Cisco+Pix515E防火墙配置详解.doc

《Cisco+Pix515E防火墙配置详解.doc》由会员分享，可在线阅读，更多相关《Cisco+Pix515E防火墙配置详解.doc（11页珍藏版）》请在咨信网上搜索。

Cisco Pix515E防火墙配置详解 目录 一、PIX515分步配置 1． 准备工作…………………………………………………………………………….2 2．启动接口与转换地址 3 3．配置IPSEC VPN 4 4．配置VPN Client 拨入组……………………………………………………………5 二、VPN Client配置 9 注释：以！开始,灰色 实际配置：红色 用户填写参数：斜体绿色 需修改：斜体兰色带下划线 一、PIX515分步配置 1. 准备工作 1）连接Console口的线缆一条，带有串行接口的笔记本一台 2）进入配置模式 配置对象 防火墙（CISCO-PIX515E） 操作步骤 命令 目的（注释） Setp1 enable 进入特权模式 Setp2 config terminal 进入全局配置模式 Setp3 hostname name 设置防火墙主机名 Setp4 enable password password 设置进入特权模式的密码 实际配置： pixfirewall> enable ！　进入特权模式 pixfirewall# config terminal ！　进入全局配置模式 pixfirewall (config)# hostname pix515 ！ 设置防火墙主机名为pix515 pix515(config)# enable password 123456 ！ 设置进入特权模式的密码为123456 2．启动接口与转换地址 工作内容： 1) 开启接口与端口、为端口命名并设置安全级别 2) 端口地址转换 【步骤1】：开启接口与端口 Ø 命令步骤： 配置对象 防火墙（CISCO-PIX515E） 操作步骤 命令 目的（注释） Setp1 interface phy-name auto/10/100 启动接口 Setp2 Nameif ethernet0 outside/inside security 为端口命名，并设安全级别 Setp3 ip address name netaddress mask 为接口分配IP Setp4 fixup protocol name port 允许通过的端口 Ø 实际配置： interface ethernet0 auto ！启用以太网0口使用自适应模式 interface ethernet1 100full ！启用以太网1口并以100mbit/s全双工模式通信 nameif ethernet0 outside security0 ！为以太网端口0命名，并设安全级别为0 nameif ethernet1 inside security100 ！为以太网端口1命名，并设安全级别为100 ip address outside 218.247.x.x 255.255.255.128 ！设置（ethernet0端口）外网IP地址及掩码 ip address inside 192.168.x.x 255.255.255.0 ！设置（ethernet1端口）内网IP地址及掩码 fixup protocol http 80 ！启用http协议，对应该商品80，用来上WEB网 fixup protocol ftp 21 ！启用ftp协议，对应端口21，文件传输协议 fixup protocol smtp 25 ！启用smtp协议，对应端口25，用于邮件发送 【步骤2】：端口地址转换 Ø 命令步骤： 配置对象 防火墙（CISCO-PIX515E） 操作步骤 命令 目的（注释） Setp1 global (outside) num netaddress 全局地址池 Setp2 nat (inside) num net　 mask 允许进行nat的IP地址段 Step3 Route outside/inside ipaddress mask interface/ipaddr 设置路由 Ø 实际配置： global (outside) 1 interface ！这里的interface用来指定外部端口上的IP地址用于PAT nat (inside) 1 0.0.0.0 0.0.0.0　！允许局域网内所有网段的主机访问外网 route outside 0.0.0.0 0.0.0.0 121.13.x.x ！(route 命令为防火墙内网或处网端口定义一条静态路由),所有的内网数据从外网端口(outside口)离开并转发到下一跳路由器的IP地址121.13.x.x 3．配置IPSEC VPN 工作内容： 1) 配置IKE 2) 配置IPSEC 【步骤1】：配置IKE Ø 命令步骤： 配置对象 防火墙（CISCO-PIX515E） 操作步骤 命令 目的（注释） Setp1 Isakmp enable 激活或关闭IKE Setp2 Isakmp policy 创建IKE策略 Setp3 Isakmp key 配置预共享密钥 Step4 Show isakmp policy 验证IKE配置 Ø 实际配置： isakmp enable outside ！在外部接口上启用IKE协商 isakmp key 654321 address 0.0.0.0 netmask 0.0.0.0 ！设置预共享密钥和远端IP地址及子网掩码 isakmp identity address ！将IKE身份设置成接口的IP地址 isakmp nat-traversal 20 ！缺省keepalives时间20秒 isakmp policy 10 authentication pre-share ！使用预先共享密钥进行认证，配置基本的IKE策略 isakmp policy 10 encryption des ！指定56们的DES做为IKE策略的加密算法 isakmp policy 10 hash md5 ！指定MD5用于IKE策略加密算法 isakmp policy 10 group 2 ！定义phase1进行IKE协商使用DH　group 2 isakmp policy 10 lifetime 86400 ！每个安全关联的生存周期为86400秒(1天) 【步骤2】：配置IPSEC Ø 命令步骤： 配置对象 防火墙（CISCO-PIX515E） 操作步骤 命令 目的（注释） Setp1 Access-list 配置加密用访问控制列表 Setp2 Crypto ipsec transform-set 配置变换集套件 Setp3 Crypto ipsec security-association lifetime 配置全局ipsec安全关联生存时间 Step4 Crypto map 配置加密图 Step5 Crypto map mapname interface 将加密图应用到终止或起始接口 Step6 Show crypto ipsec option 显示配置项 Ø 实际配置： sysopt connection permit-ipsec　！对所有的IPSec流量不检测允许通过 crypto ipsec transform-set hj_set esp-des esp-md5-hmac ！ 可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE，那么只能定义一种变换集。用户能够选择多达三种变换。 crypto dynamic-map dynmap 10 set transform-set hj_set ！使用动态安全关联--创建动态的保密图集 crypto map hj_map 10 ipsec-isakmp dynamic dynmap ！ 将动态保密图集加入到正规的图集中(将动态加密图与静态加密图绑定) crypto map hj_map client configuration address initiate ！配置给每个vpn client分配IP地址 crypto map hj_map client configuration address respond ！配置防火墙接受来自任何地址的请求 crypto map hj_map interface outside ！绑定动态加密图到outside(ethernet0端口)接口 4．配置VPN Client 拨入组 配置对象 防火墙（CISCO-PIX515E） 操作步骤 命令 目的（注释） Setp1 Ip local pool pool_02 10.1.1.1-10.1.1.100 mask 255.255.255.0 定义本地IP地址池分配给VPN客户端接入用户 Setp2 Vpngroup name address-pool pool_02 创建地址vpn 拨入组,使用 Pool_02 的地址池 Setp3 Vpngroup name idle-time 1800 定义vpn 客户端拨入的空闲时间 Step6 Vpngroup name passwork ******* 创建VPN客户端拨入密码 Step7 write memory 将以上配置文件保存 注: router#copy running-config startup-config ；保存配置 router#copy running-config tftp ；保存配置到tftp router#copy startup-config tftp ；保存开机配置存到tftp router#copy tftp flash: ；下传文件到flash router#copy tftp startup-config；下载配置文件 　　ROM状态： 　　Ctrl+Break ；进入ROM监控状态 　　rommon>confreg 0x2142 ；跳过配置文件 　　rommon>confreg 0x2102 ；恢复配置文件 　　rommon>reset　 ；重新引导 　　rommon>copy xmodem: flash: ；从console传输文件 　　rommon>IP_ADDRESS=10.65.1.2 ；设置路由器IP 　　rommon>IP_SUBNET_MASK=255.255.0.0 ；设置路由器掩码 　　rommon>TFTP_SERVER=10.65.1.1 ；指定TFTP服务器IP 　　rommon>TFTP_FILE=c2600.bin ；指定下载的文件 　　rommon>tftpdnld ；从tftp下载 　　rommon>dir flash: ；查看闪存内容 　　rommon>boot ；引导IOS 二、PIX515配置文件（SHOW RUN） 注释：以！开始,绿色 实际配置：红色 用户填写参数：斜体兰色 需修改：斜体兰色带下划线 interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 ！配置特权模式密码、TELNET密码以及主机名域名 enable password yw@#lyc45j passwd yw@#lyc45j hostname pixfirewall domain-name pix fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5150 fixup protocol sip udp 5150 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 ！ 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表中为空 names ！设置访问控制列表 access-list 101 permit ip 192.168.0.0 255.255.0.0 193.168.1.0 255.255.255.0 access-list no-nat permit ip 192.168.0.0 255.255.0.0 193.168.1.0 255.255.255.0 ！每页24行 pager lines 24 ！Mtu：Max Trans Unit最大传输单元 mtu outside 1500 mtu inside 1500 ！设置IP地址 ip address outside 218.247.52.232 255.255.255.128 ip address inside 192.168.6.226 255.255.255.0 ！pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置 ip audit info action alarm ip audit attack action alarm ！定义本地IP地址池，以分配给用VPN Client拨入的用户 ip local pool pool1 193.168.1.10-193.168.1.20 mask 255.255.255.0 ！ PIX设备管理器可以图形化的监视PIX pdm logging informational 100 pdm history enable ！arp表的超时时间 arp timeout 14400 ！NAT global (outside) 1 interface nat (inside) 0 access-list no-nat nat (inside) 1 0.0.0.0 0.0.0.0 0 0 route inside 192.168.1.0 255.255.255.0 192.168.2.226 1 route inside 192.168.2.0 255.255.255.0 192.168.2.226 1 route inside 192.168.3.0 255.255.255.0 192.168.2.226 1 route inside 192.168.4.0 255.255.255.0 192.168.2.226 1 route inside 192.168.5.0 255.255.255.0 192.168.2.226 1 route inside 192.168.7.0 255.255.255.0 192.168.2.226 1 ！超时限制 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute ！AAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全 aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local ！用来通过web界面管理防火墙 http server enable http 192.168.0.0 255.255.05.0 inside ！由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人 no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps ！防止有人伪造大量认证请求，将pix的AAA资源用完。 floodguard enable no sysopt route dnat ！配置IpsecVPN ！不检查ipsec流量 sysopt connection permit-ipsec ！配置交换集 crypto ipsec transform-set hj_set esp-des esp-md5-hmac ！配置加密图 crypto dynamic-map hj_dynamicmap 10 set transform-set hj_set ！将动态加密图与静态加密图绑定 crypto map hj_map 10 ipsec-isakmp dynamic hj_dynamicmap ！配置给每个vpn client分配IP地址 crypto map hj_map client configuration address initiate ！配置防火墙接受来自任何地址的请求 crypto map hj_map client configuration address respond ！绑定动态加密图到outside接口 crypto map hj_map interface outside ！outside接口启用isakmp isakmp enable outside ！定义共享密钥，并接受来自任何地址的请求 isakmp key yw@#yc45j address 0.0.0.0 netmask 0.0.0.0 ！以地址标识对端 isakmp identity address ！允许客户端把IPSEC数据打包通过TCP或UDP的一个端口（默认10000）进行传输 isakmp nat-traversal 20 isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 ！配置VPN CLIENT拨入组 vpngroup hj_vpdngroup address-pool pool1 ! 定义VPN client拨入使用的vpngroup所分配的IP地址池 vpngroup hj_vpdngroup dns-server 218.247.52.1 ! 定义VPN组默认 DNS (可选) vpngroup hj_vpdngroup default-domain hj ! 定义 VPN 组的默认域名(可选) vpngroup hj_vpdngroup split-tunnel 101 ! 为VPN CLIENT启用隧道分离并符合访问控制列表101策略 vpngroup hj_vpdngroup idle-time 1800 ! 定义vpngroup的空闲时间 vpngroup hj_vpdngroup password 654321 ！定义vpngroup的pre-shared key ！telnet管理防火墙 telnet 192.168.0.0 255.255.0.0 inside telnet timeout 60 ssh 193.168.2.0 255.255.255.0 inside ssh timeout 60 console timeout 0 ！web界面管理防火墙的用户名密码 username hj_user password yw@#lyc45j privilege 15 terminal width 80 注：所有的配置均可通过no这个命令来取消. 如：no ip address inside 192.168.1.1 255.255.255.0 三、VPN Client配置 VPN Client应填参数 Connection Entry： vpdngroup_name Descirption：test HOST：218.247.52.232 (防火墙外网IP) Authentication->Group Authentication里应填参数 Name: vpdngroup_name Password：654321 Confirm Password：654321