常见的防火墙品牌
华为、思科、H3C、TP-LINK、D-LINK、深信服、绿盟、网康、飞塔
常用配置命令
hostname 主机名 配置主机名
enable password 密码 配置特权密码
passwd 密码 配置远程登录密码
nameif name 配置接口名称
security-level number 配置接口的安全级别
write memory 保存ASA配置
clear configure all 清除ASA的所有配置
crypto key generate ras modulus 1024 生成ras密钥
show crypto key mypubkey rsa 查看生成的密钥
PS:防火墙默认拒绝ping命令,需要单独放行
Access-list 111 permit icmp any any
Access-group 111 in int outside 放行ICMP协议
不同安全级别的接口之间访问时,遵从默认规则:
- 允许出站(outbound)连接,默认安全级别为0(最低)
- 禁止入站(inbound)连接,默认安全级别为100(最高)
- 禁止相同安全级别的接口之间通信
在防火墙中配置ACL的作用
- 运行入站连接
- 控制出站连接的流量
动态PAT
Nat (inside) 1192.168.1.0 255.255.255.0
配置ASA内网接口的静态NAT 将此网段全部映射到外网地址上
Global (outside) 1192.168.2.254(地址不重叠)
使外网主机访问此端口时转发到内网对应主机(需配合端口映射补充配置)
实验一:使host1远程控制路由器及防火墙
1.配置路由器接口IP
① R1
R1(config)#interface f0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface f1/0 R1(config-if)#ip address 10.10.1.147 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit②R2
R2(config)#interface f0/0 R2(config-if)#ip address 192.168.2.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit2.配置防火墙
(1)配置接口IP并设置出入站
①入站
ciscoasa(config)# interface e0/0 切换接口 ciscoasa(config-if)# ip address 192.168.1.2 255.255.255.0 配置接口IP ciscoasa(config-if)# no shutdown 开启接口 ciscoasa(config-if)# nameif inside 设置为入口 ciscoasa(config-if)# security-level 100 设置安全级别为100 ciscoasa(config-if)# exit 返回②出站
ciscoasa(config)# interface e0/1 切换接口 ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0 设置接口IP ciscoasa(config-if)# no shutdown 启用接口 ciscoasa(config-if)# nameif outside 设置为出口(默认安全等级为0) ciscoasa(config-if)# security-level 0 设置安全等级 ciscoasa(config-if)# exit 返回(2)放行ICMP
ciscoasa(config)# access-list 111 permit icmp any any ciscoasa(config)# access-group 111 in interface outside(3)公布防火墙直连网络
ciscoasa(config)# router rip ciscoasa(config-router)# network 192.168.1.0 ciscoasa(config-router)# network 192.168.2.0(4)设置远程登录
ciscoasa(config)# enable password 123.com 设置进入特权模式密码 ciscoasa(config)# passwd 123.com 设置远程登录密码 ciscoasa(config)# telnet 10.10.1.0 255.255.255.0 inside 放行10.10.1.0网段进入远程连接3.路由器设置RIP及VTY远程登录
(1)R1
① RIP
R1(config)#router rip R1(config-router)#network 192.168.1.0 R1(config-router)#network 10.10.1.0②VTY
R1(config)#line vty 0 4 R1(config-line)#password 123.com R1(config-line)#exit(2)R2
①RIP
R2(config)#router rip R2(config-router)#network 192.168.2.0②VTY
R2(config)#line vty 0 4 R2(config-line)#password 123.com R2(config-line)#exit4.测试
①防火墙
②路由器
)
)
时,如何设计清洗规则筛选出有价值信息?)