防火墙的安装和配置课件

资源描述

Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,第,8,章防火墙安装与配置,网络设备的安装与管理,本章内容, 防火墙安装, 防火墙配置, 配置,Cisco PIX,防火墙, 恢复,PIX,的口令, 升级,PIX,版本,8.1,防火墙安装,8.1.1 PIX,防火墙安装定制,在开始考虑安装,PIX,之前，必须决定哪种,PIX,模式能够满足你的业务需要。,PIX,系列产品中有许多相同的特征和功能；每个,PIX,模式中接口和连接数量是不同的。下面的问题将帮助理解你的网络需求，并把你的注意力集中到防火墙必须包含的服务和性能上。,有多少用户（连接）将会通过防火墙？,防火墙支持语音和多媒体应用吗？,本单位需要多少接口？,本单位需要,VPN,服务吗？若需要，安全级别是什么：,56,位,DES,、,168,位,3DES,还是两者都要？,防火墙需要如,VPN,加速卡等附件设备吗？,本单位希望使用,PIX,设备管理器吗？,本单位需要用容错性吗？,回答这些问题不仅能帮助你为单位选择适当的,PIX,模型，还能帮助你购买正确的许可证。,8.1.2,安装前,部署中的安装前阶段是确定,PIX,型号、许可证、特性和,物理位置的阶段,。,选择许可证,选择,PIX,型号,1.,选择许可证,无限制（,Unrestricted,）,当防火墙使用无限制（,UR,）许可证时允许安装和使用最大数量的接口和,RAM,。无限制许可证支持故障倒换功能。,受限（,Restricted,）,当防火墙使用受限制（,R,）许可证时，其支持的接口数量受到限制，另外，系统中的,RAM,的可用数量也受到限制。一个使用受限制许可证的防火墙不能通过配置故障倒换功能来实现冗余。,故障倒换（,Failover,）,当使用故障倒换（,FO,）软件许可证的,PIX,防火墙与使用无限制许可证的,PIX,防火墙协同工作时，将被置于故障倒换模式。,2,选择,PIX,型号,防火墙型号,许可证选项,受限,无限制,故障倒换（,Failover,）,加密,PIX501,10,位用户许可证,50,位用户许可证,N/A,56,位,DES,和,/,或,168,位,3DES,PIX506,56,位,DES,168,位,3DES,N/A,56,位,DES,和,/,或,168,位,3DES,PIX515,515-R,（,5000,条并发连接和,2,个接口）与,515-R-BUN,（,10000,条并发连接和,3,个接口）,515-UR,（,10000,条并发连接，,Failover,功能和,6,个接口）,515-Failover,束（提供备用,Failover,防火墙）,56,位,DES,和,/,或,168,位,3DES,PIX525,525-R,（,6,个接口，多达,280,，,000,条并发连接）,525-UR,（,8,个接口，,Failover,支持，多达,280,，,000,条并发连接）,525-Failover,束（提供备用,Failover,防火墙）,56,位,DES,和,/,或,168,位,3DES,PIX535,535-R,（,6,个接口，多达,500,，,000,条并发连接）,535-UR,（,8,个接口，,Failover,支持，多达,500,，,000,条并发连接）,535-Failover,束（提供备用,Failover,防火墙）,56,位,DES,和,/,或,168,位,3DES,型号选择主要基于两个方面：性能和容错性。,性能被分为两类：吞吐量和并发连接。,容错性是在,PIX515,平台中第一次被引入。,8.1.3,安装,接口配置,电缆连接,初始,PIX,输入,1.,接口配置,在,PIX,上对安全策略进行配置的第一步是确定要使用的接口并收集他的基本配置信息。每一个,PIX,都至少有两个接口：内部接口（较安全）和外部接口（较不安全）。使用表,8-2,可以帮组你简化配置,PIX,接口的过程，记录每个接口的基本信息是有用的。,防火墙配置,外部网,内部网,接口,1,接口,2,接口,3,接口,接口速度,IP,地址和掩码,接口名：,HW,接口名：,SW,安全级别,MTU,大小,2.,电缆连接,在启动,PIX,之前，把控制端口（,Console,）电缆连接到,PC,机,（通常是便于移动的笔记本电脑）的,COM,端口，再通过,Windows,系统自带的超级终端（,HyperTerminal,）程序进,行选项配置。防火墙的初始配置物理连接与前面介绍的交换,机初始配置连接方法一样，如图,8-1,所示。,3.,初始,PIX,输入,当,PIX515,通电后，会看到前置面板上的,3,个,LED,灯，如图,8-2,所示，分别标有,POWER,，,NETWORK,和,ACT,。当防火墙部件是活动的,failover,时，,ACT LED,会亮。如果没有配置,Failover,，,ACT LED,将总是亮着。当至少一个接口通过流量时，,NETWORK LED,会亮。,当你第一次启动,PIX,防火墙的时候，你应该看到如图,8-3,所示的以下输出：,8.2,防火墙配置,8.2.1,防火墙的基本配置原则,拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。,允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收,Email,，你必须在防火墙上设置相应的规则或开启允许,POP3,和,SMTP,的进程。,在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：,1,简单实用：,2,全面深入：,3,内外兼顾：,8.2.2,防火墙的初始配置,像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以,Cisco PIX,防火墙为例进行介绍。,防火墙与路由器一样也有四种用户配置模式，即：,非特权模式（,Unprivileged mode,）、特权模式（,Privileged Mode,）、配置模式（,Configuration Mode,）和端口模式（,Interface Mode,），,进入这四种用户模式的命令也与路由器一样：,防火墙的具体配置步骤如下：,1,将防火墙的,Console,端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，如图,8-1,。,2,打开,PIX,防火电源，让系统加电初始化，然后开启与防火墙连接的主机。,3,运行笔记本电脑,Windows,系统中的超级终端（,HyperTerminal,）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。,4,当,PIX,防火墙进入系统后即显示“,pixfirewall”,的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。,5,输入命令：,enable,，进入特权用户模式，此时系统提示为：,pixfirewall#,。,6,输入命令：,configure terminal,，进入全局配置模式，对系统进行初始化设置。,7.,配置保存：,write memory,8.,退出当前模式：,exit,9.,查看当前用户模式下的所有可用命令：,show,，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。,10.,查看端口状态：,show interface,，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。,11.,查看静态地址映射：,show static,，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。,8.3,配置,Cisco PIX,防火墙,这里我们选用第三种方式配置,Cisco PIX 525,防火墙。,1,同样是用一条串行电缆从电脑的,COM,口连到,Cisco PIX 525,防火墙的,console,口；,2,开启所连电脑和防火墙的电源，进入,Windows,系统自带的“超级终端”，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：,Date(,日期,),、,time(,时间,),、,hostname(,主机名称,),、,inside ip address(,内部网卡,IP,地址,),、,domain(,主域,),等，完成后也就建立了一个初始化设置了。此时的提示符为：,pixfirewall,。,3,输入,enable,命令，进入,Pix 525,特权用户模式，默然密码为空。,缺省情况下，,enable,命令假定用户尝试接入的特权级别是,15,（最高特权级别）。在配置,PIX,的基本网络接入的时候，有一些必须实施；,为防火墙接口分配,IP,地址；,配置防火墙名称、域名和密码；,设置防火墙路由；,配置防火墙的远程管理接入功能；,为出站流量设置地址转换；,配置,ACL,；,配置防火墙日志。,8.3.1,在防火墙接口上分配,IP,地址,要在网络中通信，防火墙需要在其接口上指定,IP,地址。这项工作在,PIX,的,6.x,和,7.x,版本中的实施有区别，但是基本步骤是一样的：,启用接口、配置接口参数、为该接口指定,IP,地址。,在,PIX,的,6.x,版本中分配,IP,地址,firewall# configure terminal,firewall(config)#,firewall(config)# interface ethernet0 auto,firewall(config)# interface ethernet1 auto,firewall(config)# nameif ethernet0 outside security0,firewall(config)# nameif ethernet1 inside security100,firewall(config)# ip address outside 10.19.24.1 255.255.255.0,firewall(config)# ip address inside 192.168.122.1 255.255.255.0,在,PIX,的,7.x,版本中分配,IP,地址,firewall(config)# interface ethernet 2,firewall(config-if)#,firewall(config-if)# no shutdown,firewall(config-if)# nameif dmz01,firewall(config-if)# security-level 50,firewall(config-if)# speed auto,firewall(config-if)# duplex auto,firewall(config-if)# ip address 10.21.67.17 255.255.255.240,8.3.2,配置防火墙名称、域名和密码,firewall(config)# hostname pix,pix(config)# domain-name pix.lab,pix(config)# passwd cisco,pix(config)# enable password cisco,8.3.3,配置防火墙路由设置,pix(config)# route outside 0.0.0.0 0.0.0.0 10.21.67.2 1,该,route,命令中末尾的,1,指明了下一跳的度量值,，这是可选的。通常缺省路由将会指向防火墙连接到,Internet,的下一跳路由，如,Internet,服务商网络中的路由器。,8.3.4,配置防火墙管理远程接入,PIX,防火墙支持三种主要的远程管理接入方式：,Telnet;,SSH;,ASDM/PDM,。,其中,Telnet,和,SSH,都是用来提供对防火墙的命令行界面（,CLI,）方式接入，而,ASDM/PDM,提供的则是一种基于,HTTPS,的图形化界面（,GUI,）管理控制台。,1.,配置,Telnet,接入,pix (config)# telnet 10.21.120.15 255.255.255.255 inside,2.,配置,SSH,接入,步骤,1,给防火墙分配一个主机名和域名；,步骤,2,生产并保存,RSA,密钥对；,步骤,3,配置防火墙允许,SSH,接入。,pix(config)# ca generate rsa key 1024,pix(config)# ca save all,pix(config)# crypto key generate rsa modulus 1024,pix(config)# ssh 10.21.120.15 255.255.255.255 inside,3.,配置,ASDM/PDM,接入,除了使用,CLI,的管理方式之外，,PIX,防火墙还支持一种,GUI,远程管理方式。在,PIX6.x,中，这种管理接口被称为,PIX,设备管理器（,PDM,）。而在,PIX,的,7.x,，该管理接口被称为自适应安全设备管理器（,ASDM,）。,pix(config)# http server enable,pix(config)# http 10.0.0.0 255.0.0.0 inside,ASDM/PDM,的接入是通过,Web,浏览器连接到,Web,服务器的方式来实现的。,ASDM,还可以通过一种基于,java,的应用来使用,ASDM,，而不用代开,Web,浏览器，如图,8-4,所示：,Cisco ASDM,简介,作为自适应安全设备管理器，,Cisco ASDM,以图形界面方式，配置和管理,Cisco PIX,和,Cisco ASA,安全设备。,Cisco ASDM,具有如下特点：,1.,集成化管理提高管理效率,2.,启动向导加速安全设备的部署,3.,仪表盘提供重要实时系统状态信息,4.,安全策略管理降低运营成本,5.,安全服务实现基于角色的、安全的管理访问,6. VPN,管理将安全连接扩展到远程站点,7.,管理服务与应用检测相互协作,8.,智能用户界面简化网络集成,9.,安全管理界面提供一致的管理服务,10.,监控和报告工具实现关键业务数据分析,Cisco ASDM,主页,VPN,配置,高级,OSPF,配置,监控和报告工具实现关键业务数据分析,（,1,）监控工具,（,2,）系统图,（,3,）连接图,（,4,）攻击保护系统图,（,5,）接口图,（,6,）,VPN,统计和连接图,1.,运行,ASDM,Cisco ASDM,主窗口,2.,为,NAT,创建,IP,地址池,（,1,）指定,DMZ,的,IP,地址范围,（,2,）为外部端口指定,IP,地址池,3.,配置内部客户端访问,DMZ,区的,Web,服务器,5.,为,Web,服务器配置外部,ID,4.,配置内部客户端访问,Internet,6.,允许,Internet,用户访问,DMZ,的,Web,服务,8.3.5,对出站实施,NAT,1,在,PIX 6.x,中配置,NAT,nat ,（,local-interface,）, id local-ip mask dns outside | norandomseq max_conns emb_limit,pix,（,config,）,# nat,（,insids,）,1 0.0.0.0 0.0.0.0,global ,（,if-name,）, nat-id global-ip -global-ip netmask global-mask | interface,pix,（,config,）,# global,（,outside,）,1 10.21.67.40-10.21.67.45 netmask 255.255.255.240,pix,（,config,）,# global,（,outside,）,1 interface,outside interface address added to PAT pool,pix,（,config,）,#,2,在,PIX 7.x,中配置,NAT,nat (real-ifc) nat-id real-ip mask dns outside tcp tcp-max-conns emb-limit udp udp-max-conns norandomseq,global (mapped-ifc) nat-id mapped-ip -mapped-ip netmask mask | interface,pix(config)# nat-control,pix(config)# nat (inside)1 0.0.0.0 0.0.0.0,pix(config)# global (outside)1 10.21.67.10-10.21.67.14 netmask 255.255.255.240,pix(config)# global (outside)1 interface,INFO: outside interface address added to PAT pool,pix(config)#,8.3.6,配置,ACLs,配置和实施,ACL,分两步完成：,定义,ACL,以及实施,ACE,；,将,ACL,应用于某接口。,1,定义,ACL,和实施,ACE,PIX,支持多种不同类型的,ACL,：,EtherType,访问列表,这种,ACL,根据,EtherType,值来过滤流量；,扩展访问列表,这是最常用的,ACL,实施类型，它用来对基于,TCP/IP,的流最进行通用目的的过滤；,标准访问列表,该,ACL,用来指定目的,IP,地址，它可以用来在路由映射表（,routemap,）中进行,OSPF,路由重分布；,WebType,访问列表,该,ACL,用来进行,WebVPN,的过滤，只在,PIX 7.1,或者更新版本中才被支持。,创建一组,ACL,的过程非常简单直接，通常需要定义如下的参数。,流量需要通过什么样的方式去匹配,ACL,中的,ACE,？,需要使用什么样的协议？,流量的源是什么？,流量的目的是什么？,使用了哪个,/,哪些应用端口？,参数,描述,default,（可选项）使用缺省的日志方式，即为每个被拒绝的报文发送同步日志消息,106023,deny,拒绝条件配置报文。在网络访问的环境中（,access-group,命令），该关键字阻止报文穿越安全工具。在类映射（,class-map,和,inspect,命令）中进行应用检查的环境中，该关键字将使得报文免受检查。一些特性并不允许使用拒绝,ACE,，比如说,NAT,。查阅各种特性的命令文档以获得更多关于,ACL,的信息,dest_ip,指定报文发往的网络或者主机的,IP,地址。在,IP,地址之前输入,host,关键字来指定一个单一的地址。在这种情况下，不需要输入掩码。输入,any,关键字以代替地址和掩码，用来指定所有地址,disable,(,可选项,),禁用针对该条,ACE,的日志,icmp_type,(,可选项,),如果协议是,ICMP,，指定,ICMP,类型,id,指定,ACL-ID,号,可以是字符串，也可以是最长,241,个字符的整数。该,ID,是区分大小写的。提示,:,使用大写字母会使你在配置中看到的,ACL-ID,更直观,inactive,(,可选项,),禁用一条,ACE,。要重新启用，输入整条,ACE,而不带,inactive,关健字。该特性能够维持一条,inactive,的,ACE,的记录，以便可以更方便地重新启用,interface ifc_name,指定接口地址，或者是源地址，或者是目的地址,interval secs,（可选项）指定日志区间上产生,106100,系统日志信息。有效值是从,1,到,600,秒。默认值是,300,level,(,可选项,),设定,106100,系统日志消息级别，从,0,到,7,，缺省级别是,6,line line-num,(,可选项,),指定在插入,ACE,的行号。如果你没有指定行号的话，,ACE,将会添加到,ACL,的未尾。该行号不会保存在配置中；它仅仅用来指定在哪儿插入,ACE,log,(,可选项,),当有从网络中接入的报文被一条,ACE,匹配到，并且般终被拒绝的时候，设置该选顶可以提供日志,(,通过,access-group,应用,ACL),。如果没有任何的修改而仅仅输入,log,关健字的话，将启用系统日志消息,106100,，并且使用默认的等级,(6),和默认周期,(300,秒,),。如果不输入,log,关键字，设备将使用缺省的日志方式，即使用系统日志消息,106023,mask,IP,地址的子网掩码。在输入指定网络掩码的时候，其方式和在,Cisco,的,IOS,中的,access-list,命令不一样。安全工具使用网络掩码,(,如,C,类地址是,255.255.255.0),。而,Cisco,的,IOS,是用通配符,(,如,0.0.0.255),object-group icmp_type_obj_grp_id,(,可选项,),如果协议是,ICMP,，该参数用来指定,ICMP,类型目标组的标识符。要添加一个目标组，请参考,object-group icmp-type,命令,object-group network_obj_grp_id,为一个网络目标组指定标识符。要添加目标组，请参考,object-group network,命令,object-group protocol_obj_grp_id,为协议目标组指定标识符。要添加目标组,.,请参考,object-group protocol,命令,object-group service_obj_grp_id,(,可选项,),如果设置的协议是,TCP,或者,UDP,，该参数为服务目标组指定标识符。要添加目标组，请参考,object-group service,命令,operator,(,可选项,),该参数被源或者目的用来匹配端口号。其允许的操作如下,:,It(,小于,),；,gt,(,大于,),；,eq,(,等于,),；,neq,(,不等于,),；,range(,包含一系列的值，当使用这种操作时，需要指定两个端口号，如,range 100 200),permit,允许条件匹配的报文。在网络访问的环境中,(acccss-group,命令,),，该关键字允许报文穿越安全工具。在类映射,(class-map,和,inspect,命令,),中进行应用检查的环境中，该关键字将使得报文接受检查,port,(,可选项,),如果设置的协议是,TCP,或者,UDP,，为,TCP,或者,UDP,端口指定一个整数或者名称。,DNS, Discard, Echo, Ident, NTP, RPC, SUNRPC,和,Talk,这样的协议需要在,TCP,和,UDP,中各自定义一个。,TACACS+,这样的协议只需要在,TCP,中定义一个端口号,49,protocol,指定,IP,协议的名称和号码。比如说，,UDP,是,17,，,TCP,是,6,，,EGP,是,47,src_ip,指定报文发送方的网络或者主机的,IP,地址。在,IP,地址之前输入,host,关键字，可以用来指定一个单一的地址。这种情况下，不用输入掩码。输入,any,关键字来代替地址和掩码，用来表示所有地址,time-range time_range_name,(,可选项,),在某天或者某周的指定时间激活,ACE,，这为,ACE,应用了时间范围。查阅,time-range,命令，以获得关于定义时间范围的信息,扩展,ACL,的命令语法及其参数如下所示：,access-list,id,line,line-number, extended deny | permit,protocol |,object-group,protocol_obj_grp_,id,src_ip mask |,interface,ifc_name |,object-group,network_obj_grp_id,operator port |,object-group,service_obj_grp_id, ,dest_ip mask |,interface,ifc_name |,object-group,network_obj_grp_,id ,operator port |,object-group,service_obj_grp_id |,object-group,icmp_type_obj_grp_id,log ,level, interval,secs,|,disable,|,default,inactive | time-range,time_range_name,尽管参数信息看上去非常多，但是在大多数情况下很多参数值都是可选的，甚至是不需要使用的。大多数时候对,access-list,命令的使用都是按照下面这种简化方式：,access-list id deny | permit protocol source destination operator port,举例来说，如果想要定义一条,ACL,，用来允许从任何主机到一台,Web,服务器的,HTTP,流量的话，需要运行下面的命令：,pix(config)# access-list out_in_01 permit tcp any host 10.21.67.2 eq http,在上述例子中，我们定义的,ACL,名称是“,out-in-01”,，并且将其配置成允许,TCP,的,80,端口（,HTTP,）流量可以从任何源访问目的地,10.21.67.2,。如果想使用同样的,ACL,来允许,SMTP,流量到另一台服务器，执行下面的命令：,pix(config)# access-list out_in_01 permit tcp any host 10.21.67.3 eq smtp,通过下面的命令，可以显示出这两行,ACL,条目己经被添加到了同一个,ACL,中（在所有,ACL,的末尾都有一条隐藏的,deny ip any any,规则，所以最好还是将这条规则显式地添加到所有,ACL,中去）。,pix(config)# show access-list out_in_01,access-list out_in_01; 2 elements,access-list out_in_01 line 1 extended permit tcp any host 10.21.67.2 eq www (hitcnt=0),access-list out_in_01 line 2 extended permit tcp any host 10.21.67.3 eq smtp (hitcnt=0),2,将,ACL,指定于某接口,无论防火墙上运行的是哪种版本的软件，,ACL,都是通过,access-group,命令来应用于接口的。在,6.x,和,7.x,版本中的惟一的真正区别是,7.x,可以在其语法中指定,in,或是,out,，如下所示：,access-group access-list in | out interface interface-name per-user-override,举例来说，如果想要应用前面定义好的,ACL,（,ACL out_in_01,）到防火墙的外部接口，可以运行下面的命令：,pix(config)# access-group out_in_01 in interface outside,到这里，假设你己经相应地配置了地址转换规则，那么在外部接口就会按照,ACL out_in_01,的规则相应地允许或者拒绝流最了。,8.3.7,在防火墙上配置日志,一般来说，,PIX,防火墙支持下列常用的日志终端：,控制台；,监控器（,Telnet,和,SSH,会话）；,ASDM,（,PIX 7.x,版本存在）；,远程通步日志服务器。,8.4,恢复,PIX,的口令,习题,1,填空,（,1,）防火墙的,4,种用户配置模式是,_,、,_,、,_,和,_,，进入各自配置模式所用的命令分别是,_,、,_,、,_,和,_,。,（,2,）防火墙的配置通常是通过,_,端口进行的，保存防火墙配置的命令是,_,，退出防火墙配置当前模式的命令是,_,，查看当前模式下所有可用命令的命令是,_,，查看端口状态的命令是,_,。,（,3,）创建标准访问列表的命令是,_,，删除标准访问列表的命令是,_,将规则应用于接口的命令是,_,，显示包过滤规则的命令是,_,，显示当前防火墙状态的命令是,_,。,2,简答题,（,1,）防火墙的,3,个基本特性和主要功能是什么？,（,2,）概述防火墙的分类。,（,3,）概述防火墙的主要应用和部署。,（,4,）防火墙的基本配置原则有哪些？,

展开阅读全文

防火墙的安装和配置课件

最新文档