資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除。《防火墻綜合實(shí)訓(xùn)》實(shí)訓(xùn)指導(dǎo)書(shū)－年度第二學(xué)期編寫(xiě)科目:防火墻綜合實(shí)訓(xùn)編寫(xiě)教師:金小江

防火墻綜合實(shí)訓(xùn)指導(dǎo)書(shū)第一部分:防火墻綜合實(shí)訓(xùn)課程基本知識(shí):一、實(shí)訓(xùn)目的經(jīng)過(guò)對(duì)CiscoPIX515E防火墻、ASA防火墻與藍(lán)盾防火墻的配置與管理,讓學(xué)生掌握防火墻的部署方式,策略管理,路由配置,訪問(wèn)列表,NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換),DDos攻擊及防御等功能模塊及具體策略配置等,并按要求編寫(xiě)實(shí)訓(xùn)報(bào)告。二、實(shí)訓(xùn)形式將學(xué)生分組集中進(jìn)行實(shí)訓(xùn)。三、實(shí)訓(xùn)內(nèi)容(一)CiscoPIX515E防火墻與藍(lán)盾防火墻配置線與交叉線的制作。雙絞線的制作和應(yīng)用(二)CiscoPIX515E防火墻的配置與管理CiscoPIX515E防火墻的連接與初始配置(1)配置防火墻接口的名字,并指定安全級(jí)別(nameif)。(2)配置以太口參數(shù)(interface)(3)配置內(nèi)外網(wǎng)卡的IP地址(ipaddress)(4)指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址(nat)網(wǎng)絡(luò)地址翻譯(nat)作用是將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)的公有ip.(5)指定外部地址范圍(global)global命令把內(nèi)網(wǎng)的ip地址翻譯成外網(wǎng)的ip地址或一段地址范圍。(6)設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由(route)定義一條靜態(tài)路由。(三)藍(lán)盾防火墻的配置與管理1.藍(lán)盾防火墻的連接與登錄配置2.藍(lán)盾防火墻的系統(tǒng)配置3.藍(lán)盾防火墻的網(wǎng)絡(luò)配置4.藍(lán)盾防火墻的策略管理5.藍(lán)盾防火墻的流量控制6.藍(lán)盾防火墻的日志管理(四)ASA防火墻的配置與管理1.防火墻對(duì)流的控制2.初始設(shè)置(nitaletp)3.配置接口PRoutng5.ACL6.NT7.AA(五)其它自選課題如果實(shí)訓(xùn)內(nèi)容不是以上課題,允許能夠根據(jù)自已的情況,自選課題。自選課題應(yīng)事先請(qǐng)指導(dǎo)老師審核。第二部分:實(shí)訓(xùn)基本操作方法:1、按照系統(tǒng)用戶手冊(cè)及文檔規(guī)范要求進(jìn)行操作,養(yǎng)成查閱手冊(cè)、文檔的良好習(xí)慣;2、根據(jù)實(shí)訓(xùn)步驟要求進(jìn)行操作,注意積累正確操作方法;3、操作過(guò)程中注意記錄錯(cuò)誤提示,并利用各種資源進(jìn)行更正,積累錯(cuò)誤診斷經(jīng)驗(yàn),增強(qiáng)獨(dú)立解決問(wèn)題的能力;4、對(duì)特殊疑難問(wèn)題采用討論、協(xié)作等方式進(jìn)行解決,有意識(shí)地訓(xùn)練團(tuán)隊(duì)合作意識(shí);5、實(shí)訓(xùn)報(bào)告應(yīng)多包含在實(shí)訓(xùn)過(guò)程中出現(xiàn)的錯(cuò)誤及解決方法。第三部分:實(shí)訓(xùn)項(xiàng)目:(一)CiscoPIX515E防火墻與藍(lán)盾防火墻配置線與交叉線的制作。1.直連雙絞線的制作和應(yīng)用以小組為單位,每組5人,制作相應(yīng)的UTP線纜,用電纜測(cè)試儀測(cè)試所做的網(wǎng)線是否合格表1T568B標(biāo)準(zhǔn)管腳號(hào)功能線的顏色是否用10/100M是否用100/1000M1發(fā)送白橙是是2接收橙是是3發(fā)送白綠是是4未使用藍(lán)否是5未使用白藍(lán)否是6接收綠是是7未使用白棕否是8未使用棕色否是2.交叉雙絞線的制作和應(yīng)用以小組為單位,每組5人,制作相應(yīng)的UTP線纜,用電纜測(cè)試儀測(cè)試所做的網(wǎng)線是否合格表2T568A標(biāo)準(zhǔn)管腳號(hào)功能線的顏色是否用10/100M是否用100/1000M1發(fā)送白綠是是2接收綠是是3發(fā)送白橙是是4未使用藍(lán)否是5未使用白藍(lán)否是6接收橙是是7未使用白棕否是3.防火墻配置線的連接與轉(zhuǎn)接口的使用能夠?qū)iscoPIX515E防火墻與藍(lán)盾防火墻的配置線連接到PC機(jī),線不夠長(zhǎng)的情況下能夠經(jīng)過(guò)轉(zhuǎn)接口進(jìn)行連接(二)CiscoPIX515E防火墻的配置與管理1.CiscoPIX515E防火墻的連接與初始配置PIX防火墻提供4種管理訪問(wèn)模式:非特權(quán)模式。PIX防火墻開(kāi)機(jī)自檢后,就是處于這種模式。系統(tǒng)顯示為pixfirewall>特權(quán)模式。輸入enable進(jìn)入特權(quán)模式,能夠改變當(dāng)前配置。顯示為pixfirewall#配置模式。輸入configureterminal進(jìn)入此模式,絕大部分的系統(tǒng)配置都在這里進(jìn)行。顯示為pixfirewall(config)#監(jiān)視模式。PIX防火墻在開(kāi)機(jī)或重啟過(guò)程中,按住Escape鍵或發(fā)送一個(gè)”Break”字符,進(jìn)入監(jiān)視模式。這里能夠更新*作系統(tǒng)映象和口令恢復(fù)。顯示為monitor>(1)配置防火墻接口的名字,并指定安全級(jí)別(nameif)。Pix515(config)#nameifethernet0outsidesecurity0Pix515(config)#nameifethernet1insidesecurity100Pix515(config)#nameifdmzsecurity50提示:在缺省配置中,以太網(wǎng)0被命名為外部接口(outside),安全級(jí)別是0;以太網(wǎng)1被命名為內(nèi)部接口(inside),安全級(jí)別是100.安全級(jí)別取值范圍為1～99,數(shù)字越大安全級(jí)別越高。若添加新的接口,語(yǔ)句能夠這樣寫(xiě):Pix515(config)#nameifpix/intf3security40(安全級(jí)別任取)(2)配置以太口參數(shù)(interface)Pix515(config)#interfaceethernet0auto

(auto選項(xiàng)表明系統(tǒng)自適應(yīng)網(wǎng)卡類(lèi)型)Pix515(config)#interfaceethernet1100full(100full選項(xiàng)表示100Mbit/s以太網(wǎng)全雙工通信)Pix515(config)#interfaceethernet1100fullshutdown(shutdown選項(xiàng)表示關(guān)閉這個(gè)接口,若啟用接口去掉shutdown)(3)配置內(nèi)外網(wǎng)卡的IP地址(ipaddress)Pix515(config)#ipaddressoutside248Pix515(config)#ipaddressinside很明顯,Pix515防火墻在外網(wǎng)的ip地址是2,內(nèi)網(wǎng)ip地址是(4)指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址(nat)網(wǎng)絡(luò)地址翻譯(nat)作用是將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)的公有ip.Nat命令總是與global命令一起使用,這是因?yàn)閚at命令能夠指定一臺(tái)主機(jī)或一段范圍的主機(jī)訪問(wèn)外網(wǎng),訪問(wèn)外網(wǎng)時(shí)需要利用global所指定的地址池進(jìn)行對(duì)外訪問(wèn)。nat命令配置語(yǔ)法:nat(if_name)nat_idlocal_ip[netmark]其中(if_name)表示內(nèi)網(wǎng)接口名字,例如inside.Nat_id用來(lái)標(biāo)識(shí)全局地址池,使它與其相應(yīng)的global命令相匹配,local_ip表示內(nèi)網(wǎng)被分配的ip地址。例如表示內(nèi)網(wǎng)所有主機(jī)能夠?qū)ν庠L問(wèn)。[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。例1．Pix515(config)#nat(inside)100表示啟用nat,內(nèi)網(wǎng)的所有主機(jī)都能夠訪問(wèn)外網(wǎng),用0能夠代表例2．Pix515(config)#nat(inside)1表示只有這個(gè)網(wǎng)段內(nèi)的主機(jī)能夠訪問(wèn)外網(wǎng)。(5)指定外部地址范圍(global)global命令把內(nèi)網(wǎng)的ip地址翻譯成外網(wǎng)的ip地址或一段地址范圍。Global命令的配置語(yǔ)法:global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中(if_name)表示外網(wǎng)接口名字,例如outside.。Nat_id用來(lái)標(biāo)識(shí)全局地址池,使它與其相應(yīng)的nat命令相匹配,ip_address-ip_address表示翻譯后的單個(gè)ip地址或一段ip地址范圍。[netmarkglobal_mask]表示全局ip地址的網(wǎng)絡(luò)掩碼。例1．Pix515(config)#global(outside)12-8表示內(nèi)網(wǎng)的主機(jī)經(jīng)過(guò)pix防火墻要訪問(wèn)外網(wǎng)時(shí),pix防火墻將使用2-8這段ip地址池為要訪問(wèn)外網(wǎng)的主機(jī)分配一個(gè)全局ip地址。例2．Pix515(config)#global(outside)12表示內(nèi)網(wǎng)要訪問(wèn)外網(wǎng)時(shí),pix防火墻將為訪問(wèn)外網(wǎng)的所有主機(jī)統(tǒng)一使用2這個(gè)單一ip地址。例3.Pix515(config)#noglobal(outside)12表示刪除這個(gè)全局表項(xiàng)。(6)設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由(route)定義一條靜態(tài)路由。route命令配置語(yǔ)法:route(if_name)00gateway_ip[metric]其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示網(wǎng)關(guān)路由器的ip地址。[metric]表示到gateway_ip的跳數(shù)。一般缺省是1。例1．Pix515(config)#routeoutside00681表示一條指向邊界路由器(ip地址68)的缺省路由。例2．Pix515(config)#routeinside1

Pix515(config)#routeinside1如果內(nèi)部網(wǎng)絡(luò)只有一個(gè)網(wǎng)段,按照例1那樣設(shè)置一條缺省路由即可;如果內(nèi)部存在多個(gè)網(wǎng)絡(luò),需要配置一條以上的靜態(tài)路由。上面那條命令表示創(chuàng)立了一條到網(wǎng)絡(luò)的靜態(tài)路由,靜態(tài)路由的下一條路由器ip地址是2.CiscoPIX515E防火墻的高級(jí)配置(1)配置靜態(tài)IP地址翻譯(static)如果從外網(wǎng)發(fā)起一個(gè)會(huì)話,會(huì)話的目的地址是一個(gè)內(nèi)網(wǎng)的ip地址,static就把內(nèi)部地址翻譯成一個(gè)指定的全局地址,允許這個(gè)會(huì)話建立。static命令配置語(yǔ)法:static(internal_if_name,external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口,安全級(jí)別較高。如inside.external_if_name為外部網(wǎng)絡(luò)接口,安全級(jí)別較低。如outside等。outside_ip_address為正在訪問(wèn)的較低安全級(jí)別的接口上的ip地址。inside_ip_address為內(nèi)部網(wǎng)絡(luò)的本地ip地址。例1．Pix515(config)#static(inside,outside)2

表示ip地址為的主機(jī),對(duì)于經(jīng)過(guò)pix防火墻建立的每個(gè)會(huì)話,都被翻譯成2這個(gè)全局地址,也能夠理解成static命令創(chuàng)立了內(nèi)部ip地址和外部ip地址2之間的靜態(tài)映射。例2．Pix515(config)#static(inside,outside)例3．Pix515(config)#static(dmz,outside)注釋同例1。經(jīng)過(guò)以上幾個(gè)例子說(shuō)明使用static命令能夠讓我們?yōu)橐粋€(gè)特定的內(nèi)部ip地址設(shè)置一個(gè)永久的全局ip地址。這樣就能夠?yàn)榫哂休^低安全級(jí)別的指定接口創(chuàng)立一個(gè)入口,使它們能夠進(jìn)入到具有較高安全級(jí)別的指定接口。(2)管道命令(conduit)

前面講過(guò)使用static命令能夠在一個(gè)本地ip地址和一個(gè)全局ip地址之間創(chuàng)立了一個(gè)靜態(tài)映射,但從外部到內(nèi)部接口的連接依然會(huì)被pix防火墻的自適應(yīng)安全算法(ASA)阻擋,conduit命令用來(lái)允許數(shù)據(jù)流從具有較低安全級(jí)別的接口流向具有較高安全級(jí)別的接口,例如允許從外部到DMZ或內(nèi)部接口的入方向的會(huì)話。對(duì)于向內(nèi)部接口的連接,static和conduit命令將一起使用,來(lái)指定會(huì)話的建立。conduit命令配置語(yǔ)法:conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]

permit|deny允許|拒絕訪問(wèn)global_ip指的是先前由global或static命令定義的全局ip地址,如果global_ip為0,就用any代替0;如果global_ip是一臺(tái)主機(jī),就用host命令參數(shù)。port指的是服務(wù)所作用的端口,例如www使用80,smtp使用25等等,我們能夠經(jīng)過(guò)服務(wù)名稱(chēng)或端口數(shù)字來(lái)指定端口。protocol指的是連接協(xié)議,比如:TCP、UDP、ICMP等。foreign_ip表示可訪問(wèn)global_ip的外部ip。對(duì)于任意主機(jī),能夠用any表示。如果foreign_ip是一臺(tái)主機(jī),就用host命令參數(shù)。例1.Pix515(config)#conduitpermittcphosteqwwwany這個(gè)例子表示允許任何外部主機(jī)對(duì)全局地址的這臺(tái)主機(jī)進(jìn)行http訪問(wèn)。其中使用eq和一個(gè)端口來(lái)允許或拒絕對(duì)這個(gè)端口的訪問(wèn)。Eqftp就是指允許或拒絕只對(duì)ftp的訪問(wèn)。例2.Pix515(config)#conduitdenytcpanyeqftphost9表示不允許外部主機(jī)9對(duì)任何全局地址進(jìn)行ftp訪問(wèn)。例3.Pix525(config)#conduitpermiticmpanyany表示允許icmp消息向內(nèi)部和外部經(jīng)過(guò)。例4.Pix515(config)#static(inside,outside)2

Pix515(config)#conduitpermittcphost2eqwwwany這個(gè)例子說(shuō)明static和conduit的關(guān)系。在內(nèi)網(wǎng)是一臺(tái)web服務(wù)器,現(xiàn)在希望外網(wǎng)的用戶能夠經(jīng)過(guò)pix防火墻得到web服務(wù)。因此先做static靜態(tài)映射:－>2(全局),然后利用conduit命令允許任何外部主機(jī)對(duì)全局地址2進(jìn)行http訪問(wèn)?？偨Y(jié)access-list問(wèn)題:access-list和conduit都能夠?qū)崿F(xiàn)策略訪問(wèn),我是習(xí)慣用conduitaccess-list格式如下;access-listacl_nameoracl_number{deny|permit}protocolsource-addresssource_netmaskdestination-addressdestination_netmask[eqdestinationport]

把她應(yīng)用到端口上命令格式為access-groupacl_nameoracl_number{in|out}

interfaceinterface_name例子:access-list101permittcpanyhosteqwww把她應(yīng)用到outiside口上,方向?yàn)閕naccess-group101ininterfaceoutsideacl的原理就不用我解釋了吧,和路由器里面的acl沒(méi)區(qū)別的(3)配置fixup協(xié)議fixup命令作用是啟用,禁止,改變一個(gè)服務(wù)或協(xié)議經(jīng)過(guò)pix防火墻,由fixup命令指定的端口是pix防火墻要偵聽(tīng)的服務(wù)。見(jiàn)下面例子:例1．Pix515(config)#fixupprotocolftp21

啟用ftp協(xié)議,并指定ftp的端口號(hào)為21例2．Pix515(config)#fixupprotocolhttp80

Pix515(config)#fixupprotocolhttp1080

為http協(xié)議指定80和1080兩個(gè)端口。例3．Pix515(config)#nofixupprotocolsmtp80

禁用smtp協(xié)議。(4)設(shè)置telnet

telnet有一個(gè)版本的變化。在pixOS5.0(pix*作系統(tǒng)的版本號(hào))之前,只能從內(nèi)部網(wǎng)絡(luò)上的主機(jī)經(jīng)過(guò)telnet訪問(wèn)pix。在pixOS5.0及后續(xù)版本中,能夠在所有的接口上啟用telnet到pix的訪問(wèn)。當(dāng)從外部接口要telnet到pix防火墻時(shí),telnet數(shù)據(jù)流需要用ipsec提供保護(hù),也就是說(shuō)用戶必須配置pix來(lái)建立一條到另外一臺(tái)pix,路由器或vpn客戶端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSHclient從外部telnet到PIX防火墻,PIX支持SSH1和SSH2,不過(guò)SSH1是免費(fèi)軟件,SSH2是商業(yè)軟件。相比之下cisco路由器的telnet需要進(jìn)一步改進(jìn)。telnet配置語(yǔ)法:telnetlocal_ip[netmask]local_ip表示被授權(quán)經(jīng)過(guò)telnet訪問(wèn)到pix的ip地址。如果不設(shè)此項(xiàng),pix的配置方式只能由console進(jìn)行。下面給出一個(gè)配置實(shí)例供參考。WelcometothePIXfirewallTypehelpor'?'foralistofavailablecommands.PIX515>enPassword:PIX515#shconfig:Saved:PIXVersion6.0(1)PIX當(dāng)前的*作系統(tǒng)版本為6.0Nameifethernet0outsidesecurity0Nameifethernet1insidesecurity100顯示當(dāng)前pix只有2個(gè)接口Enablepassword7Y051HhCcoiRTSQZencryptedPassed7Y051HhCcoiRTSQZencryptedpix防火墻密碼在默認(rèn)狀態(tài)下已被加密,在配置文件中不會(huì)以明文顯示,telnet密碼缺省為ciscoHostnamePIX515主機(jī)名稱(chēng)為PIX515Domain-name123.com本地的一個(gè)域名服務(wù)器123.com,一般見(jiàn)作為外部訪問(wèn)Fixupprotocolftp21Fixupprotocolhttp80fixupprotocolh3231720fixupprotocolrsh514fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060當(dāng)前啟用的一些服務(wù)或協(xié)議,注意rsh服務(wù)是不能改變端口號(hào)names解析本地主機(jī)名到ip地址,在配置中能夠用名字代替ip地址,當(dāng)前沒(méi)有設(shè)置,因此列表為空pagerlines24每24行一分頁(yè)interfaceethernet0autointerfaceethernet1auto設(shè)置兩個(gè)網(wǎng)卡的類(lèi)型為自適應(yīng)mtuoutside1500mtuinside1500以太網(wǎng)標(biāo)準(zhǔn)的MTU長(zhǎng)度為1500字節(jié)ipaddressoutside248ipaddressinsidepix外網(wǎng)的ip地址2,內(nèi)網(wǎng)的ip地址ipauditinfoactionalarmipauditattackactionalarmpix入侵檢測(cè)的2個(gè)命令。當(dāng)有數(shù)據(jù)包具有攻擊或報(bào)告型特征碼時(shí),pix將采取報(bào)警動(dòng)作(缺省動(dòng)作),向指定的日志記錄主機(jī)產(chǎn)生系統(tǒng)日志消息;另外還能夠作出丟棄數(shù)據(jù)包和發(fā)出tcp連接復(fù)位信號(hào)等動(dòng)作,需另外配置。pdmhistoryenablePIX設(shè)備管理器能夠圖形化的監(jiān)視PIXarptimeout14400arp表的超時(shí)時(shí)間global(outside)16如果你訪問(wèn)外部論壇或用QQ聊天等等,上面顯示的ip就是這個(gè)nat(inside)100static(inside,outside)3netmask5500conduitpermiticmpanyanyconduitpermittcphost3eqwwwanyconduitpermitudphost3eqdomainany用3這個(gè)ip地址提供domain-name服務(wù),而且只允許外部用戶訪問(wèn)domain的udp端口routeoutside11外部網(wǎng)關(guān)1timeoutxlate3:00:00某個(gè)內(nèi)部設(shè)備向外部發(fā)出的ip包經(jīng)過(guò)翻譯(global)后,在缺省3個(gè)小時(shí)之后此數(shù)據(jù)包若沒(méi)有活動(dòng),此前創(chuàng)立的表項(xiàng)將從翻譯表中刪除,釋放該設(shè)備占用的全局地址timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absoluteAAA認(rèn)證的超時(shí)時(shí)間,absolute表示連續(xù)運(yùn)行uauth定時(shí)器,用戶超時(shí)后,將強(qiáng)制重新認(rèn)證aaa-serverTACACS+protocoltacacs+aaa-serverRADIUSprotocolradiusAAA服務(wù)器的兩種協(xié)議。AAA是指認(rèn)證,授權(quán),審計(jì)。Pix防火墻能夠經(jīng)過(guò)AAA服務(wù)器增加內(nèi)部網(wǎng)絡(luò)的安全nosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublic由于沒(méi)有設(shè)置snmp工作站,也就沒(méi)有snmp工作站的位置和聯(lián)系人nosnmp-serverenabletraps發(fā)送snmp陷阱floodguardenable防止有人偽造大量認(rèn)證請(qǐng)求,將pix的AAA資源用完nosysoptroutednattelnettimeout5sshtimeout5使用ssh訪問(wèn)pix的超時(shí)時(shí)間terminalwidth80Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7

PIX515#PIX515#writememory將配置保存上面這個(gè)配置實(shí)例需要說(shuō)明一下,pix防火墻直接擺在了與internet接口處,此處網(wǎng)絡(luò)環(huán)境有十幾個(gè)公有ip,可能會(huì)有朋友問(wèn)如果我的公有ip很有限怎么辦?你能夠添加router放在pix的前面,或者global使用單一ip地址,和外部接口的ip地址相同即可。另外有幾個(gè)維護(hù)命令也很有用,showinterface查看端口狀態(tài),showstatic查看靜態(tài)地址映射,showip查看接口ip地址,pingoutside|insideip_address確定連通性。(三)藍(lán)盾防火墻的配置與管理1.藍(lán)盾防火墻的連接與登錄配置防火墻在出廠時(shí)都對(duì)網(wǎng)絡(luò)接口進(jìn)行初始配置,一般情況下網(wǎng)絡(luò)接口與其IP地址定義如下:LAN1:/24;LAN2:/24;LAN3:/29;LAN4:/24.打開(kāi)IE,在IE輸入https://防火墻IP地址,便可登錄防火墻,防火墻web界面的用戶名為”admin”,密碼為admin。界面如圖所示:從此能夠看出:內(nèi)網(wǎng)為段,外網(wǎng)是2個(gè)不同網(wǎng)段,分別是段與段,這2個(gè)網(wǎng)段是互不通信。2.藍(lán)盾防火墻的系統(tǒng)配置(1)系統(tǒng)信息上圖為藍(lán)盾防火墻系統(tǒng)當(dāng)前信息,如系統(tǒng)序列號(hào),主機(jī)名,內(nèi)核信息,CPU信息和內(nèi)存信息等等。(2)系統(tǒng)配置此項(xiàng)使用于配置防火墻系統(tǒng)的基本信息,如下圖所示:語(yǔ)言:網(wǎng)頁(yè)顯示的語(yǔ)言,可選”中文簡(jiǎn)體”,”中文繁體”或者”英文”。主機(jī)名:防火墻設(shè)備的主機(jī)名,最長(zhǎng)輸入30個(gè)字符。域名:防火墻是被的域名,最長(zhǎng)輸入30個(gè)字符當(dāng)前日期:系統(tǒng)當(dāng)前的日期。當(dāng)前時(shí)間:系統(tǒng)當(dāng)前的時(shí)間。工作模式:防火墻使用的工作模式。(3)登錄管理用于管理用戶,包括登錄管理和權(quán)限管理。admin用戶能夠管理所有用戶,除了不能刪除audit用戶,修改audit用戶權(quán)限外,能夠擁有最大權(quán)限。配置主頁(yè)面如下圖所示:此頁(yè)面顯示了用戶最后登錄信息,admin能夠查看用戶的最后登錄信息,其它用戶只能查看自身最后登錄信息。進(jìn)入系統(tǒng)管理>系統(tǒng)配置>登錄管理,點(diǎn)擊添加按鈕,進(jìn)入用戶添加界面,如下圖所示:基本信息為必選項(xiàng),包括用戶名,密碼,最大嘗試次數(shù)于有效時(shí)間。添加管理員如下圖:權(quán)限為可選項(xiàng),除了admin與audit用戶不能修改外,其它的由客戶自由配置。啟用:打勾,即此用戶被激活,即可使用此用戶;用戶名:輸入自己所要輸入的用戶名,最大長(zhǎng)度15個(gè)字節(jié),支持字母數(shù)字結(jié)合。密碼:輸入自己所要輸入的密碼,最大長(zhǎng)度15個(gè)字節(jié),支持字母數(shù)字結(jié)合。最大嘗試次數(shù):即用戶密碼輸入錯(cuò)誤最大嘗試數(shù)。有效時(shí)間:即用戶登陸后無(wú)操作時(shí)間超過(guò)有效時(shí)間便自動(dòng)退出。0秒默認(rèn)為10分鐘。權(quán)限:超級(jí)用戶可根據(jù)實(shí)際情況對(duì)用戶權(quán)限進(jìn)行分配系統(tǒng)模塊的權(quán)限;如選擇”無(wú)”,則對(duì)此系統(tǒng)模塊沒(méi)有訪問(wèn)權(quán)限;如選擇”讀”,則對(duì)此系統(tǒng)模塊具有訪問(wèn)權(quán)限,并沒(méi)有操作權(quán)限;如選擇”寫(xiě)”,則對(duì)此系統(tǒng)模塊不但具有訪問(wèn)權(quán)限,也有操作權(quán)限。然后保存,則建立好登陸用戶。(4)配置管理系統(tǒng)管理>系統(tǒng)配置>配置管理此項(xiàng)用于保存當(dāng)前最新配置信息,以及還原初始化。如下圖:軟件包名”Factory.img”即為出廠默認(rèn)配置,點(diǎn)擊””,再點(diǎn)擊”還原重新啟動(dòng)”按鈕,便能還原到出廠默認(rèn)配置。3.藍(lán)盾防火墻的網(wǎng)絡(luò)配置(1)接口配置物理接口頁(yè)面對(duì)藍(lán)盾防火墻物理網(wǎng)絡(luò)接口進(jìn)行管理,并能夠在這些物理網(wǎng)絡(luò)接口添加虛擬接口。網(wǎng)絡(luò)設(shè)置>接口設(shè)置>物理接口(2)靜態(tài)路由靜態(tài)路由配置網(wǎng)絡(luò)設(shè)置>靜態(tài)路由>靜態(tài)路由配置在靜態(tài)路由主頁(yè)面,能夠?qū)λ{(lán)盾防火墻已經(jīng)添加的靜態(tài)路由進(jìn)行啟用/禁用、編輯、刪除操作。添加頁(yè)面下側(cè)”添加靜態(tài)路由”按鈕,進(jìn)行靜態(tài)路由編輯子頁(yè)面。4.藍(lán)盾防火墻的策略管理(1)訪問(wèn)策略策略管理>訪問(wèn)策略訪問(wèn)策略頁(yè)面管理藍(lán)盾防火墻對(duì)流入、轉(zhuǎn)發(fā)、流出的數(shù)據(jù)包設(shè)立策略,使符合條件的數(shù)據(jù)包在策略的限定下流動(dòng)。訪問(wèn)策略能夠結(jié)合物理接口頁(yè)面下的遠(yuǎn)程管理選項(xiàng)對(duì)防火墻進(jìn)行設(shè)置。如果于遠(yuǎn)程管理中對(duì)接口的缺省輸入策略設(shè)置為”接受”,則能夠在訪問(wèn)策略頁(yè)面設(shè)置一系列禁止策略阻斷不合法數(shù)據(jù)包的訪問(wèn);如果缺省輸入策略設(shè)置為”丟棄”,則能夠經(jīng)過(guò)設(shè)置相應(yīng)的允許策略允許符合條件的數(shù)據(jù)流入。5.藍(lán)盾防火墻的流量控制(1)流量策略點(diǎn)擊導(dǎo)航欄中流量控制下面流量策略,為防火墻網(wǎng)絡(luò)接口定制流量策略點(diǎn)擊”增加”按鈕,打開(kāi)添加流量策略頁(yè)面(2)流量分類(lèi)點(diǎn)擊導(dǎo)航欄中流量控制下面流量分類(lèi),為防火墻網(wǎng)絡(luò)接口定制流量類(lèi)別點(diǎn)擊頁(yè)面下方”增加”按鈕,為流量分類(lèi)添加一條新記錄6.藍(lán)盾防火墻的日志管理(1)審計(jì)日志用于查看防火墻界面操作的動(dòng)作日志。進(jìn)入系統(tǒng)管理>日志管理>審計(jì)日志。如圖所示:(2)防火墻日志用于查看防火墻日志。進(jìn)入系統(tǒng)管理>日志管理>防火墻日志。如圖1所示:能夠查看操作防火墻的時(shí)間,加入的新的防火墻規(guī)則的類(lèi)型,源MAC地址。源Ip地址。同時(shí)在相應(yīng)的信息行上點(diǎn)擊能夠顯示該條信息的詳細(xì)信息。具有伸縮功能。詳細(xì)信息里有目的地址,目的端口。協(xié)議等信息。A試驗(yàn)(一)一、FewallOeview-3-二、防火墻對(duì)流的控制-3-三、Basicnitializaton-4-3.1 防火墻功和許可證-4-3.2 初始設(shè)置(nitaletp)-5-3.3 配置接口-5-四、PRoutng-7-4.1 靜態(tài)和缺路由-7-4.2 路由圖——oueap-8-4.3 動(dòng)態(tài)路由議——RP和OSPF-8-4.4 實(shí)驗(yàn)練-9-五、ACL-12-5.1 配置ACL-12-5.2 ObectGrop-12-5.2 實(shí)驗(yàn)練-14-六、NT-14-6.1 OEVW-14-6.2 Cotro-16-6.3 TByass-16-6.4 策略NT-16-6.5 DS和T-18-6.5 動(dòng)態(tài)NT和T-19-6.6 實(shí)驗(yàn)練-21-七、AA-29-7.1 AAAOEVW-29-7.2 ADUS-29-7.3 AACS-30-7.4 ASA上AA的實(shí)現(xiàn)-31-7.5 配置AA-31-7.6 配置可下載AL-35-7.7 使用AC地址免除流量的認(rèn)證和授權(quán)-38-7.8 實(shí)驗(yàn)練-39-一、wllOeriw防火墻技分為三:包過(guò)防火墻代理服器狀態(tài)包過(guò)防火墻;包過(guò)濾防墻用L控制進(jìn)入或離開(kāi)絡(luò)的量L能夠根據(jù)匹配包類(lèi)型其它參(源P地址、目的P地址端口號(hào))來(lái)制;該類(lèi)防火有以下足,L制定的維護(hù)比較難能夠使用P欺騙很易的繞過(guò);代理防火墻也叫做理服務(wù)器它在OSI的高查數(shù)據(jù)包后和制的規(guī)則比較如數(shù)據(jù)包內(nèi)容符合規(guī)而且被許么代理務(wù)器就替源機(jī)向目的址發(fā)送求外部主收到請(qǐng)后轉(zhuǎn)發(fā)給被保護(hù)的請(qǐng)求主。代理防火的主要點(diǎn)就是能問(wèn)題由于代防墻會(huì)對(duì)每經(jīng)過(guò)它包都會(huì)度檢查即使這包前檢查過(guò),說(shuō)對(duì)統(tǒng)和網(wǎng)的性能有很大影。狀態(tài)包過(guò)防火墻,ioA就是使用狀態(tài)包過(guò)的防火墻該防火會(huì)維護(hù)個(gè)會(huì)話狀態(tài)信,些狀態(tài)信息在狀態(tài)里,狀表的條有:源址目的地址端口號(hào)、P序列號(hào)息以及個(gè)P或DP的額外的簽信息所進(jìn)入或出的流都會(huì)和態(tài)表中的接狀態(tài)行比較只狀態(tài)表的條目配的時(shí)候才允許量經(jīng)過(guò)。防火墻收一個(gè)流后先查是否已存在于接表中如果沒(méi)存則看個(gè)連接否符合策略,如果合,則理后將連接寫(xiě)狀態(tài)表如不符合安策略,么就將丟棄。狀態(tài)表叫astat防火墻處理第個(gè)包續(xù)的屬于連接的都會(huì)直按照astath轉(zhuǎn)發(fā)此性能就有高的提。二、防火墻對(duì)流量的控制首先我們一下P的三次握手中插入火墻后情況:l 源主機(jī)發(fā)一個(gè)含有YN標(biāo)記初始數(shù)包,A收到后,查路由,看是能夠到目的地然后根據(jù)轉(zhuǎn)規(guī)則將地址轉(zhuǎn)換為tie的地址_0。果轉(zhuǎn)換成,那么A就會(huì)為該連接創(chuàng)立一個(gè)換槽。l 所有的會(huì)信息都被寫(xiě)入態(tài)表而且A會(huì)隨機(jī)產(chǎn)生個(gè)P序列號(hào)此該連接狀態(tài)示的是初始(al-e)狀態(tài)。l 在防火墻該連接安全策匹配后決定是進(jìn)步處理。果符合全策略則A就使用轉(zhuǎn)換后的地址新的隨序列號(hào)寫(xiě)數(shù)據(jù),然后發(fā)。l 目的地收到N連請(qǐng)求后就發(fā)送個(gè)YNK作為響應(yīng)。l A驗(yàn)證YNK包,將K號(hào)和隨機(jī)生的列號(hào)做比,同時(shí)會(huì)驗(yàn)證接槽中連接信,然后將目地址轉(zhuǎn)為原來(lái)地址,序列號(hào)換原來(lái)的序號(hào),并加1,然發(fā)送出。l 任何沒(méi)有格匹配數(shù)據(jù)包會(huì)被丟棄l 源收到響后,經(jīng)過(guò)發(fā)送一個(gè)K來(lái)完連接的立(注意,K號(hào)會(huì)在穿防火墻時(shí)候做隨機(jī)修改,后防火的狀態(tài)標(biāo)識(shí)連為at-sablse。然而,A處理DP連接和處理P連接卻截然一樣:1. 源初始化一個(gè)DP連接,A收到后根據(jù)由表相應(yīng)的轉(zhuǎn)后,在態(tài)表中成狀態(tài)息,然后轉(zhuǎn)發(fā)出。2. 返回的流會(huì)和連信息進(jìn)比匹配話就允返回流量入后重置時(shí)計(jì)器計(jì)時(shí)器超時(shí)之,符合連接的量都能夠被轉(zhuǎn)發(fā)。3. 任何從低全級(jí)別高安全別的流都必須配個(gè)安全策,否則接將被棄。最后意A的所有安全策略是應(yīng)用狀連接中此要首生成一連接表然后才比安全策略等內(nèi)容。三、BaicIniliaon31 防火墻功能和許可證防火墻出的時(shí)候帶有一基本的能如果需增加一些外的功么就需購(gòu)買(mǎi)許(ls)激活e。能夠使用sowsrson命令查看當(dāng)前防墻所擁有功能的表:Firewall#showversion……LicenseFeaturesforthisPlatform:MaximumPhysicalInterfaces:10MaximumVLANs :100InsideHosts :UnlimitedFailover :Active/ActiveVPN-DES :EnabledVPN-3DES-AES :EnabledCut-throughProxy :EnabledGuards :EnabledURL-filtering :EnabledSecurityContexts :5GTP/GPRS :EnabledVPNPeers :UnlimitedThismachinehasanUnrestricted(UR)license.……從上圖中看出該防火運(yùn)行的可證類(lèi)為限制版。防火墻的可證類(lèi)有:? rstrited(——無(wú)限制的許可使得該墻所能支的所有性全部開(kāi)比如限制的活動(dòng)連接、打開(kāi)火墻支的所有接口、持ior等;? srited(——限制版限制防火墻啟的特比如限制活連接數(shù)防火不支持air、限制防火支持的大接口等;? aior(O)——該版本得防墻能夠?yàn)閛nary設(shè)備參與aivr;? aio-cti/tive(O-AA)——該版本使得防火墻能夠作為conary設(shè)備參與atv/ativeaior,同時(shí),還要求一個(gè)防墻使用R版;32 初始設(shè)置(Iialet)當(dāng)防火墻有任何置啟動(dòng)時(shí)候提供一配菜單經(jīng)過(guò)初始配菜單能夠讓你配一些基的火墻參數(shù):Pre-configreFireallnowthroughinterativeprompts[es]?Ye——入NO直進(jìn)入AS;FirewallMde[Roued]: /直接車(chē)Enablepasword[<securrntpassord>]:ciso123Allowpassordrecvery[ys]? /直接回車(chē)Clock(UTC:Year[]:Month[Jl]:Day[1]:Time[0202:48]:InsideIPddress:192.16810.1—此地為e1或e0/1接的地址Inside口),據(jù)設(shè)備同不同;Insidenetorkmas:Hostname:ASADomainnam:securmeinc.cmIPaddressofhostrunningDeviceanager:00Thefollowngconfgurationwillbeused:Enablepasword:csco123Allowpassordrecvery:ysClock(UTC:23:3000Aug5FirewallMde:RouedInsideIPddress:192.16810.1Insidenetorkmas:Hostname:ChicagoDomainnam:securmeinc.cmIPaddressofhostrunningDeviceanager:00Usethiscnfiguraionandwritetoflash?yesS>也能夠使用trl+z跳過(guò)這步33 配置接口參數(shù)1,Securtyeel對(duì)于/PX來(lái)講每個(gè)接口必須有個(gè)安全安全級(jí)別是0到100之間的字0代低安全,100代表高全級(jí);默認(rèn)下有從高全級(jí)接別到低全級(jí)別口流量都是許的有從低全級(jí)別口到高全別接口的流都是拒的,都要使用L來(lái)允許想要允許的量;當(dāng),高安級(jí)別接到低安級(jí)接口的流量也能夠經(jīng)過(guò)L來(lái)控制;安全級(jí)別制著以的行為:? 審查引擎—一些查引擎賴(lài)于安級(jí)別于同安全級(jí)的接口審查引作用在個(gè)方向的流量上;? itr——itrHT()和itrP只應(yīng)用在外出的連接,即從優(yōu)先級(jí)口到低先級(jí)接;對(duì)于相同全級(jí)別接口,在雙上itr流量;? NTCotr——當(dāng)你啟用NTcotrl時(shí)高安全級(jí)別的主機(jī)問(wèn)低安級(jí)別的機(jī)時(shí)必須行N;2,默認(rèn)情下,相安全級(jí)接口之不允通,能夠使命令:sta(coni)#sa-scrit-traicpritit-inrae允許相同全級(jí)別口之間相通信;3,對(duì)于防墻的任接口,必須配以下容:? Nae? Padrss? crityLel如果將一接口的Nae指定為isi,那么系統(tǒng)自動(dòng)為該接指定個(gè)100的安全別;所接口的認(rèn)安全級(jí)別是0,經(jīng)過(guò)sri-lvl改變接口的安全級(jí)別。接口P地址的獲得兩種方,手工定和HC;hstae(oni-i)#ipadrsshcp[strot]關(guān)鍵字strte用于指示A使用DHP服務(wù)器分的默認(rèn)網(wǎng)作為默路由。4,管理接(aaeentitrac)A有一個(gè)內(nèi)置的Maaeet00接口該接口只收和管理關(guān)的流量管理口丟棄有穿過(guò)的量,只接收目地址是A的流量外何一個(gè)接口都能夠經(jīng)過(guò)命令aageet-nly配置為專(zhuān)用的管理接口.5,子接口你能夠?qū)€(gè)物理口劃分多個(gè)邏接口,個(gè)輯接口上分配不的N標(biāo)簽,子接之間據(jù)LND區(qū)分流量,此物理接就是一個(gè)rnk鏈路,它具以下屬:l A的truk鏈路只支持802.1Q幀封裝法;l 802.1Q持一個(gè)地N,所有沒(méi)有標(biāo)簽的量傳輸?shù)奖镜豊中;l 防火墻不使用DP來(lái)協(xié)商trk的封裝或其它參;trnk要某是o,要某是;配置子接:hsta(cni)#inraephyscal_nterfae.subnterfcehta(oni-i)#lanvlan_d:hsta(cni)#inrae0.1sta(cofi-i)#lan20最后注意要想使輯接口發(fā)流量必須要oshut物理接口。6,DHP服務(wù)A的DHP服務(wù)基于接的,也是說(shuō),A能夠在一接口上其設(shè)為HCPrvr,同時(shí)可以在另外個(gè)接口將其設(shè)為DHPlASA將接口設(shè)為rr時(shí)每個(gè)接都有自的地可是其它的HCP設(shè)置如N域ingtieot等參數(shù)要在局下配而且應(yīng)用所有啟用DHPrvr的接口上使用cpd命令來(lái)啟用DHP的項(xiàng)功:PIX(config#dhcpd?configureodecomands/opions:address CofigureheIPpoladdessrangeafterthiskywordauto_conig Enbleautoconfigrationfromclientdns CofigureheIPadressesoftheDNSseversaferthiskeyworddomain CofigureNSdomannameaftrthiskeyordenable EnabetheDCPservrlease ConfguretheDHCPDeaselngthafterthiskeywordoption ConfgureopionstopasstoDHPclientsfterthskeywodping_timeot Confgurepigtimeotvalueaferthiskewordwins ConfguretheIPaddessesfteNETBIOServersfterthskeywod配置DHP服:1．啟用HCP服務(wù)器ix(oni)#dcpdeableinerace:Pix(oni)#dcpdeableiside2．定義HCP地址池ix(oni)#dcpdadrsstartaddess-endaddessneface:ix(oni)#dcpdadrss00-00ise3．設(shè)置WN,DNS和oai-ae選項(xiàng):ix(coi)#hcpdds01ix(coi)#hcpdis1192.16810.50ix(coi)#4．指定HCP的超時(shí)(可選)在DHP服務(wù)器配一個(gè)址之前會(huì)先ing這個(gè)地址,默情況下等待50微秒如果在50微秒內(nèi)到了響應(yīng),么服務(wù)就認(rèn)為地址已分配出了如果沒(méi)有到響應(yīng)那么就為該地能夠分出。ing的等待超值能夠命令變::Pix(oni)#dcpdin_tieot205．配置HCPat-conigraton(可選)A能夠同時(shí)做客戶端和服器比如一接口配為客戶一個(gè)口配為rrA能夠從DHP服務(wù)器端到分配參數(shù)的時(shí),也一些參轉(zhuǎn)給它的l,比如WN,DNS以域名等息::ix(coi)#hcpdat_cofigotide6．定義一缺省網(wǎng)關(guān)為lnt定義一個(gè)缺省關(guān),輸下面的令:Hsta(coni)#dcpdotion3ipgateay_ip對(duì)于明模式防火墻果不使用DHPtion3來(lái)定義一個(gè)缺網(wǎng)關(guān)的話那么HCP客戶端用管理接口的地作為缺網(wǎng)關(guān),管理接不會(huì)轉(zhuǎn)流;使用該令,讓DHPlet使用該命令定義關(guān);四、IPRouig41 靜態(tài)和缺省路由多虛擬防墻不支動(dòng)態(tài)路協(xié)因此必須配靜態(tài)或缺路由到非直連網(wǎng)另在單墻模式下,能夠考使用靜路由,如:1. 由于A只支持P和OS,因此如果你網(wǎng)絡(luò)運(yùn)的是其它路由協(xié),那么要使用態(tài)路由2. 使用靜態(tài)由能夠省U的負(fù)載A在相同的接口上,最多持3條價(jià)靜態(tài)路由實(shí)現(xiàn)載均衡。配置靜態(tài)由:hsta(cni)#roteif_namees_ipmakgateay_ip[ditac]:hsta(cofi)#roteisie51當(dāng)atay不可用的時(shí)候靜態(tài)路不會(huì)自從路表中移除需要手移除;當(dāng)和關(guān)相的A的接口wn的時(shí)候,靜態(tài)路由自從路由中移,當(dāng)接口P的時(shí)候又會(huì)自的加入路由表;配置缺省由當(dāng)設(shè)備在由表中不到去目的網(wǎng)的路由時(shí),那么就將這些量發(fā)送配置的省路由。你也能夠用unnled關(guān)鍵字為隧道流量置單獨(dú)缺省路所有達(dá)防火的加密量如果在表中找不到一跳的候那么使用該省路由果流量沒(méi)被加密么使用常的缺路由隧缺省路由只能定一條。hsta(cni)#roteif_name0.0.00gateayip[ditane|tunle]0.0.00能夠?qū)憺?0:hsta(cofi)#roteisie0042 路由圖——oue-ap當(dāng)重分發(fā)由到OSF或P進(jìn)程的時(shí)候rt-ap用于指定哪些路由被分發(fā)到標(biāo)路由程路由圖的執(zhí)是按照序執(zhí)行。43 動(dòng)態(tài)路由協(xié)議——P和OPF在A上配置P和OSF與在路由器上配置方相同而且最佳徑的選也是先碼再理離,最后是度值;你使用swrute查看路由表。44 實(shí)驗(yàn)練習(xí)五、L一個(gè)L是由多個(gè)訪問(wèn)控制目(ssCotrlEntri,E)組成,一個(gè)E指明個(gè)rit或eny規(guī)則,E能夠根協(xié)議、定的源址和的址、端口、MP類(lèi)型等來(lái)定義,E的行是照順序執(zhí)行的,旦發(fā)現(xiàn)配的E,那么不會(huì)再續(xù)下匹配?？匆幌翷的類(lèi)型及一般的法:l 控制P網(wǎng)絡(luò)訪問(wèn)流(路由透明模)——展Ll 為A規(guī)則指明流量——擴(kuò)展l 基于用戶的P網(wǎng)絡(luò)問(wèn)限制—擴(kuò)展,wladdACLl 策略NT和NT免除——擴(kuò)展l MF的lassap中指定流量——擴(kuò)展,以太型Ll 對(duì)于透明式的防墻,控非P流量——以型(Etry)l OSF的重分發(fā)——準(zhǔn)l 指明N的感興趣量——展對(duì)于P和DP連接,不需要使用L來(lái)允許返回的流量入,因防火墻安全算會(huì)生成個(gè)接表來(lái)允許些流量回對(duì)無(wú)連接流量如M需要使用L來(lái)明確允許返的流量入防墻或者也能夠開(kāi)MP審查引擎;51 配置Lccss-listid[lineli-u] [xtee]{eny|pmit}{rtcl|bjec-grprtcl_j_ri}{stsip|sipsk|intrfceifcae|bjec-grptwrkj_rid|n}{stip|ipsk|interfceifcae|bjec-rptwrkj_rid|n}[lg[levl][itrvlscs]|isable|flt][ictive|tm-rgeirn_a]配置L和在路由器上配置同小異我們一下trpeC,以太類(lèi)型的L支持Etrt2幀,對(duì)于802.3式的,以太型L不會(huì)控制,為802.3幀用的度域代了類(lèi)型;hsta(cni)#ass-lstacl-naethrtype{rit|en}{ix|bpdu|pl-uiast|pl-uliast|any|hexnume}x_nubr是一個(gè)16的16制數(shù)該數(shù)等于0x600參看1700看不同型所對(duì)的值;另外,由以太類(lèi)的幀是連接的因此要兩接口上都用;如禁止P幀:hsta(cni)#ass-lstarpthrtypedeny0x0806hsta(cni)#ass-rouparpininraeisidehsta(cni)#ass-rouparpininraeotide注意:以太類(lèi)型的L中,隱含的dny所有,不會(huì)影響到P流量或RP流量;如果你明確輸入ny所有,那么會(huì)影響到P流量和P流量;配置后將L應(yīng)用到接口上命令:hsta(cni)#ass-roupacl_name{n|ot}itrfaeineracenae[-s-orrid]-s-orrid——該命令結(jié)合于下載L一起使用;當(dāng)帶該關(guān)字的時(shí),用戶證成功,戶的流量要經(jīng)過(guò)該口么就需接口的L和下載下的L同時(shí)允許如加上了關(guān)鍵那么就只需要下下來(lái)的L允許即可;52 OectGoup對(duì)象組即將具相同特的對(duì)象織起這樣減少E的配置目而減少置如許5個(gè)用戶訪特定的5服務(wù)(:H、lt等,那么就要配置25個(gè)L條目,可是果使用象組,那么只需使用一個(gè)L語(yǔ)句就能夠義;對(duì)象組的型有:l rtcll Ntwrkl riel MPtype在創(chuàng)立了象組以后在一個(gè)E調(diào)用這就能夠?qū)的條縮小為1個(gè)同時(shí)你能夠?qū)⒁粋€(gè)對(duì)象嵌套到一個(gè)對(duì)組中,為另一對(duì)組的一個(gè)象;Objt-roup{{rotocl|ntrk|icp-tp}grp_d|sricegrp_d{cp|udp|tc-d}}l bjet-rou——定義一個(gè)象組l rtoc——指定P協(xié)(協(xié)議類(lèi)型1到254稱(chēng)標(biāo)識(shí)比如DMGRE和GM;如果想包所有的P協(xié)議,使用鍵字Pl twr——指定hs,sbt或網(wǎng)絡(luò)地址;l ic-ty——指定MP類(lèi)型,比如c、ch-rly以及trarot。l r_i——對(duì)象組的名字,便調(diào)用;l sric——指定4層P和DP協(xié)議的端口號(hào);l t——指定一組P服務(wù),比如H,F,let和MP等l ud——指定一組DP服務(wù)比如N,P和SKMP等l t-ud——指定一組即用P又使用DP的服,比如NS和Krbrs等以下是每對(duì)象組型的例:rtcl對(duì)象組:hsta(cni)#bjt-rouprtool_rtoolshsta(cni-rtcl)#rtcol-bjetcphsta(cni-rtcl)#rtcol-bjetudphsta(cni-rtcl)#rtcol-bjetcpNtwrk對(duì)象組:hsta(cni)#bjt-rouptwrkLal_Nthsta(cni-ntr)#ntwr-bjthst00hsta(cni-ntr)#ntwr-bjtrie對(duì)象組:hsta(cni)#bjt-roupsrice_Prtstcphsta(cni-srvi)#prt-bjetqstphsta(cni-srvi)#prt-bjetqwwwhsta(cni-srvi)#prt-bjetrage102465535M-ye對(duì)象組:hsta(cni)#bjt-roupicp-tyeinghsta(cni-icp-tp)#ic-bjtchohsta(cni-icp-tp)#ic-bjtch-rly另外,對(duì)組之間根據(jù)象組的字互相套;對(duì)象組和,看一個(gè)事例:hsta(cni)#bjt-rouptwrkeiedhsta(cni-ntr)#ntwr-bjethsthsta(cni-ntr)#ntwr-bjethst8hsta(cni-ntr)#ntwr-bjethst9hsta(cni-ntr)#bjt-rouptwrkbhsta(cni-ntr)#ntwr-bjethst9hsta(cni-ntr)#ntwr-bjethst6hsta(cni-ntr)#ntwr-bjethst8hsta(cni-ntr)#ass-lst_Nxtenedenytcpbjt-roupeiedbjt-roupwbqwwhsta(cni)#ass-lstC_Nxtenedpritipanyanyhsta(cni)#ass-roupC_Ninitraeisie因此,如有需求求你使最小或要求你只使用一個(gè)的時(shí)候,就要慮使用象組;52 實(shí)驗(yàn)練習(xí)由于對(duì)象只是為簡(jiǎn)化配,因此需要熟配命令和配思想即,無(wú)實(shí)拓?fù)?需要一個(gè),然后按照下需求在A上完成相應(yīng)配置令。l rcoanywillbeptingin2apliatonsrrs.OneofteapplationsrvrsilbeinDM1ithaniparssof1,adthetrillbeinDM2withanipadrssof2l N-Cotrlealtsoteable,donteableat-otrl.l Tsesrvrsaregingtobeacssdbyartnrraizats.TheIPAdrsssoftsartnrraizatonsareaslo:? /24? /24? 6/8? 2/27? 2/28l Teapliatosontesrvrsareaslo:? FP? P? HP? MP? DNS? stomApliatonatDP50000lllwallteartnraizatosacsstoallaplatiosonthe2srrs.ouarealoed2lisinthecssittoacoplshtis.六、T61 OIEW地址轉(zhuǎn)換有很多處,比如隱藏內(nèi)部絡(luò)的址、能夠解決P地址危急等;NT的執(zhí)行有個(gè)過(guò)程將真實(shí)地轉(zhuǎn)換為外部址而且記錄在T轉(zhuǎn)換表中然后返回的量根據(jù)轉(zhuǎn)換做相的轉(zhuǎn)換;NTotrol默認(rèn)是關(guān)閉的此時(shí)不要求流匹配個(gè)NT轉(zhuǎn)換規(guī)則如果沒(méi)有規(guī)則匹則繼續(xù)理數(shù)據(jù)包如果NTtrol打開(kāi)那么就要求流量高安全級(jí)別到低全級(jí)別一定匹配一個(gè)NT轉(zhuǎn)換規(guī)則,否則的話就會(huì)將量丟棄?？墒窍嗤踩?jí)接口之間的NT不是必須的使啟用了attro由于默認(rèn)情況下是不允許同安全級(jí)別接口之通信的,因此要想使相同全別接口之間通信就需要使用asurttracprtititrace命令打開(kāi)功能;可是一旦配置了NT/T,那么NTT就是須的了。當(dāng)在相安全級(jí)別接口上為一組址執(zhí)行動(dòng)態(tài)NT或T的時(shí)那么這組地址在訪問(wèn)安全級(jí)別口和相同安級(jí)別接口的時(shí)候,必須行動(dòng)態(tài)NT或T,即使是atotrol沒(méi)有打開(kāi);注意,靜態(tài)NT沒(méi)有此限制;當(dāng)SA收到從side發(fā)起的utbud連接的時(shí)候,SA首先將包的源地址和NT轉(zhuǎn)換表中的做比較如果地址沒(méi)有存該地址的目那對(duì)源地址執(zhí)行轉(zhuǎn)從地池中分配個(gè)地址將相應(yīng)信息寫(xiě)入轉(zhuǎn)換表。使用at和lbal命令配置NT轉(zhuǎn)換,at命令義需要做轉(zhuǎn)換的口和流量,bal命令用來(lái)定義轉(zhuǎn)換接口和地址池,at和lbal經(jīng)過(guò)at-id關(guān)聯(lián)起來(lái);hstacofi#atif_nam]nat_idaddss[ntmas]ds]tcp]tcp_a_onnsmb_limit]nranos]]upudp_ma_onns]_a——連接轉(zhuǎn)換網(wǎng)絡(luò)的接口名;at-i——指定想要使用的地址池如果為0,代不轉(zhuǎn)換;arss——參加轉(zhuǎn)換的地址,果為全0,00..0.0..0,表所有地址;ds——指明使用創(chuàng)立的轉(zhuǎn)換目修正DS回復(fù),對(duì)應(yīng)服務(wù)器的址axcons——指明一臺(tái)主機(jī)同時(shí)發(fā)起連的最連接數(shù)b-lit——指明一臺(tái)主機(jī)允許發(fā)初始連接的大數(shù);nrados——關(guān)掉SAtcp和up參數(shù)分別指明TCP同時(shí)發(fā)起的大連數(shù)及發(fā)起的最大始連接數(shù)和DP同時(shí)發(fā)起的大連接數(shù)及初始連數(shù);glbalif_nam]nat_id{mappdipmappd_ipntaskmappd_mas]}|itrace比如:hstacofi#atside)110...0hstacofi#glbalutsd)129.165at指明了在side口要對(duì)10.1.20網(wǎng)段執(zhí)行NT;lbal定義了轉(zhuǎn)換地址5而且為該地址池一個(gè)D”1lbal中如果只寫(xiě)一個(gè)地址則執(zhí)行T;glbal和at之間據(jù)at-d”1”關(guān)聯(lián);那么所有從sde10.1.20網(wǎng)段往utsde的流量,都使用地址池1的地址做轉(zhuǎn)換,轉(zhuǎn)換后,SA同時(shí)生成一個(gè)在上圖中,一臺(tái)機(jī)1.1..27起一個(gè)utbund連接,SA將源地址轉(zhuǎn)換為209165.21.NT轉(zhuǎn)換表中(使用sowxate查看,然后從utside口轉(zhuǎn)發(fā)出去;對(duì)返回的包,防火墻將目的地址0根據(jù)NT轉(zhuǎn)換表轉(zhuǎn)為原來(lái)的地址10.1..27,62 onlNTCtrl要求從isie接口到utsde接口的所有包都必須配一個(gè)NT規(guī)則,則將包棄;對(duì)于相同安全級(jí)別接口NT轉(zhuǎn)換不是須的如果在相同級(jí)的接口上配了動(dòng)態(tài)NT或T的話,那么所有相同接之間的流量或去往utsde接口的流量都必須匹一個(gè)NT規(guī)則同樣如果你在outsde接口上配置了動(dòng)態(tài)NT或T,那所有utside去往iside接口的流量也必須匹配N(xiāo)T規(guī)則;63 Typass當(dāng)啟用了attro那么iside的主機(jī)在通信前必須先匹配一個(gè)NT規(guī)則如果你想為特定的機(jī)或網(wǎng)段執(zhí)行NT,那么能夠使用NTpass——T免除;能夠使用三種方實(shí)現(xiàn)NTpass:l at0——at0后面義要pass的網(wǎng)絡(luò)或主機(jī);使用at0,不能外部往內(nèi)部起連接;l stat——使用該法,外部主也能夠從外往部發(fā)起連接;l NT免除——at0acss-lst命令,使用該方外部主機(jī)從外往內(nèi)部起連接NT免除不會(huì)考慮L中的端口號(hào);64策略T一般的NT只考慮要轉(zhuǎn)的真實(shí)的P地,然略NT能夠經(jīng)過(guò)擴(kuò)展L指定源和目的址來(lái)確要轉(zhuǎn)換的真的地址你也可的指定和目的口;比如,能夠指真實(shí)的P地址訪問(wèn)服務(wù)器A的時(shí)候?qū)⒌刂忿D(zhuǎn)換為,當(dāng)其訪服務(wù)器B時(shí)候?qū)?shí)地址轉(zhuǎn)換為;在策略NT中當(dāng)在L中為那些包含第個(gè)端的應(yīng)用指接口的候防火會(huì)自動(dòng)換第二口;在圖中,有一臺(tái)PC訪問(wèn)DMZ的兩臺(tái)服務(wù)器要求訪問(wèn)srvr1時(shí)源地址被轉(zhuǎn)換為209.165201.19;訪問(wèn)srvr2時(shí)源地址被轉(zhuǎn)換為30;hstacofi#acss-lstNT1prtphst7sthstacofi#acss-lstNT2prtphst7st209.16.200225hstacofi#atside)1ass-lsthstacofi#glba(utside)129hstacofi#atside)2ass-lstNT2hstacofi#glbalutsd)230在圖中,1012.024網(wǎng)段內(nèi)的主機(jī)訪問(wèn)的EB服務(wù)的時(shí)候,將源地址轉(zhuǎn)換為9訪問(wèn)209165.21.(同主機(jī)的lnet服務(wù)的時(shí)候?qū)⒃吹刂忿D(zhuǎn)換為30;hostname(config)#access-listWEBpermitcp255.255255.0host180hostname(config)#access-istTELNTpermitcp255.255.2550host209.165.201eq23hostname(config)#nat(insie)1accesslistWEBhostname(config)#global(otside)129hostname(config)#nat(insie)2accesslistTELNEThostname(config)#global(otside)230策略靜態(tài)NAT:上圖中,主機(jī)1.1..27的主有一個(gè)策略態(tài)NT的轉(zhuǎn),只有去往來(lái)自209165.21.027才進(jìn)行轉(zhuǎn)換而對(duì)24/27網(wǎng)不存轉(zhuǎn)換因此主機(jī)1..2.27不能到達(dá)該網(wǎng)hstacofi#acss-lstNT1prtp10.1.20424hstacofi#statcisid,utsid)9ass-l執(zhí)行NT的順序則l NT免除(at0ass-lst)l 靜態(tài)NT和靜態(tài)T(stt)l 策略動(dòng)態(tài)NT(atacss-lst)l 正常的動(dòng)態(tài)NTat)65 S和T上圖中服務(wù)是對(duì)外訪問(wèn)的務(wù)器其在DS服務(wù)器上注的公有地為20.165201.0,而且在SA上做有4到0靜態(tài)轉(zhuǎn)換現(xiàn)在內(nèi)部usr要訪問(wèn)該服務(wù)器發(fā)送個(gè)DS查詢請(qǐng)求,然后DS服務(wù)器予響應(yīng),告訴usrp.sc.om的地址為,SA收到響應(yīng)后,根據(jù)靜態(tài)轉(zhuǎn)換的目,將地址0轉(zhuǎn)換為101..14,然轉(zhuǎn)發(fā)給usr,usr直接內(nèi)部地址訪問(wèn)TP服務(wù)器。如果不啟用DS響應(yīng)修改(也叫DSDtr,那么內(nèi)部的主機(jī)直接發(fā)送流量0而是直接發(fā)流量到TP服。由于DS響應(yīng)中包含有名對(duì)應(yīng)的地,即應(yīng)包中包含第個(gè)P地址因此要打開(kāi)DS審;目的就是發(fā)現(xiàn)該址;發(fā)現(xiàn)第個(gè)地址后,根帶有DS關(guān)鍵字的靜語(yǔ)句來(lái)對(duì)第個(gè)地址做應(yīng)的修改(DS審查默認(rèn)下是開(kāi)的。hstacofi#statcisid,utsid)10...14task55該例子和上的例子有些同,該圖中TP服務(wù)器在Outsd,而不是在Isid;在SA上有對(duì)外部TP服務(wù)器的態(tài)轉(zhuǎn)換,將轉(zhuǎn)換為內(nèi)地址10.2.56。當(dāng)usr發(fā)送一個(gè)到該TP服器的DS請(qǐng)求時(shí),DS用地址0做響,由于你讓部用戶使用1.1..56的地址去訪(這樣做還一個(gè)好處就是內(nèi)部不需有到0的路由,此就需要對(duì)DS響應(yīng)包中的地stacofi#statcutsid,isid)10.1..560ntask5 動(dòng)態(tài)T和TD1

本節(jié)主要介紹幾個(gè)NT和T實(shí)現(xiàn)的實(shí)例我們能夠使用at命令為每個(gè)接指定相同的NT比如能夠在side和DMZ接口都使用一個(gè)NThstacofi#atside)110...0hstacofi#atd)110..1.0hstacofi#glbalutsd)129.165side和DMZ訪問(wèn)utside的時(shí)候,地址都被轉(zhuǎn)換為地址池1里面的地址;當(dāng)然,我們也能夠使用lbal命令為每個(gè)接口定相同的NT?？蠢?hstacofi#atside)110...0hstacofi#atd)110..1.0hstacofi#glbalutsd)129.165hstacofi#glbaldz)110.當(dāng)iside訪問(wèn)utside的時(shí)候,地址被轉(zhuǎn)換為209.15.20130;當(dāng)side訪問(wèn)dz的時(shí)候,執(zhí)行T,地址換為10..1.3;當(dāng)dz訪問(wèn)utside的時(shí)候,地址被轉(zhuǎn)換為209.16.2013209.16.2下面看一個(gè)utsideat和isideat的例子:使用at指明一組地址,那么這組址訪問(wèn)低級(jí)別或相同安全別的接口的候必須要執(zhí)行NT轉(zhuǎn)換當(dāng)這組地址問(wèn)高安全級(jí)接口接口的使用utside關(guān)鍵字的時(shí)候DMZ的主機(jī)訪問(wèn)side的主機(jī)的時(shí)候,DZ主機(jī)的址就會(huì)被轉(zhuǎn)為一個(gè)side網(wǎng)段的一個(gè)地址;如果不使用該鍵字,么流量返回的時(shí)候只會(huì)根據(jù)tatc轉(zhuǎn)換條目轉(zhuǎn)發(fā);hstacofi#atd)110..1.0utsidehstacofi#atd110.1..025.25.hstacofi#statcisid,dz)10.1..510..27ntask55//用于DMZ訪問(wèn)hstacofi#glba(utside)120.165.01.4hstacofi#glba(isid)110..23010..當(dāng)DMZ的主機(jī)訪問(wèn)utside的時(shí)候,將源地址轉(zhuǎn)為209.165.01.3中地址;由于在到內(nèi)部的靜態(tài)NT因此允許從DMZ訪問(wèn)部機(jī)10.1..27當(dāng)DMZ訪問(wèn)內(nèi)部1.1..27主機(jī)的候包的源地址為自己地址目地址為10..1.SA將源地址被轉(zhuǎn)換為10..2.40中的址目的地址根據(jù)靜態(tài)轉(zhuǎn)換換為10..266 實(shí)驗(yàn)練習(xí)661 兩個(gè)網(wǎng)絡(luò)使用相同的網(wǎng)絡(luò)地址空間(24,可是兩個(gè)網(wǎng)絡(luò)中的主機(jī)()必須相互通信。要求能配置防火來(lái)完成這個(gè)務(wù)。解:

我們用1代替SAIside地址為/4的主機(jī),用R3替DMZ區(qū)的19.16.100./24的主機(jī);凡是遇到地址重的情況,首想到的就是用向NT來(lái)解決;1.基本路由只使用靜)R1:itraeEthrnt0/0parssR2:itraeEthrnt0/0parss55.2!itraeEthrnt0/1parss2!R3:itraeEthrnt0/0parss!S:itraeEthrnt0/0afdzsurt-levl50parss55.2!itraeEthrnt0/1afisidesurt-levl100parssass-lstutsidaclxtnddprtpayany //為了便于測(cè)試,用payany2.NT配置將來(lái)自iside去往dz的網(wǎng)段的量的P轉(zhuǎn)換為10.1..0statcsid,dz)10.1..0192168.10.0ntask255.255.將來(lái)自dz去往iside的網(wǎng)段的量的P轉(zhuǎn)換為10.1..0statcd,side)10.1..0192168.10.0ntask255.255.因此,此時(shí)對(duì)于R3看來(lái)它是在和10...2通;在R1看來(lái),它是在和103.路由問(wèn)題:轉(zhuǎn)換后要重新考路由的問(wèn)題對(duì)于R2來(lái)說(shuō),并不知道怎么去1.1..0/24網(wǎng)段而對(duì)于R1知道怎么去10..3./24網(wǎng)段因?yàn)檫@里使用的靜態(tài)路由因此加態(tài)路由如那么就要在SA上將相應(yīng)的網(wǎng)段通告給相的備;r1ofi#prute10.1..0r2ofi#prute10.1..01..1.1r3ofi#prute10.1..012.16.1對(duì)于S,收到R3去往side的192.168.000的包的時(shí)候它就直接轉(zhuǎn)發(fā)給自己直的19218.100.0網(wǎng)段可是當(dāng)SA收到從R1返回給R3的包的時(shí)候在utside方向上卻找不到去往的路由,在SA上打開(kāi)log能夠看到:asafi#loggingonasafi#loggingbufrd7asafi#showloggS610001:Norutetorm10.1因此,需要在utsde方向上加一個(gè)去往的靜態(tài)路,可是又不能加24位,因?yàn)?4位的已經(jīng)和iside口直連了,因此要加一個(gè)掩碼同的段;ruteutside281.1..2ruteutside28281.加完路由后,在R3上tlnt10.1.2.,然后在墻上showonn以及在R1上dbugppaktd到:asafi#showconn1nus,10stTPut1..00.21005n23dle00112bts1asafi#r1#sowloggMar 1010715.265:P:s=10...2Etrnt0/0,d=Etrnt0/0,len662 口需求:

1.在SA上配置靜態(tài)T,轉(zhuǎn)后的地為utside接口的地址,要求在PC上t20.1..1016800的時(shí)候是tlnt到R1上;telnt01681的時(shí)候是tlnt到R21.Scofi#statcisid,utside)tcptrace1680010..Scofi#statcisid,utside)tcptrace1681