防火墙基本命令与实验.doc

防火墙基本命令与实验本文由bierhu1991贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 1. 将 PIX 安放至机架，经检测电源系统后接上电源，并加电主机。 2. 将 CONSOLE 口连接到 PC 的串口上， 运行 HyperTerminal 程序从 CONSOLE 口进入 PIX 系统；此时系统提示 pixfirewall。 3. 输入命令：enable,进入特权模式，此时系统提示为 pixfirewall#。 4. 输入命令： configure terminal,对系统进行初始化设置。 5. 配置以太口参数: interface ethernet0 auto （auto 选项表明系统自适应网卡类型 ）interface ethernet1 auto 6. 配置一台口名称 Nameif outside(外网接口) Nameif inside（内网接口） Nameif DMZ （服务器区域接口） 7. 配置内外网卡的 IP 地址： ip address inside ip_address netmask （ip address ） ip address outside ip_address netmask 8. 配置接口安全级别 Security-level 100 （inside）接口默认安全级别是 100，Outside 接口默认安全级别是 0， DMZ 区域默认安全级别是 50 9. 配置默认路由使防火墙能连通外网 Route outside （下一跳的地址) 10. 配置静态主机映射（可以用来发布服务器到外网） Static （inside，outsdie） (outside 接口地址) 0 （内网需要映射主机的地址） 11. 配置静态主机端口映射 Static （inside，outsdie）tcp http 80(outside 接口地址) 0 http 80 12. 指定要进行要转换的内部地址： nat 1 ip_address netmask(1 转换地址池编号) 13. 指定外部地址范围： global 1 outsdie netmask （转换槽命令） 14. 指定 转换槽 IP 段 global 1 outsdie -0 netmask 15. 设置 telnet 选项： telnet local_ip local_ip 表示被允许通过 telnet 访问到 pix 的 ip 地址（如果不设此项， PIX 的配置 只能由 consle 方式进行） 。 16. 将配置保存： wr mem 14. 几个常用的网络测试命令： 17. #ping #show interface 查看端口状态 #show static 查看静态地址映射 18. 对网络对象分组 Fw（config）#object-group network inside-a Fw（config-network）#network-object host Fw（config-network）# network-object host 19. 对服务进行分组 Fw（config）#object-group service service-a Fw（config-service）#prot-object eq http Fw（config-service）#prot-object eq http Fw（config-service）#prot-object range 20 21 /range 指定端口的范围 20. 协议对象分组 Fw（config）#object-group protocol pro-a Fw（config-protocol）#protocol-object tcp Fw（config-protocol）#protocol-object udp Fw（config-protocol）#protocol-object ticmp 21、对 icmp 进行吩咐 Fw（config）#object-group icmp-type ping Fw（config-icmp-type）icmp-object echo Fw（config-icmp-type）icmp-object echo-reply 22、设置 tftp 服务器 Pix（config）# pixfirewall(config)# tftp-server inside pix （pix 为备份配置文件名称） Pix（config）#write net 保存配置 Pix（config）#configure net 上传配置 23、路由器设置 dhcp 服务器 Router(config)#service dhcp Router(config)#ip dhcp pool NET1（地址池名字） Router(dhcp-config)#network （地址池） Router(dhcp-config)#default-router （默认网关） Router(dhcp-config)#dns-server 50（DNS 服务器） Router(dhcp-config)#lease 1 （租期一天） 24、pix 接口设置自动获得 IP Pix（config-if）#nameif outside Pix（config-if）#ip address dhcp (防火墙外部接口自动获得 IP 地址) 25、pix 配置成 dhcp 服务器 Pix（config）#dhcpd address -00 inside 配置 DHCP 地址池，并指定该地址池应用于 inside 区域 Pix（config）# dhcpd dns 0 配置 DNS 信息，假设 dns 服务器地址为 0 Pix（config）# dhcpd lease 7200 配置 DHCP 租约时间，默认为 3600 秒 Pix（config）# dhcpd domain 配置域名 Pix（config）# dhcpd ping_timeout 10 配置 ping_timeout Pix（config）#dhcpd enable inside 应用在 inside 接口上 26、日志服务器配置 pixfirewall(config-if)# logging host inside 1 配置日志服务器 IP 地址 pixfirewall(config)# logging trap 6 设置日志级别 7 级为最高，6 级可以显示所有调试命令 pixfirewall(config)# logging enable 启用日志 27、asdm 配置 pixfirewall(config)#copy tftp：flash： 复制文件到闪存中 Address or name of remote host ? 输入 tftp 服务器 ip 地址 Source filename ?asdm-602.bin 输入要复制的文件名称 Destination filename *.bin? 目的地文件名称可以保持默认 28、启用防火墙上 http 服务 pixfirewall(config)# http server enable pixfirewall(config)# http 00 55 inside 输入内网要远程访问防火墙的主机地址，并指定端口名称 实验一 0 Pix（config）#interfere e0 Pix（config）#nameif inside Pix（config）#ip adderss 0 Pix（config）#no shutdown Pix（config）#interfere e1 Pix（config）#nameif outside Pix（config）#ip adderss Pix（config）#no shutdown Pix（config）#route outside Pix（config）#nat (inside) 1 Pix（config）#globle(outside) 1 interface Pix（config）#access-list 100 permit icmp any any echo Pix（config）#access-list 100 permit icmp any any echo-reply Pix（config）#access-group 100 in interface outsdie Inside(config)#interface f0/0 Inside(config)#ip address 0 Inside(config)#no shutdown Inside(config)#ip route outside(config) #interface f0/0 outside (config)#ip address outside (config)#no shutdown outside (config)#line vty 0 4 outside (config)#password 123 outside (config)#login outside (config)#enable password 123 本实验可以使 inside 主机 telnet 到外网的机器， 并设置访问控制列表使内网机器可以 ping 通 外网 实验二 0 Pix（config）#interfere e0 Pix（config）#nameif inside Pix（config）#ip adderss 0 Pix（config）#no shutdown Pix（config）#telnet 0 55 insdie Pix（config）#telnet timeout 15 Pix（config）#password cisco Inside(config)#interface f0/0 Inside(config)#ip address 0 Inside(config)#no shutdown Inside(config)#ip route 本实验可以使内网主机 telnet 到 pix 防火墙上进行管理 实验三 Pix（config）#interfere e0 Pix（config）#nameif inside Pix（config）#ip adderss Pix（config）#no shutdown Pix（config）#interfere e1 Pix（config）#nameif outside Pix（config）#ip adderss 31 Pix（config）#no shutdown Pix（config）#interfere e2 Pix（config）#nameif dmz Pix（config）#ip adderss 54 Pix（config）#route outside 54 Pix（config）#nat (inside) 1 Pix（config）#globle(outside) 1 interface Pix（config）#globle(dmz) 1 Pix（config）#static (dmz,outside) 31 Pix（config）#access-list 100 permit tcp any host 31 eq 23 Pix（config）#access-group 100 in interface outsdie Inside(config)#interface f0/0 Inside(config)#ip address 0 Inside(config)#no shutdown Inside(config)#ip route dmz(config) #interface f0/0 dmz (config)#ip address dmz (config)#no shutdown dmz(config)#ip route 54 dmz (config)#line vty 0 4 dmz (config)#password 123 dmz (config)#login dmz (config)#enable password 123 实验目的配置完成后，用 inside 主机 telnet 到 dmz 服务器上，用 outside 主机 telnet 到 dmz 服务器 实验四 Pix（config）#interfere e0 Pix（config）#nameif inside Pix（config）#ip adderss Pix（config）#no shutdown Pix（config）#interfere e1 Pix（config）#nameif outside Pix（config）#ip adderss 31 Pix（config）#no shutdown Pix（config）#interfere e2 Pix（config）#nameif dmz Pix（config）#ip adderss 54 Pix（config）#route outside 54 Pix（config）#nat (inside) 1 Pix（config）#globle(outside) 1 interface Pix（config）#nat （inside）0 Pix（config）#static (dmz,outside) 31 Pix（config）#access-list 100 permit tcp any host 31 eq 23 Pix（config）#access-group 100 in interface outsdie Inside(config)#interface f0/0 Inside(config)#ip address 0 Inside(config)#no shutdown Inside(config)#ip route dmz(config) #interface f0/0 dmz (config)#ip address dmz (config)#no shutdown dmz(config)#ip route 54 dmz (config)#line vty 0 4 dmz (config)#password 123 dmz (config)#login dmz (config)#enable password 123 验证使用 nat0 后，inside 主机不用做地址转换就可以访问 dmz 服务器 实验五 对象分组实验 1、 对网络对象分组 Fw（config）#object-group network inside-a Fw（config-network）#network-object host Fw（config-network）# network-object host 2、 对服务进行分组 Fw（config）#object-group service service-a Fw（config-service）#prot-object eq http Fw（config-service）#prot-object eq http Fw（config-service）#prot-object range 20 21 /range 指定端口的范围 3、 协议对象分组 Fw（config）#object-group protocol pro-a Fw（config-protocol）#protocol-object tcp Fw（config-protocol）#protocol-object udp Fw（config-protocol）#protocol-object ticmp 4、对 icmp 进行吩咐 Fw（config）#object-group icmp-type ping Fw（config-icmp-type）icmp-object echo Fw（config-icmp-type）icmp-object echo-reply Pix（config）#interfere e0 Pix（config）#nameif inside Pix（config）#ip adderss Pix（config）#no shutdown Pix（config）#interfere e1 Pix（config）#nameif outside Pix（config）#ip adderss Pix（config）#no shutdown Pix（config）#route outside Pix（config）#nat (inside) 1 Pix（config）#globle(outside) 1 interface Pix（config）# object-group icmp-type ping Pix（config-icmp-type）icmp-object echo Pix（config-icmp-type）icmp-object echo-reply pix（config）#object-group network inside-a pix（config-network）#network-object host 0 pix（config-network）# network-object host 0 Pix（config）#access-list 100 permit icmp object-group inside-a any object-group ping Pix（config）#access-list 100 permit icmp any object-group inside-a object-group ping /允许分组的两台主机 ping 外网主机地址 Pix（config）#access-group 100 in interface outside Pix（config）#access-list 200 deny icmp 0 host object-group ping Pix（config）#access-list 200 permit icmp any any object-group ping Pix（config）#access-group 200 in interface insdie /拒绝 0 的主机 ping 外网地址， 但允许其他的主机 ping 外网 outside(config)#interface f0/0 outside(config-if)#ip address outside(config-if)#no shutdown outside(config)#ip route outside(config)#interface loopback 0 outside(config-if)#ip address 实验六 DHCP 实验 1 Router(config)#int f0/0 Router(config-if)ip address 54 Router(config)#service dhcp Router(config)#ip dhcp pool NET1（地址池名字） Router(dhcp-config)#network （地址池） Router(dhcp-config)#default-router （默认网关） Router(dhcp-config)#dns-server 50（DNS 服务器） Router(dhcp-config)#lease 1 （租期一天） Pix（config）#int e0 Pix（config-if）#no sh Pix（config-if）#nameif outside Pix（config-if）#ip address dhcp (防火墙外部接口自动获得 IP 地址) 实验 2 Pix（config）#int e0 Pix（config-if）#no sh Pix（config-if）#nameif inside Pix（config-if）#ip address Pix（config）#dhcpd address -00 inside 配置 DHCP 地址池，并指定该地址池应用于 inside 区域 Pix（config）# dhcpd dns 0 配置 DNS 信息，假设 dns 服务器地址为 0 Pix（config）# dhcpd lease 7200 配置 DHCP 租约时间，默认为 3600 秒 Pix（config）# dhcpd domain 配置域名 Pix（config）# dhcpd ping_timeout 10 配置 ping_timeout Pix（config）#dhcpd enable inside 应用在 inside 接口上 实验七 日志服务器实验 pixfirewall(config)# int e0 pixfirewall(config-if)# no sh pixfirewall(config-if)# nameif inside pixfirewall(config-if)# ip address 2 pixfirewall(config-if)# logging host inside 1 pixfirewall(config)# logging trap 6 pixfirewall(config)# logging enable 启动 配置如下 实验八 rip ospf 路由 R1（config）#interface f0/0 R1(config-if)#no shutdown R1(config-if)#ip address R1（config）# interface loopback 0 R1(config-if)#ip address R1（config）#router rip R1（config）#version 2 R1(config-router)#network R1(config-router)#network Pix（config）#interface e0 Pix(config-if)#no shutdown Pix(config-if)#nameif outside Pix(config-if)#ip ad dress Pix（config）#router rip Pix (config-router)# version 2 Pix (config-router)#network Pix (config-router)# passive-interface outsdie R1（config）#interface f0/0 R1(config-if)#no shutdown R1(config-if)#ip address R1（config）# interface loopback 0 R1(config-if)#ip address R1 (config)#router ospf 100 R1config-router)#network 55 area 0 R1 (config-router)#network 55 area 0 Pix（config）#interface e0 Pix(config-if)#no shutdown Pix(config-if)#nameif outside Pix(config-if)#ip ad dress Pix (config)# router ospf 100 Pix (config-router)# network area 0 实验九 备份和还原 pix 配置 pixfirewall(config)# tftp-server inside pix pixfirewall(config)#write net 备份配置 pixfirewall(config)#configure net 还原配置 实验十 vpn 站点到站点 vpn pixfirewall(config)# int e0 pixfirewall(config-if)# no sh pixfirewall(config-if)# nameif inside pixfirewall(config-if)# ip address pixfirewall(config-if)# int e1 pixfirewall(config-if)# no sh pixfirewall(config-if)# nameif outsdie pixfirewall(config-if)# ip address pixfirewall(config)# route outsdie 0 0 pixfirewall(config)# nat (i