思科防火墙完全配置.doc

第五章 防火墙的具体应用远键实业公司是一个典型的中小企业。大概100 人左右。是一家科技企业，主要从事计算机系统集成服务，大约有100 人左右，分为市场部、财务部、销售部、人力资源部、办公室、网络管理部、工程部，网络分成内网、外网。内网经常感染病毒，蠕虫，而且某些员工使用工具进行大数据量下载也影响网络正常工作，有时也发现来自外网黑客攻击现象，同时公司随着业务的发展也将扩大宣传，考虑建立一个Web 服务器用来对外发布信息。公司领导和网络部经过仔细讨论，决定在公司现有网络基础上部署一台防火墙。防火墙有很多种，国外和国内有很多防火墙。经过选型后公司选择一款Cisco PIX 515 防火墙。公司拓扑结构如下：公司网络要求一、配置公司PIX划分内网、外网及DMZ区域：远键实业公司的规模并不是很大，网络拓扑结构如上图，分为内网、外网。在满足内网用户快速访问INTERNET 的同时有效防止来自外网黑客攻击；此外，公司随着业务的发展也需要扩大宣传，市场部考虑建立电子营销，所以希望建立一个Web 服务器用来对外发布业务信息。公司网络管理部门决定在公司的防火墙上部署在内网和外网之间配置PIX划分内网、外网及DMZ区域。pixfirewallenapixfirewall#进入全局配置模式pixfirewall# conf t#配置防火墙接口的名字，并指定安全级别（nameif）。pixfirewall(config)#int e0pixfirewall(config-if)# nameif insidepixfirewall(config-if)# security-level 100pixfirewall(config)#int e1pixfirewall(config-if)# nameif dmzpixfirewall(config-if)# security-level 50pixfirewall(config)#int e2pixfirewall(config-if)# nameif outsidepixfirewall(config-if)# security-level 0security-leve 0 是外部端口outside 的安全级别（0 安全级别最高）security-leve 100 是内部端口inside 的安全级别,如果中间还有以太口，则security-leve 10，security-leve 20 等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmzsecurity-leve 50 是停火区dmz 的安全级别。#配置内外网卡的IP 地址pixfirewall(config)#int e0pixfirewall(config-if)# ip address 00 pixfirewall(config-if)# no shutpixfirewall(config)#int e1pixfirewall(config-if)# ip address pixfirewall(config-if)# no shutpixfirewall(config)#int e1pixfirewall(config-if)# ip address pixfirewall(config-if)# no shut在配置内外网卡的IP 地址时注意别忘了用no shutdown 命令来激活端口。（no shut 是noshutdown 的简写）。#允许内部网络服务器telnet pix（允许远程登录到防火墙）pixfirewall(config)# telnet inside#同时你也可以允许外部网络服务器远程登录到防火墙命令如下pix515(config)# telnet outside但为了安全最好是只允许内部网络服务器远程登录到防火墙，保证防火墙的安全。#配置远程登录密码Pix515(config)# password 123456以上表明远程登录密码为 123456#保存配置write memory在配置完成后，要记住保存配置，以便以后进一步的配置及管理。、配置DMZ#设置DMZ 接口IP 地址，设置好后可以按拓扑结构图测试从PIX 上ping 检查连通性。pixfirewall(config)#int e1pixfirewall(config-if)# ip address #允许DMZ 主机访问外部网络icmp 协议pixfirewall(config-if)# access-list acl_dmz permit icmp any any#应用策略到DMZ 接口 把acl_dmz 规则邦定到dmz 端口上使之生效pixfirewall(config-if)# access-group acl_dmz in interface dmz#发布DMZ 服务器到因特网 设置静态的因特网、局域网、dmz 区的访问关系static (dmz,outside) netmask 55#设置策略允许因特网访问DMZ 服务器80 端口pixfirewall(config)# access-list 100 permit tcp any host eq 80#将00 上的www 服务发布到公网static (inside,outside) tcp www 00 www netmask 55#允许DMZ 访问外部网络tcp 80 端口pixfirewall(config)# access-list acl_dmz permit tcp any eq 80#允许DMZ 访问外部网络tcp，udp 53 端口pixfirewall(config)# access-list acl_dmz permit tcp any eq 53pixfirewall(config)# access-list acl_dmz permit udp any eq 53#保存配置write memory二、配置PIX静态路由Cisco PIX 防火墙可以支持动态路由模式、静态路由模式、透明模式和混合模式，远键实业公司的规模并不是很大，但内网、外网和DMZ 区域都需要进行频繁通信，尤其是网站管理员需要经常从内网上传一些网页信息到Web 服务器，网络部希望防火墙能够支持公司网络能够在保障安全的同时，网络通信稳定。#增加一条静态路由，把DMZ 区域写入静态路由。pixfirewall(config)# route inside 00#发布DMZ 服务器到因特网 设置静态的因特网、局域网、dmz 区的访问关系pixfirewall(config)#static (dmz,outside) netmask55#设置策略允许内网访问DMZ 服务器80 端口pixfirewall(config)# access-list 100 permit tcp any host eq 80#保存配置write memory三、配置PIX防火墙实现NAT公司网络部希望架设防火墙后，公司要求跟外部Internet 进行通信时，内网使用私有IP 地址，这样可以隐藏公司网络内部拓扑结构，另外，也能提供一定程度的网络安全。另外，公司网络部也希望在防火墙上进行设置后在内网中多个公司员工可以同时公用一个合法IP 与外部Internet 进行通信。#用NAT 的方式允许内网用户用公网ip 访问INTERNETnat (inside) 1 0 0 (0 0 表示内网所有主机)global (outside) 1 interface#保存配置write memory四、配置PIX防火墙实现反向NAT公司市场部建立了一个Web 服务器，对外发布，要求外部人员可以通过Internet来访问公司网站服务器。#允许DMZ 主机访问外部网络icmp 协议access-list acl_dmz permit icmp any any#应用策略到DMZ 接口 把acl_dmz 规则邦定到dmz 端口上使之生效access-group acl_dmz in interface dmz#发布DMZ 服务器到因特网 设置静态的因特网、局域网、dmz 区的访问关系static (dmz,outside) 202.99.88. netmask 55 0 0#将00 上的www 服务发布到公网static (inside,outside) tcp 80 00 www netmask 55 0 0#设置策略允许因特网访问DMZ 服务器80 端口access-list 100 permit tcp any host eq 80#允许DMZ 访问外部网络tcp 80 端口access-list acl_dmz permit tcp any eq 80#允许DMZ 访问外部网络tcp，udp 53 端口access-list acl_dmz permit tcp any eq 53access-list acl_dmz permit udp any eq 53#保存配置write memory五、防止洪水攻击远键实业公司的规模并不是很大，网络拓扑结构如上图，分为内网、外网。在满足内网用户快速访问INTERNET 的同时有效防止来自外网黑客攻击；PixfirewallPixfirewallenPassword:Pixfirewallconf tPixfirewall(config)#access-list 101 deny icmp any any Pixfirewall(config)#exit六、配置防火墙入侵检测技术。PixfirewallPixfirewallenPassword:Pixfirewallconf tPixfirewall(config)#ipaduit attack action alarm Pixfirewall(config)#ip audit info action alarmPixfirewall(config)#exit当有数据包具有攻击或报告型特征码时，pix 将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息七、 防火墙的启动和性能监控启动防火墙：插上电源，打开开关。关闭防火墙：闭合开关，断开电源。Show blocks/clear blocks显示系统缓冲区利用情况Show checksum显示配置校验和Show conn列出所有的活跃连接Show history显示前面输入的行Show interface显示接口配置 显示接口的配置的接口信息，如接口的IP，子网掩码，接口速率等。Show memory显示系统内存的使用情况Show processes显示进程Show tech-support查看帮助技术支持分析员诊断问题的信息Show traffic显示接口的发送和接收活动Show version浏览PIX防火墙操作信息Show xlate查看地址转换信息熟练的对防火墙实现自身管理，以应对防火墙自身出现问题能够快速响应而不影响公司通过网络的业务运营。八、配置PIX流量控制公司网络经常出现员工上网速度缓慢，网络管理员查明后发现有人经常上网打网络游戏，或者从网络上在线看电影，网络管理员也很头疼，因此公司网络部为此要求通过防火墙能够根据部门分配Internet 带宽，并设定如果公司某员工违反公司策略打网络游戏，或者从网络上在线看电影，占用公司网络带宽，防火墙能够自动设别是哪一个员工，而且自动切断该员工与外网的连接。通过配置防火墙对流量进行限制。#进入流量管理pixfirewall(config)# priority-queue outside#流量的最高限制为256KB/Spixfirewall(priority-queue)# queue-limit 256#以字节来算的，为了保证10ms的间隔，一般来说设置为128pixfirewall(config-priority-queue)# tx-ring-limit 128#查看流量信息pixfirewall# sh priority-queue statisticsPriority-Queue Statistics interface outsideQueue Type = BEPackets Dropped = 0Packets Transmit = 0Packets Enqueued = 0Current Q Length = 0Max Q Length = 0Queue Type = LLQPackets Dropped = 0Packets Transmit = 0Packets Enqueued = 0Current Q Length = 0Max Q Length = 0流量限制作用：当前公司内的网络状况非常混乱，有人经常上网打网络游戏，或者从网络上在线看电影，所以决定进行流量限制。流量限制可以限制公司内每个员工的带宽，发现某个员工的流量异常时可以切断该员工与外网的连接。进行流量限制后，公司局域网的速度会明显提高，员工的工作效率也会提高。九、PIX防火墙口令恢复公司网络设备渐渐增加，服务器、路由器、交换机、防火墙等网络设备从物理安全考虑，都要设置安全口令，口令多了，会容易混淆或者忘记口令，网络管理员为了应对这样情况，也要求自己及时掌握防火墙口令丢失进行口令恢复的方法。PIX 防火墙密码恢复方法，步骤分解。在能够通过console 口连通的情况下，重新启动PIX，在出现启动消息后，根据屏幕提示在9 秒内按键盘BREAK 或ESC 键进入monitor 模式。#进入e0 口 （inside 口）monitor interface e0#设置本端口地址（PIXIP）monitor address 00#设置服务器地址 (本机IP)monitor server 00在本机安装tftp 软件并找到PIX 对应的BIN 包，如7.0 的np5.binpixfill#copy tftp flashAddress or name of remote host ? 00 (TFTP 服务器地址)Source filename ? np5.binDestination filename np5.bin?Do you want to over write? confirmAccessing t00/np5.bin.Erase flash: before copying? confirmErasing the flash filesystem will remove all files! Continue? confirmErasing device. eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee .erasedeeErase of flash: completeLoading np5.bin from 00(via Ethernet0/0): !文件下载成功后操作终端显示器会提示：Do you wish to erase the passwords? y/n yPasswords have been erased.因为设备众多，口令也就多了，非常容易混淆和忘记口令。忘记口令后，恢复口令就相当重要了。掌握了恢复口令，会对工作有很大的帮助。十、PIX防火墙VPN的实现公司员工经常需要通过Internet 与客户进行通信，由于Internet 是一个不安全的网络，其中公司有一些商业文档需要机密，公司网络部希望公司员工防火墙能够保障通过Internet 与公司重要客户进行通信时实现信息传输保密。对PIX 防火墙进行配置，实现VPN。一、基础知识：PPTP：点对点隧道协议点对点隧道协议（PPTP： Point to Point Tunneling Protocol）是一种支持多协议虚拟专用网络的网络技术。通过该协议，远程用户能够通过 Microsoft Windows NT 工作站、Windows XP 操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地 ISP，通过 Internet 安全链接到公司网络。PPTP 可以用于在 IP 网络上建立 PPP 会话隧道。在这种配置下，PPTP 隧道和PPP 会话运行在两个相同的机器上，呼叫方充当 PNS.PPTP 使用客户机服务器结构来分离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP 作为一个呼叫控制和管理协议，它允许服务器控制来自 PSTN 或 ISDN 的拨入电路交换呼叫访问并初始化外部电路交换连接。PPTP 只能通过 PAC 和 PNS 来实施，其它系统没有必要知道 PPTP.拨号网络可与 PAC相连接而无需知道 PPTP.标准的 PPP 客户机软件可继续在隧道 PPP 链接上操作。PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS 之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP 没有规定特定的算法用于低层控制，但它确实定义了一些通信参数来支持这样的算法工作。二、配置1、命令行方式直接在PIX上配置PPTP的VPN，即PIX作为PPTP方式VPDN的服务器ip local pool pptp -0/定义一个pptp 方式的vpdn拨入后获得的IP地址池，名字叫做pptp。此处地址段的定义范围不要和拨入后内网其他计算机的IP冲突，并且要根据拨入用户的数量来定义地址池的大小pixfirewall(config)# crypto ipsec transform-set xp esp-des esp-md5-hmac创建与加密相关的全局值pixfirewall(config)# crypto dynamic-map dymap 10 set transform-set xp创建一个动态加密映射项pixfirewall(config)# crypto map mymap 10 ipsec-isakmp dynamic dymap定义名字为mymap编号为10静态加密map, 将名字为dymap的动态加密map 映射到静态加密map mymap 上.pixfirewall(config)# crypto map mymap interface outside将静态加密map应用在外部接口上pixfirewall(config)#pixfirewall(config)# isakmp enable outside在外部接口上启用ISAKMP策略。pixfirewall(config)# isakmp key 123456 address netmask 针对分支机构的动态公有IP，配置ISAKMP预共享密钥，如123456，表示适合于所有的公有IP地址。pixfirewall(config)# isakmp policy 9 authentication pre-share定义编号为9的ISAKMP策略，认证方式使用预共享密钥:Pre-Share Keypixfirewall(config)# isakmp policy 9 encryption des对于编号为9的ISAKMP策略的加密算法使用despixfirewall(config)# isakmp policy 9 hash sha对于编号为9的ISAKMP策略的hash完整性算法使用shapixfirewall(config)# isakmp policy 9 group 2对于编号为9的ISAKMP策略，密钥交换组DH（Diffie-Hellman）长度为group 2pixfirewall(config)# isakmp policy 9 lifetime 86400对于编号为9的ISAKMP策略生存时期为86400秒。pptp使用1723端口，而通常pix里面的服务器对外都是做的静态NAT转换，但是光双向开放1723端口仍旧无法建立pptp的vpn连接，那么对于pix 6.3以上版本的pptp穿透可以用一条命令fixup protocol pptp 1723 来解决这个问题。通过对PIX 防火墙的设置，实现了VPN。公司内的一些商业机密能有了保障。通过Internet 与公司重要客户进行通信时实现信息传输保密。十一、建立Pix 防火墙日志重定向黑客攻