防火墙的安装和配置.pptVIP

,第8章 防火墙安装与配置,网络设备的安装与管理,本章内容, 防火墙安装 防火墙配置 配置Cisco PIX防火墙 恢复PIX的口令 升级PIX版本,8.1 防火墙安装,8.1.1 PIX防火墙安装定制 在开始考虑安装PIX之前，必须决定哪种PIX模式能够满足你的业务需要。PIX系列产品中有许多相同的特征和功能；每个PIX模式中接口和连接数量是不同的。下面的问题将帮助理解你的网络需求，并把你的注意力集中到防火墙必须包含的服务和性能上。,有多少用户（连接）将会通过防火墙？ 防火墙支持语音和多媒体应用吗？ 本单位需要多少接口？ 本单位需要VPN服务吗？若需要，安全级别是什么：56位DES、168位3DES还是两者都要？ 防火墙需要如VPN加速卡等附件设备吗？ 本单位希望使用PIX设备管理器吗？ 本单位需要用容错性吗？ 回答这些问题不仅能帮助你为单位选择适当的PIX模型，还能帮助你购买正确的许可证。,8.1.2 安装前 部署中的安装前阶段是确定PIX型号、许可证、特性和 物理位置的阶段。 选择许可证 选择PIX型号,1.选择许可证 无限制（Unrestricted） 当防火墙使用无限制（UR）许可证时允许安装和使用最大数量的接口和RAM。无限制许可证支持故障倒换功能。 受限（Restricted） 当防火墙使用受限制（R）许可证时，其支持的接口数量受到限制，另外，系统中的RAM的可用数量也受到限制。一个使用受限制许可证的防火墙不能通过配置故障倒换功能来实现冗余。 故障倒换（Failover） 当使用故障倒换（FO）软件许可证的PIX防火墙与使用无限制许可证的PIX防火墙协同工作时，将被置于故障倒换模式。,2选择PIX型号,型号选择主要基于两个方面：性能和容错性。 性能被分为两类：吞吐量和并发连接。 容错性是在PIX515平台中第一次被引入。,8.1.3 安装 接口配置 电缆连接 初始PIX输入,1.接口配置 在PIX上对安全策略进行配置的第一步是确定要使用的接口并收集他的基本配置信息。每一个PIX都至少有两个接口：内部接口（较安全）和外部接口（较不安全）。使用表8-2可以帮组你简化配置PIX接口的过程，记录每个接口的基本信息是有用的。,2.电缆连接 在启动PIX之前，把控制端口（Console）电缆连接到PC机 （通常是便于移动的笔记本电脑）的COM端口，再通过 Windows系统自带的超级终端（HyperTerminal）程序进 行选项配置。防火墙的初始配置物理连接与前面介绍的交换 机初始配置连接方法一样，如图8-1所示。,3.初始PIX输入 当PIX515通电后，会看到前置面板上的3个LED灯，如图8-2所示，分别标有POWER，NETWORK 和ACT。当防火墙部件是活动的failover时，ACT LED会亮。如果没有配置Failover，ACT LED将总是亮着。当至少一个接口通过流量时，NETWORK LED会亮。,当你第一次启动PIX防火墙的时候，你应该看到如图8-3所示的以下输出：,8.2 防火墙配置,8.2.1 防火墙的基本配置原则 拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。,在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则： 1简单实用： 2全面深入： 3内外兼顾：,8.2.2 防火墙的初始配置 像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以Cisco PIX防火墙为例进行介绍。 防火墙与路由器一样也有四种用户配置模式，即：非特权模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样：,防火墙的具体配置步骤如下： 1将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，如图8-1。 2打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。 3运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。 4当PIX防火墙进入系统后即显示“pixfirewall”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 5输入命令：enable，进入特权用户模式，此时系统提示为：pixfirewall#。 6输入命令：configure terminal，进入全局配置模式，对系统进行初始化设置。 7. 配置保存：write memory 8. 退出当前模式：exit 9. 查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。 10. 查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。 11. 查看静态地址映射：show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。,8.3 配置Cisco PIX防火墙,这里我们选用第三种方式配置Cisco PIX 525防火墙。 1同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口； 2开启所连电脑和防火墙的电源，进入Windows系统自带的“超级终端”，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pixfirewall。 3输入enable命令，进入Pix 525特权用户模式，默然密码为空。,缺省情况下，enable命令假定用户尝试接入的特权级别是15（最高特权级别）。在配置PIX的基本网络接入的时候，有一些必须实施； 为防火墙接口分配IP地址； 配置防火墙名称、域名和密码； 设置防火墙路由； 配置防火墙的远程管理接入功能； 为出站流量设置地址转换； 配置ACL； 配置防火墙日志。,8.3.1 在防火墙接口上分配IP地址 要在网络中通信，防火墙需要在其接口上指定IP地址。这项工作在PIX的6.x和7.x版本中的实施有区别，但是基本步骤是一样的：启用接口、配置接口参数、为该接口指定IP地址。,在PIX的6.x版本中分配IP地址 firewall# configure terminal firewall(config)# firewall(config)# interface ethernet0 auto firewall(config)# interface ethernet1 auto firewall(config)# nameif ethernet0 outside security0 firewall(config)# nameif ethernet1 inside security100 firewall(config)# ip address outside firewall(config)# ip address inside ,在PIX的7.x版本中分配IP地址 firewall(config)# interface ethernet 2 firewall(config-if)# firewall(config-if)# no shutdown firewall(config-if)# nameif dmz01 firewall(config-if)# security-level 50 firewall(config-if)# speed auto firewall(config-if)# duplex auto firewall(config-if)# ip address 7 40,8.3.2 配置防火墙名称、域名和密码 firewall(config)# hostname pix pix(config)# domain-name pix.lab pix(config)# passwd cisco pix(config)# enable password cisco,8.3.3 配置防火墙路由设置 pix(config)# route outside 1 该route命令中末尾的1指明了下一跳的度量值，这是可选的。通常缺省路由将会指向防火墙连接到Internet的下一跳路由，如Internet服务商网络中的路由器。,8.3.4 配置防火墙管理远程接入 PIX防火墙支持三种主要的远程管理接入方式： Telnet; SSH; ASDM/PDM。 其中Telnet和SSH都是用来提供对防火墙的命令行界面（CLI）方式接入，而ASDM/PDM提供的则是一种基于HTTPS的图形化界面（GUI）管理控制台。,1.配置Telnet接入 pix (config)# telnet 5 55 inside 2.配置SSH接入 步骤1 给防火墙分配一个主机名和域名； 步骤2 生产并保存RSA密钥对； 步骤3 配置防火墙允许SSH接入。 pix(config)# ca generate rsa key 1024 pix(config)# ca save all pix(config)# crypto key generate rsa modulus 1024 pix(config)# ssh 5 55 inside,3.配置ASDM/PDM接入 除了使用CLI的管理方式之外，PIX防火墙还支持一种GUI远程管理方式。在PIX6.x中，这种管理接口被称为PIX设备管理器（PDM）。而在PIX的7.x，该管理接口被称为自适应安全设备管理器（ASDM）。 pix(config)# http server enable pix(config)# http inside,ASDM/PDM的接入是通过Web浏览器连接到Web服务器的方式来实现的。ASDM还可以通过一种基于java的应用来使用ASDM，而不用代开Web浏览器，如图8-4所示：,Cisco ASDM简介,作为自适应安全设备管理器，Cisco ASDM以图形界面方式，配置和管理Cisco PIX和Cisco ASA安全设备。,Cisco ASDM具有如下特点：,1. 集成化管理提高管理效率 2. 启动向导加速安全设备的部署 3. 仪表盘提供重要实时系统状态信息 4. 安全策略管理降低运营成本 5. 安全服务实现基于角色的、安全的管理访问 6. VPN管理将安全连接扩展到远程站点 7. 管理服务与应用检测相互协作 8. 智能用户界面简化网络集成 9. 安全管理界面提供一致的管理服务 10. 监控和报告工具实现关键业务数据分析,Cisco ASDM主页,VPN配置,高级OSPF配置,监控和报告工具实现关键业务数据分析,（1）监控工具 （2）系统图 （3）连接图 （4）攻击保护系统图 （5）接口图 （6）VPN统计和连接图,1. 运行ASDM,Cisco ASDM主窗口,2. 为NAT创建IP地址池,（1）指定DMZ的IP地址范围,（2）为外部端口指定IP地址池,3. 配置内部客户端访问DMZ区的Web服务器,5. 为Web服务器配置外部ID,4. 配置内部客户端访问Internet,6. 允许Internet用户访问DMZ的Web服务,8.3.5 对出站实施NAT 1在PIX 6.x中配置NAT nat （local-interface） id local-ip mask dns outside | norandomseq max_conns emb_limit pix（config）# nat （insids）1 global （if-name） nat-id global-ip -global-ip netmask global-mask | interface pix（config）# global （outside）1 0-5 netmask 40 pix（config）# global （outside） 1 interface outside interface address added to PAT pool pix（config）#,2在PIX 7.x中配置NAT nat (real-ifc) nat-id real-ip mask dns outside tcp tcp-max-conns emb-limit udp udp-max-conns norandomseq global (mapped-ifc) nat-id mapped-ip -mapped-ip netmask mask | interface pix(config)# nat-control pix(config)# nat (inside)1 pix(config)# global (outside)1 0-4 netmask 40 pix(config)# global (outside)1 interface INFO: outside interface address added to PAT pool pix(config)#,8.3.6 配置ACLs 配置和实施ACL分两步完成： 定义ACL以及实施ACE； 将ACL应用于某接口。,1定义ACL和实施ACE PIX支持多种不同类型的ACL： EtherType访问列表这种ACL根据EtherType值来过滤流量； 扩展访问列表这是最常用的ACL实施类型，它用来对基于TCP/IP的流最进行通用目的的过滤； 标准访问列表该ACL用来指定目的IP地址，它可以用来在路由映射表（routemap）中进行OSPF路由重分布； WebType访问列表该ACL用来进行WebVPN的过滤，只在PIX 7.1或者更新版本中才被支持。,创建一组ACL的过程非常简单直接，通常需要定义如下的参数。 流量需要通过什么样的方式去匹配ACL中的ACE？ 需要使用什么样的协议？ 流量的源是什么？ 流量的目的是什么？ 使用了哪个/哪些应用端口？,扩展ACL的命令语法及其参数如下所示： access-list id line line-number extended deny | permit protocol | object-group protocol_obj_grp_id src_ip mask | interface ifc_name | object-group network_obj_grp_id operator port | object-group service_obj_grp_id dest_ip mask | interface ifc_name | object-group network_obj_grp_id operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id log level interval secs | disable | default inactive | time-range time_range_name 尽管参数信息看上去非常多，但是在大多数情况下很多参数值都是可选的，甚至是不需要使用的。大多数时候对access-list命令的使用都是按照下面这种简化方式： access-list id deny | permit protocol source destination operator port,举例来说，如果想要定义一条ACL，用来允许从任何主机到一台Web服务器的HTTP流量的话，需要运行下面的命令： pix(config)# access-list out_in_01 permit tcp any host eq http 在上述例子中，我们定义的ACL名称是“out-in-01”，并且将其配置成允许TCP的80端口（HTTP）流量可以从任何源访问目的地。如果想使用同样的ACL来允许SMTP流量到另一台服务器，执行下面的命令： pix(config)# access-list out_in_01 permit tcp any host eq smtp 通过下面的命令，可以显示出这两行ACL条目己经被添加到了同一个ACL中（在所有ACL的末尾都有一条隐藏的deny ip any any规则，所以最好还是将这条规则显式地添加到所有ACL中去）。 pix(config)# show access-list out_in_01 access-list out_in_01; 2 elements access-list out_in_01 line 1 extended permit tcp any host eq www (hitcnt=0) a