1. 程式人生 > >思科防火墻基本配置思路及命令

思科防火墻基本配置思路及命令

3.0 主機 11.2 shu 註意事項 tcp 登陸 開啟 使用

修改防火墻名稱

config# hostname xxxx

配置特權密碼

config# enable password xxxx

遠程登陸密碼

config# password xxxx

配置接口名稱

config-if # nameif xxxx

配置接口安全級別

config-if # security-level xxxx(0-100)

訪問控制列表ACL分很多種,不同場合應用不同種類的ACL。其中最簡單的就是
《標準訪問控制列表》
,標準訪問控制列表是通過使用IP包中的源IP地址進行過濾,使用訪問控制列表號1到99來創建相應的ACL。

它的具體格式:
access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]

access-list-number 為1-99 或者 1300-1999之間的數字,這個是訪問列表號。

例如:access-list 10 deny host 192.168.1.1這句命令是將所有來自192.168.1.1地址的數據包丟棄。
當然我們也可以用網段來表示,對某個網段進行過濾。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255
通過上面的配置將來自192.168.1.0/24的所有計算機數據包進行過濾丟棄。為什麽後頭的子網掩碼表示的是0.0.0.255呢?這是因為CISCO規定在ACL中用反向掩瑪表示子網掩碼,反向掩碼為0.0.0.255的代表他的子網掩碼為255.255.255.0。

標準訪問列表配置實例:
R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 10 permit any
R1(config)#int fa0/0.1
R1(config-subif)#ip access-group 10 out
上面配置的含義是阻止來自網段192.168.2.0的機器從int fa0/0.1端口出去,訪問列表在配置好之後,要把它在端口上應用,否則配置了還是無效的。

    註意事項:
1、標準訪問列表,一般來說配置盡量靠近目的端。
2、配置的第二條命令中的any相當於 0.0.0.0 255.255.255.255
3、一定要加pemint any,使其他的網絡可通。
4、訪問列表是從上到下一條一條進行匹配的,所以在設置訪問列表的時候要註意順序。如果從第一條匹配到最後一條還是不知道要怎麽做,路由器就會丟棄這個數據包,也就是為什麽上面的例子中上一定要加permit any。
5、如果只阻止一個主機,那可以用 host 192.168.1.12 或者 192.168.1.12 0.0.0.0,這兩種配置是等價的。

刪除已建立的標準ACL
R1(config)#no access-list +access-list number
對標準的ACL來說,不能刪除單個acl語句,只能刪除整個ACL

《擴展訪問控制列表》
上面我們提到的標準訪問控制列表是基於IP地址進行過濾的,是最簡單的ACL。那麽如果我們希望將過濾細到端口怎麽辦呢?或者希望對數據包的目的地址進行過濾。這時候就需要使用擴展訪問控制列表了。使用擴展IP訪問列表可以有效的容許用戶訪問物理LAN而並不容許他使用某個特定服務(例如WWW,FTP等)。擴展訪問控制列表使用的ACL號為100到199。

擴展訪問控制列表的格式:
access-list access-list number {permit/deny} protocol +源地址+反碼 +目標地址+反碼+operator operan(It小於,gt大於,eq等於,neq不等於.具體可?)+端口號
1、擴展訪問控制列表號的範圍是100-199或者2000-2699。
2、因為默認情況下,每個訪問控制列表的末尾隱含deny all,所以在每個擴展訪問控制列表裏面必須有:access-list 110 permit ip any any 。
3、不同的服務要使用不同的協議,比如TFTP使用的是UDP協議。
4、更多註意事項可以參考上面標準訪問控制列表部分

例如:access-list 101 deny tcp any host 192.168.1.1 eq www //將所有主機訪問192.168.1.1這個地址網頁服務(WWW)TCP連接的數據包丟棄。

小提示:同樣在擴展訪問控制列表中也可以定義過濾某個網段,當然和標準訪問控制列表一樣需要我們使用反向掩碼定義IP地址後的子網掩碼。

擴展訪問控制列表配置實例:
R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq www
R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq ftp
R2(config)#int fa0/0
R2(config-if)#ip access-group 110 out
上面配置的含義是拒絕訪問192.168.1.12的www和ftp服務
實例二:
路由器連接了二個網段,分別為172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網段中有一臺服務器提供WWW服務,IP地址為172.16.4.13。
要求:禁止172.16.3.0的計算機訪問172.16.4.0的計算機,包括那臺服務器,不過惟獨可以訪問172.16.4.13上的WWW服務,而其他服務不能訪問。
路由器配置命令:
access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www //設置ACL101,容許源地址為任意IP,目的地址為172.16.4.13主機的80端口即WWW服務。由於CISCO默認添加DENY ANY的命令,所以ACL只寫此一句即可。
進入相應端口
ip access-group 101 out //將ACL101應用到端口

設置完畢後172.16.3.0的計算機就無法訪問172.16.4.0的計算機了,就算是服務器172.16.4.13開啟了FTP服務也無法訪問,惟獨可以訪問的就是172.16.4.13的WWW服務了。

刪除已建立的擴展標準ACL
刪除和標準一樣,不能單條刪除,只能刪除整個acl

《命名訪問控制列表》
不管是標準訪問控制列表還是擴展訪問控制列表都有一個弊端,那就是當設置好ACL的規則後發現其中的某條有問題,希望進行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會影響到整個ACL列表。這一個缺點影響了我們的工作,為我們帶來了繁重的負擔。不過我們可以用基於名稱的訪問控制列表來解決這個問題。

命名訪問控制列表格式:
ip access-list {standard/extended} access-list-name(可有字母,數字組合的字符串)

例如:ip access-list standard softer //建立一個名為softer的標準訪問控制列表。

命名訪問控制列表使用方法:
router(config)#ip access-list standard +自定義名
router(config-std-nac1)#11 permit host +ip //默認情況下第一條為10,第二條為20.如果不指定序列號,則新添加的ACL被添加到列表的末尾
router(config-std-nac1)#deny any
對於命名ACL來說,可以向之前的acl中插入acl,刪除也可以刪除單條acl,
如:router(config)#ip access-list standard benet
router(config-std-nasl)#no 11

使用show access-lists可查看配置的acl信息

《反向訪問控制列表》
反向訪問控制列表屬於ACL的一種高級應用。他可以有效的防範病毒。通過配置反向ACL可以保證AB兩個網段的計算機互相PING,A可以PING通B而B不能PING通A。
說得通俗些的話就是傳輸數據可以分為兩個過程,首先是源主機向目的主機發送連接請求和數據,然後是目的主機在雙方建立好連接後發送數據給源主機。反向ACL控制的就是上面提到的連接請求。

反向訪問控制列表的格式:
反向訪問控制列表格式非常簡單,只要在配置好的擴展訪問列表最後加上established即可。

反向訪問控制列表配置實例:
路由器連接了二個網段,分別為172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網段中的計算機都是服務器,我們通過反向ACL設置保護這些服務器免受來自172.16.3.0這個網段的病毒攻擊。
要求:禁止病毒從172.16.3.0/24這個網段傳播到172.16.4.0/24這個服務器網段。
路由器配置命令:
access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established //定義ACL101,容許所有來自172.16.3.0網段的計算機訪問172.16.4.0網段中的計算機,前提是TCP連接已經建立了的。當TCP連接沒有建立的話是不容許172.16.3.0訪問172.16.4.0的。
進入路由相應端口
ip access-group 101 out //將ACL101應用到端口

設置完畢後病毒就不會輕易的從172.16.3.0傳播到172.16.4.0的服務器區了。因為病毒要想傳播都是主動進行TCP連接的,由於路由器上采用反向ACL禁止了172.16.3.0網段的TCP主動連接,因此病毒無法順利傳播。

《定時訪問控制列表》

設置步驟:
1、定義時間段及時間範圍。
2、ACL自身的配置,即將詳細的規則添加到ACL中。
3、宣告ACL,將設置好的ACL添加到相應的端口中。

定義時間範圍的名稱:
router(config)#time-range time-range-name
定義一個時間周期
router(config-time-range)#periodic(周期) days-of-the-week hh:mm to [days-of-the-week] hh:mm
其中days-of-the-week的取值有
Monday Tuesday Wednesday Thursday Friday Saturday Sunday{周一到周日}
daily(每天)weekdays(在平日)weekend(周末)

定義一個絕對時間
router(config)#time-range time-range-name
router(config-time-range)#absolute [start hh:mm day month year] [end hh:mm day month year]
在擴展ACL中引入時間範圍
router(config)#access-list access-list-number {permit|deny} protocol {source ip +反碼 destination ip +反碼 +operator+time-range+time-range-name}

定時訪問控制列表實例:
路由器連接了二個網段,分別為172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網段中有一臺服務器提供FTP服務,IP地址為172.16.4.13。
要求:只容許172.16.3.0網段的用戶在周末訪問172.16.4.13上的FTP資源,工作時間不能下載該FTP資源。
路由器配置命令:
time-range softer //定義時間段名稱為softer
periodic weekend 00:00 to 23:59 //定義具體時間範圍,為每周周末(6,日)的0點到23點59分。當然可以使用periodic weekdays定義工作日或跟星期幾定義具體的周幾。
access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer //設置ACL,禁止在時間段softer範圍內訪問172.16.4.13的FTP服務。
access-list 101 permit ip any any //設置ACL,容許其他時間段和其他條件下的正常訪問。
進入相應端口。
ip access-group 101 out //應用到端口

基於時間的ACL比較適合於時間段的管理,通過上面的設置172.16.3.0的用戶就只能在周末訪問服務器提供的FTP資源了,平時無法訪問。

NAT

由器為Cisco2501,其IOS為11.2版本以上支持NAT功能)。

四、關於NAT的幾個概念:

內部本地地址(Inside local address)

:分配給內部網絡中的

計算機的內部IP地址。

內部合法地址(Inside global address)

:對外進入IP通信時,

代表一個或多個內部本地地址的合法

IP地址。需要申請才可取得的IP地址。

五、

NAT

的設置方法:

NAT

設置可以分為靜態地址轉換、動態地址轉換、復用動態地址

轉換。

1

、靜態地址轉換適用的環境

靜態地址轉換將內部本地地址與內部合法地址進行一對一的轉換,且

需要指定和哪個合法地址進行轉換。如果內部網絡有E-mail服務器或FTP

服務器等可以為外部用戶提供的服務,這些服務器的IP地址

必須采用靜態地址轉換,以便外部用戶可以使用這些服務。

靜態地址轉換基本配置步驟:

(1)、在內部本地地址與內部合法地址之間建立靜態地址轉換。

在全局設置狀態下輸入:

Ip nat inside source static

內部本地地址內部合法地址

(2)、指定連接網絡的內部端口

在端口設置狀態下輸入:

ip nat inside
(3)、指定連接外部網絡的外部端口

在端口設置狀態下輸入:
ip nat outside

註:可以根據實際需要定義多個內部端口及多個外部端口。

實例1:

本實例實現靜態

NAT地址轉換功能。將2501的以太口作為內部端口,同步端口0作為外部端口。其中10.1.1.2,10.1.1.3,10.1.1.4的內部本地地址采用靜態地址轉換。其內部合法地址分別對應為

192.1.1.2,192.1.1.3,192.1.1.4。路由器2501的配置:Current configuration:version 11.3

no service password-encryption

hostname 2501

ip nat inside source static 10.1.1.2 192.1.1.2

ip nat inside source static 10.1.1.3 192.1.1.3

ip nat inside source static 10.1.1.4 192.1.1.4

interface Ethernet0

ip address 10.1.1.1 255.255.255.0

ip nat inside

interface Serial0

ip address 192.1.1.1 255.255.255.0

ip nat outside

no ip mroute-cache

bandwidth 2000

no fair-queue

clockrate 2000000

interface Serial1

no ip address

shutdown

no ip classless

ip route 0.0.0.0 0.0.0.0 Serial0

line con 0

line aux 0

line vty 0 4

password cisco

end

配置完成後可以用以下語句進行查看:

show ip nat statistcs

show ip nat translations

line vty 0 4 password cisco end

3、復用動態地址轉換適用的環境:

復用動態地址轉換首先是一種動態地址轉換,但是它可以允許多個內部本地地址共用一個內部合法地址。只申請到少量IP地址但卻經常同時有多於合法地址個數的用戶上外部網絡的情況,這種轉換極為有用。

註意:當多個用戶同時使用一個IP地址,外部網絡通過路由器內部利用上層的如TCP或UDP端口號等唯一標識某臺計算機。

復用動態地址轉換配置步驟:
在全局設置模式下,定義內部合地址池

ip nat pool
地址池名字起始IP地址終止IP地址子網掩碼其中地址池名字可以任意設定。

在全局設置模式下,定義一個標準的access-list規則以允許哪些內部本地地址可以進行動態地址轉換。access-list 標號 permit 源地址通配符

其中標號為1-99之間的整數。在全局設置模式下,設置在內部的本地地址與內部合法IP地址間建立復用動態地址轉換。ip nat inside source list 訪問列表標號pool 內部合法地址池名字 overload 在端口設置狀態下,指定與內部網絡相連的內部端口

ip nat inside

在端口設置狀態下,指定與外部網絡相連的外部端口

ip nat outside

實例:應用了復用動態

NAT地址轉換功能。將2501的以太口作為內部端口,同步端口0作為外部端口。10.1.1.0網段采用復用動態地址轉換。假設企業只申請了一個合法的IP地址192.1.1.1。2501的配置Current configuration:
version 11.3 193.
no service password-encryption

hostname 2501

ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0

ip nat inside source list 1 pool bbb overload

interface Ethernet0

ip address 10.1.1.1 255.255.255.0

ip nat inside

interface Serial0

ip address 192.1.1.1 255.255.255.0

ip nat outside

no ip mroute-cache

bandwidth 2000

no fair-queue

clockrate 2000000

interface Serial1

no ip address

shutdown

no ip classless

ip route 0.0.0.0 0.0.0.0 Serial0

access-list 1 permit 10.1.1.0 0.0.0.255

line con 0

line aux 0

line vty 0 4

password cisco

end

思科防火墻基本配置思路及命令