思科防火墙完全配置_cisco防火墙配置图文

思科防火墙完全配置由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“cisco防火墙配置图文”。

第五章 防火墙的具体应用

远键实业公司是一个典型的中小企业。大概100 人左右。是一家科技企业，主要从事计算机 系统集成服务，大约有100 人左右，分为市场部、财务部、销售部、人力资源部、办公室、网络管理部、工程部，网络分成内网、外网。内网经常感染病毒，蠕虫，而且某些员工使用 工具进行大数据量下载也影响网络正常工作，有时也发现来自外网黑客攻击现象，同时公司 随着业务的发展也将扩大宣传，考虑建立一个Web 服务器用来对外发布信息。公司领导和 网络部经过仔细讨论，决定在公司现有网络基础上部署一台防火墙。防火墙有很多种，国外 和国内有很多防火墙。经过选型后公司选择一款Cisco PIX 515 防火墙。公司拓扑结构如下：

公司网络要求

一、配置公司PIX划分内网、外网及DMZ区域：

远键实业公司的规模并不是很大，网络拓扑结构如上图，分为内网、外网。在满足 内网用户快速访问INTERNET 的同时有效防止来自外网黑客攻击；此外，公司随着业务的 发展也需要扩大宣传，市场部考虑建立电子营销，所以希望建立一个Web 服务器用来对外 发布业务信息。公司网络管理部门决定在公司的防火墙上部署在内网和外网之 间配置PIX划分内网、外网及DMZ区域。pixfirewall>ena pixfirewall# #进入全局配置模式 pixfirewall# conf t #配置防火墙接口的名字，并指定安全级别（nameif）。pixfirewall(config)#int e0 pixfirewall(config-if)# nameif inside pixfirewall(config-if)# security-level 100 pixfirewall(config)#int e1 pixfirewall(config-if)# nameif dmz pixfirewall(config-if)# security-level 50 pixfirewall(config)#int e2 pixfirewall(config-if)# nameif outside pixfirewall(config-if)# security-level 0 security-leve 0 是外部端口outside 的安全级别（0 安全级别最高）

security-leve 100 是内部端口inside 的安全级别,如果中间还有以太口，则security-leve 10，security-leve 20 等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz security-leve 50 是停火区dmz 的安全级别。#配置内外网卡的IP 地址 pixfirewall(config)#int e0 pixfirewall(config-if)# ip addre 192.168.2.200 255.255.255.0 pixfirewall(config-if)# no shut pixfirewall(config)#int e1 pixfirewall(config-if)# ip addre 10.1.1.2 255.255.255.0 pixfirewall(config-if)# no shut pixfirewall(config)#int e1 pixfirewall(config-if)# ip addre 202.99.88.2 255.255.255.0 pixfirewall(config-if)# no shut 在配置内外网卡的IP 地址时注意别忘了用no shutdown 命令来激活端口。（no shut 是no shutdown 的简写）。

#允许内部网络服务器telnet pix（允许远程登录到防火墙）pixfirewall(config)# telnet 192.168.2.0 255.255.255.0 inside #同时你也可以允许外部网络服务器远程登录到防火墙命令如下 pix515(config)# telnet 202.99.88.0 255.255.255.0 outside 但为了安全最好是只允许内部网络服务器远程登录到防火墙，保证防火墙的安全。#配置远程登录密码

Pix515(config)# paword 123456 以上表明远程登录密码为 123456 #保存配置 write memory 在配置完成后，要记住保存配置，以便以后进一步的配置及管理。、配置DMZ #设置DMZ 接口IP 地址，设置好后可以按拓扑结构图测试从PIX 上ping 10.1.1.2 检查连通性。

pixfirewall(config)#int e1 pixfirewall(config-if)# ip addre 10.1.1.2 255.255.255.0 #允许DMZ 主机访问外部网络icmp 协议

pixfirewall(config-if)# acce-list acl_dmz permit icmp any any #应用策略到DMZ 接口 把acl_dmz 规则邦定到dmz 端口上使之生效 pixfirewall(config-if)# acce-group acl_dmz in interface dmz #发布DMZ 服务器到因特网 设置静态的因特网、局域网、dmz 区的访问关系 static(dmz,outside)202.99.88.2 10.1.1.2 netmask 255.255.255.255 #设置策略允许因特网访问DMZ 服务器80 端口

pixfirewall(config)# acce-list 100 permit tcp any host 202.99.88.2 eq 80 #将10.1.1.100 上的www.daodoc.complete Loading np5.bin from 192.168.2.100(via Ethernet0/0):！！！！！！！文件下载成功后操作终端显示器会提示： Do you wish to erase the pawords? [y/n] y Pawords have been erased.因为设备众多，口令也就多了，非常容易混淆和忘记口令。忘记口令后，恢复口令就相 当重要了。掌握了恢复口令，会对工作有很大的帮助。

十、PIX防火墙VPN的实现

公司员工经常需要通过Internet 与客户进行通信，由于Internet 是一个不安全的网 络，其中公司有一些商业文档需要机密，公司网络部希望公司员工防火墙能够保障通过 Internet 与公司重要客户进行通信时实现信息传输保密。对PIX 防火墙进行配置，实现VPN。

一、基础知识： PPTP：点对点隧道协议

点对点隧道协议（PPTP： Point to Point Tunneling Protocol）是一种支持多协议虚 拟专用网络的网络技术。通过该协议，远程用户能够通过 Microsoft Windows NT 工作站、Windows XP 操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本 地 ISP，通过 Internet 安全链接到公司网络。

PPTP 可以用于在 IP 网络上建立 PPP 会话隧道。在这种配置下，PPTP 隧道和

PPP 会话运行在两个相同的机器上，呼叫方充当 PNS.PPTP 使用客户机－服务器结构来分 离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP 作为一个呼叫控制和管 理协议，它允许服务器控制来自 PSTN 或 ISDN 的拨入电路交换呼叫访问并初始化外部电路交换连 接。

PPTP 只能通过 PAC 和 PNS 来实施，其它系统没有必要知道 PPTP.拨号网络可与 PAC 相连接而无需知道 PPTP.标准的 PPP 客户机软件可继续在隧道 PPP 链接上操作。PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS 之间 传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且 避免了不必要的重发和缓冲区溢出。PPTP 没有规定特定的算法用于低层控制，但它确实定 义了一些通信参数来支持这样的算法工作。

二、配置

1、命令行方式直接在PIX上配置PPTP的VPN，即PIX作为PPTP方式VPDN的服务器 ip local pool pptp 10.0.0.1-10.0.0.50 //定义一个pptp 方式的vpdn拨入后获得的IP地址池，名字叫做pptp。此处地址段的定义 范围不要和拨入后内网其他计算机的IP冲突，并且要根据拨入用户的数量来定义地址池的 大小

pixfirewall(config)# crypto ipsec transform-set xp esp-des esp-md5-hmac 创建与加密相关的全局值

pixfirewall(config)# crypto dynamic-map dymap 10 set transform-set xp 创建一个动态加密映射项

pixfirewall(config)# crypto map mymap 10 ipsec-isakmp dynamic dymap 定义名字为mymap编号为10静态加密map, 将名字为dymap的动态加密map 映射到静 态加密map mymap 上.pixfirewall(config)# crypto map mymap interface outside 将静态加密map应用在外部接口上 pixfirewall(config)# pixfirewall(config)# isakmp enable outside 在外部接口上启用ISAKMP策略。

pixfirewall(config)# isakmp key 123456 addre 0.0.0.0 netmask 0.0.0.0 针对分支机构的动态公有IP，配置ISAKMP预共享密钥，如123456，0.0.0.0表示适合 于所有的公有IP地址。

pixfirewall(config)# isakmp policy 9 authentication pre-share 定义编号为9的ISAKMP策略，认证方式使用预共享密钥:Pre-Share Key pixfirewall(config)# isakmp policy 9 encryption des 对于编号为9的ISAKMP策略的加密算法使用des pixfirewall(config)# isakmp policy 9 hash sha 对于编号为9的ISAKMP策略的hash完整性算法使用sha pixfirewall(config)# isakmp policy 9 group 2 对于编号为9的ISAKMP策略，密钥交换组DH（Diffie-Hellman）长度为group 2 pixfirewall(config)# isakmp policy 9 lifetime 86400 对于编号为9的ISAKMP策略生存时期为86400秒。pptp使用1723端口，而通常pix里面的服务器对外都是做的静态NAT转换，但是光双 向开放1723端口仍旧无法建立pptp的vpn连接，那么对于pix 6.3以上版本的pptp穿透 可以用一条命令fixup protocol pptp 1723 来解决这个问题。

通过对PIX 防火墙的设置，实现了VPN。公司内的一些商业机密能有了保障。通过 Internet 与公司重要客户进行通信时实现信息传输保密。

十一、建立Pix 防火墙日志重定向

黑客攻击进来后，有时间会把防火墙的日志进行擦除以逃避责任，公司网络部希望网络管理员能够有效地保存防火墙日志。建立Pix 防火墙日志重定向。linux 配置：

1、vi/etc/sysconfig/syslog(按i 进入vi 的编辑状态。)： SYSLOGD_OPTIONS=“-m 0”修改为

SYSLOGD_OPTIONS=“-r-m 0”//-r 允许从远端主机写入meages（编辑完成后按ESC 回到命令行状态，然后输入:wq,存盘退出，如果不存盘输入:q）

2、vi/etc/syslog.conf 加入下列内容

把设备号为local4(pix的默认设备号，对应pix端的facility为20)的所有的日志记录到 /var/log/pix.log中

#Savepixmeagesalltopix.log local4.* /var/log/pix.log3、为了避免日志过大,配置日志轮循(manlogrotate查看详细的帮助信息)vi/etc/logrotate.conf 增加下列内容: #system-specific logs may be also be configured here./var/log/pix.log{ weekly rotate4&

4、重起syslog 服务：

[root@localhost&etc]# service syslog restart pix 配置：

Pix#logging on Pix#logging host 192.168.2.235//记录日志的主机IP Pix#logging trap 7 //指定日志消息的级别(0:紧急(Emergencies)1:告警(Alerts)2:严重的(Critical)3:错误(Errors)4:警告(Warnings)5:通知(Notifications)6: 信息(Informational)7:调试(Debugging))Pix#logging facility 20//更改设备号,Pix默认为local20 Pix#exit Pix#sh logging//可以看到当前日志记录是否启动 Pix#wr mem //保存配置

完成以上配置后就可以在linux 下运用cat /var/log/pix.log 查看 Pix的日志文件：

黑客攻击进来后，有时间会把防火墙的日志进行擦除以逃避责任，通过把linux配置成PIX 的 日志主机，能够有效地保存防火墙日志，进一步提高安全性。