源。
例如:做了下述配置后(arp inside 10.64.64.29 000f.b0d8.a504),mac地址为000f.b0d8.a504的pc
只能使用ip10.64.64.29来访问网络资源,如果该ip则无法访问。
pix515e# sh run
: Saved
:
PIX Version 7.2(1)
!
hostname pix515e
domain-name cisco
enable password N7FecZuSHJlVZC2P encrypted
做名字解析
****************************************************
names
name 10.64.64.113 chengxiaojie
name 10.64.64.13 dhcp
name 10.64.64.71 liuyongjun
name 10.64.64.72 liuyongjun-ibm
name 10.64.64.39 lixiaoliang
name 10.64.64.103 lixuesong
name 10.64.64.17 lulianying
name 10.64.64.92 qizuomeng
name 10.64.64.69 wangzhili
name 10.64.64.105 xingzhonghe
name 10.64.64.45 tanjun
name 10.64.64.108 zhangyi
name 10.64.64.178 hujian
name 10.64.64.93 ibm220
name 10.64.64.62 jiling
name 10.64.64.111 yangliu
name 10.64.64.112 wangsishen
name 10.64.64.158 wangyuguo
name 10.64.64.52 lishihai
name 10.64.64.78 office-teacher
name 10.64.64.48 yangjin
name 10.64.64.104 wutao
name 10.64.64.63 zangdong
name 10.64.64.80 xiaoguangyue
name 10.64.64.14 ibm235
name 10.64.64.222 lixuesong-dell
name 10.64.64.75 maxiaopeng
name 10.64.64.215 lintao
name 10.64.64.199 machi
name 10.64.64.216 liuxuesong
name 10.64.64.246 jiachangjing
name 10.64.64.61 chufw
****************************************************
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address X.X.76.26 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.64.64.2 255.255.240.0
!
interface Ethernet2
 nameif dmz
 security-level 80
 ip address 192.168.0.1 255.255.255.0
!
passwd N7FecZuSHJlVZC2P encrypted
!
time-range worktime
 periodic daily 8:00 to 17:00
!
ftp mode passive
clock timezone CST 8
dns domain-lookup outside
dns server-group DefaultDNS
 name-server 219.150.32.132
 domain-name cisco
做object-group以便在acl里被调用(注:object-group是个好东东,可以大大简化acl的配置)
****************************************************
object-group network www
 network-object host xingzhonghe
 network-object host chengxiaojie
 network-object host dhcp
 network-object host liuxuesong
 network-object host wangzhili
 network-object host liuyongjun
 network-object host liuyongjun-ibm
 network-object host lulianying
 network-object host chufw
 network-object host jiachangjing
 network-object host maxiaopeng
 network-object host 10.64.64.255
object-group network guest
 network-object 10.64.66.112 255.255.255.240
object-group network caiwu
 network-object 10.64.66.0 255.255.255.224
object-group service netmeeting tcp
 port-object range 1503 1503
 port-object range h323 h323
object-group network worktime
 network-object host wutao
 network-object host zhangyi
 network-object host yangliu
 network-object host wangsishen
 network-object host wangyuguo
 network-object host 10.64.64.169
 network-object host 10.64.64.18
 network-object host machi
 network-object host lintao
 network-object host liuxuesong
 network-object host lixuesong-dell
 network-object host 10.64.64.247
 network-object host 10.64.64.29
 network-object host 10.64.64.30
 network-object host yangjin
 network-object host lishihai
 network-object host 10.64.64.55
 network-object host jiling
 network-object host office-teacher
****************************************************

access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit tcp any any object-group netmeeting
调用上述的object-group到acl
****************************************************
access-list inside_access_in extended deny ip any 192.168.0.0 255.255.255.0
access-list inside_access_in extended permit ip object-group caiwu 192.168.0.0 255.255.255.0
access-list inside_access_in extended permit ip object-group www any
access-list inside_access_in extended permit ip object-group guest any inactive
access-list inside_access_in extended deny tcp any any eq 1863
access-list inside_access_in extended permit ip host lixiaoliang host 211.147.77.98
access-list inside_access_in extended permit ip host qizuomeng host 211.147.77.98
access-list inside_access_in extended permit ip object-group worktime any time-range worktime
access-list inside_access_in extended permit ip host ibm235 any time-range worktime inactive
****************************************************
access-list remote_splitTunnelAcl standard permit 10.64.64.0 255.255.240.0
access-list inside_nat0_outbound extended permit ip 10.64.64.0 255.255.240.0 1.1.1.0 255.255.255.0
access-list outside_cryptomap extended permit ip any 1.1.1.0 255.255.255.0
access-list caiwu_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0
access-list outside_cryptomap_1 extended permit ip any 1.1.1.0 255.255.255.0
access-list dmz_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 1.1.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip local pool remote 1.1.1.1-1.1.1.254 mask 255.255.255.0
ip local pool caiwu 2.2.2.1-2.2.2.254 mask 255.255.255.0
no failover
asdm p_w_picpath flash:/asdm.bin
no asdm history enable
把ip和mac绑定
****************************************************
arp inside 10.64.64.29 000f.b0d8.a504
arp inside 10.64.64.247 000b.2f04.7dd8
arp inside 10.64.64.169 0016.17f2.2eb3
arp inside lintao 000a.e6b2.c4c6
arp inside liuxuesong 00e0.4c58.b7cd
arp inside lishihai 000a.e69b.f4dc
arp inside ibm235 0009.6ba5.49c5
arp inside maxiaopeng 000c.764d.6aa8
arp inside xiaoguangyue 0011.09b4.6f25
arp inside zangdong 00e0.4cc1.2a14
arp inside wutao 0013.d47d.0c36
arp inside office-teacher 0090.9626.7da7
arp inside yangjin 00e0.4d01.6b1b
arp inside wangyuguo 00e0.4c21.471d
arp inside wangsishen 0015.c50f.92a5
arp inside yangliu 0015.f299.7f6c
arp inside jiling 00e0.4cc1.2a34
arp inside hujian 0011.252f.8613
arp inside ibm220 0002.556d.0037
arp inside jiachangjing 00e0.4d01.6b30
arp inside tanjun 0013.7222.5fe5
arp inside wangzhili 000d.6004.c197
arp inside lixiaoliang 0014.782f.b989
arp inside liuyongjun-ibm 0010.c6de.2686
arp inside lulianying 0016.3563.db1b
arp inside liuyongjun 0000.e25a.8580
arp inside lixuesong 0017.3152.8e78
arp inside chengxiaojie 0016.3564.8a6b
arp inside xingzhonghe 00e0.4c60.a8da
arp inside dhcp 0014.5e2b.77b5
arp inside zhangyi 0013.7222.4819
arp inside lixuesong-dell 0018.8ba2.d1c5
arp inside machi 000a.e6b5.0600
arp inside 10.64.64.18 0015.c510.12d4
****************************************************
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 10.64.64.0 255.255.240.0
nat (dmz) 0 access-list dmz_nat0_outbound
static (inside,outside) tcp interface 1503 chufw 1503 netmask 255.255.255.255
static (inside,outside) tcp interface h323 chufw h323 netmask 255.255.255.255
access-group outside_access_in in interface outside
应用acl到inside端口
****************************************************
access-group inside_access_in in interface inside
****************************************************
route outside 0.0.0.0 0.0.0.0 X.X.76.25 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy caiwu internal
group-policy caiwu attributes
 dns-server value 219.150.32.132
 vpn-tunnel-protocol IPSec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value caiwu_splitTunnelAcl
group-policy remote internal
group-policy remote attributes
 dns-server value 219.150.32.132
 vpn-tunnel-protocol IPSec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value remote_splitTunnelAcl
username chufw password hs6C0g7Y0Zza/dVN encrypted privilege 15
username chufw attributes
 vpn-group-policy remote
 vpn-framed-ip-address 1.1.1.111 255.255.255.0
http server enable
http chufw 255.255.255.255 inside
http 219.148.242.228 255.255.255.255 outside
http 219.148.242.227 255.255.255.255 outside
http 1.1.1.111 255.255.255.255 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-SHA
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp policy 65535
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group remote type ipsec-ra
tunnel-group remote general-attributes
 address-pool remote
 default-group-policy remote
tunnel-group remote ipsec-attributes
 pre-shared-key *
tunnel-group caiwu type ipsec-ra
tunnel-group caiwu general-attributes
 address-pool remote
 default-group-policy caiwu
tunnel-group caiwu ipsec-attributes
 pre-shared-key *
telnet chufw 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
ntp server 207.46.130.100 source outside
tftp-server inside chufw pix
prompt hostname context
Cryptochecksum:c02e836587f08fa6ce4699df28408774
: end
pix515e#   
 
 
应用指南:思科PIX防火墙设置详解

在本期应用指南中,管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。

  假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说,这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后,这个设置就很容易了。下面,让我们看看如何进行设置。

  思科PIX防火墙的基础

  思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中,我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。

  PIX防火墙有内部和外部接口的概念。内部接口是内部的,通常是专用的网络。外部接口是外部的,通常是公共的网络。你要设法保护内部网络不受外部网络的影响。

  PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。

  下面是显示“nameif”命令的输出情况:

  pixfirewall# show nameif

  nameif ethernet0 outside security0

  nameif ethernet1 inside security100

  pixfirewall#

  请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。

  指南

  在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是:

  ·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。

  ·内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。

  ·外部网络是1.1.1.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的外部IP地址应该是1.1.1.1。

  ·你要创建一个规则允许所有在10.0.0.0网络上的客户做端口地址解析并且连接到外部网络。他们将全部共享全球IP地址1.1.1.2。

  ·然而,客户只能访问端口80(网络浏览)。

  ·用于外部(互联网)网络的默认路由是1.1.1.254。

  设置

  当你第一次启动PIX防火墙的时候,你应该看到一个这样的屏幕显示:

  你将根据提示回答“是”或者“否”来决定是否根据这个互动提示来设置PIX防火墙。对这个问题回答“否”,因为你要学习如何真正地设置防火墙,而不仅仅是回答一系列问题。

  然后,你将看到这样一个提示符PIX ASA 资料_ASA_03ixfirewall>

  在提示符的后面有一个大于号“>”,你处在PIX用户模式。使用en或者enable命令修改权限模式。在口令提示符下按下“enter”键。下面是一个例子:

  pixfirewall> en

  Password:

  pixfirewall#

  你现在拥有管理员模式,可以显示内容,但是,你必须进入通用设置模式来设置这个PIX防火墙。

  现在让我们学习PIX防火墙的基本设置:

  PIX防火墙的基本设置

  我所说的基本设置包括三样事情:

  ·设置主机名

  ·设置口令(登录和启动)

  ·设置接口的IP地址

  ·启动接口

  ·设置一个默认的路由

  在你做上述任何事情之前,你需要进入通用设置模式。要进入这种模式,你要键入:

  pixfirewall# config t

  pixfirewall(config)#

  要设置主机名,使用主机名命令,像这样:

  pixfirewall(config)# hostname PIX1

  PIX1(config)#

  注意,提示符转变到你设置的名字。

  下一步,把登录口令设置为“cisco”(思科),像这样:

  PIX1(config)# password cisco

  PIX1(config)#

  这是除了管理员之外获得访问PIX防火墙权限所需要的口令。

  现在,设置启动模式口令,用于获得管理员模式访问。

  PIX1(config)# enable password cisco

  PIX1(config)#

  现在,我们需要设置接口的IP地址和启动这些接口。同路由器一样,PIX没有接口设置模式的概念。要设置内部接口的IP地址,使用如下命令:

  PIX1(config)# ip address inside 10.1.1.1 255.0.0.0

  PIX1(config)#

  现在,设置外部接口的IP地址:

  PIX1(config)# ip address outside 1.1.1.1 255.255.255.0

  PIX1(config)#

  下一步,启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意,ethernet0接口是外部接口,它在PIX 501防火墙中只是一个10base-T接口。ethernet1接口是内部接口,是一个100Base-T接口。下面是启动这些接口的方法:

  PIX1(config)# interface ethernet0 10baset

  PIX1(config)# interface ethernet1 100full

  PIX1(config)#

  注意,你可以使用一个显示接口的命令,就在通用设置提示符命令行使用这个命令。

  最后,让我们设置一个默认的路由,这样,发送到PIX防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的IP地址是1.1.1.254)。你可以这样做:

  PIX1(config)# route outside 0 0 1.1.1.254

  PIX1(config)#

  当然,PIX防火墙也支持动态路由协议(如RIP和OSPF协议)。

  现在,我们接着介绍一些更高级的设置。

  网络地址解析

  由于我们有IP地址连接,我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用一种称作“PAT”或者“NAT Overload”的网络地址解析。这样,所有内部设备都可以共享一个公共的IP地址(PIX防火墙的外部IP地址)。要做到这一点,请输入这些命令:

  PIX1(config)# nat (inside) 1 10.0.0.0 255.0.0.0

  PIX1(config)# global (outside) 1 1.1.1.2

  Global 1.1.1.2 will be Port Address Translated

  PIX1(config)#

  使用这些命令之后,全部内部客户机都可以连接到公共网络的设备和共享IP地址1.1.1.2。然而,客户机到目前为止还没有任何规则允许他们这样做。

  防火墙规则

  这些在内部网络的客户机有一个网络地址解析。但是,这并不意味着允许他们访问。他们现在需要一个允许他们访问外部网络(互连网)的规则。这个规则还将允许返回的通信。

  要制定一个允许这些客户机访问端口80的规则,你可以输入如下命令:

  PIX1(config)# access-list outbound permit tcp 10.0.0.0 255.0.0.0 any eq 80

  PIX1(config)# access-group outbound in interface inside

  PIX1(config)#

  注意:与路由器访问列表不同,PIX访问列表使用一种正常的子网掩码,而不是一种通配符的子网掩码。

  使用这个访问列表,你就限制了内部主机访问仅在外部网络的Web服务器(路由器)。

  显示和存储设置结果

  现在你已经完成了PIX防火墙的设置。你可以使用显示命令显示你的设置。

  确认你使用写入内存或者“wr m”命令存储你的设置。如果你没有使用这个命令,当关闭PIX防火墙电源的时候,你的设置就会丢失。