当前位置:首页 >> 范文 >> 防火墙配置手册

防火墙配置手册

08-06

防火墙配置手册

1. 安装防火墙之前需要确定的信息:

1)防火墙安装地点,防火墙上连交换机的相关配置(确认与防火墙相连的交换机端口属于哪个Vlan ,由此确认防火墙外网口使用的IP 地址)

2)防火墙内网口IP 地址应由作业部来分配(询问对方二级网络的管理者),防火墙内网口地址作为二级服务器的网关。

3)防火墙需要添加的策略,策略由二级或三级人员来确认。策略一般形式:

10.88.253.XX (三级服务器地址)----访问----192.168.1.XX(二级服务器地址)----TCP1521(使用协议和端口号) (三级至二级策略需要添加)

192.168.1.XX(二级服务器地址)----访问----10.88.253.XX(三级服务器地址)----TCP1521(使用协议和端口号) (一般二级至三级策略不做添加)

其中三级服务器地址、二级服务器地址、使用协议和端口号根据实际情况来确定。

4)NAT 转换之后的地址,将二级网络服务器的地址转换成为三级网络中的地址,其地址与防火墙外网口地址在同一网段。

安装实例:1)防火墙在指挥中心汇聚层交换机g2/1口(Vlan2 ,10.99.215.0/24)防火墙外网口地址为10.99.215.240(地址可由管理员分配或者防火墙安装人员自己确认后告知管理员)。

2)防火墙内网口地址为192.168.2.2(二级确定)

3)添加策略:10.88.253.60访问192.168.2.1----TCP8080(防火墙安装申请人确定)

4)NAT 转换192.168.2.1----10.99.215.242(管理员或安装人员确定)

2. 防火墙加电启动:

CISCO SYSTEMS

Embedded BIOS Version 1.0(12)13 08/28/08 15:50:37.45

Low Memory: 632 KB

High Memory: 507 MB

PCI Device Table.

Bus Dev Func VendID DevID Class Irq

00 01 00 1022 2080 Host Bridge

00 01 02 1022 2082 Chipset En/Decrypt 11

00 0C 00 1148 4320 Ethernet 11

00 0D 00 177D 0003 Network En/Decrypt 10

00 0F 00 1022 2090 ISA Bridge

00 0F 02 1022 2092 IDE Controller

00 0F 03 1022 2093 Audio 10

00 0F 04 1022 2094 Serial Bus 9

00 0F 05 1022 2095 Serial Bus 9

Evaluating BIOS Options ...

Launch BIOS Extension to setup ROMMON

Cisco Systems ROMMON Version (1.0(12)13) #0: Thu Aug 28 15:55:27 PDT 2008

Platform ASA5505

Use BREAK or ESC to interrupt boot.

Use SPACE to begin boot immediately.

Launching BootLoader...

Default configuration file contains 1 entry.

Searching / for images to boot.

Loading /asa724-k8.bin... Booting...

#######################################################################################################################################################################################################################################################################################################################################################################################################

###################################################################################################################

512MB RAM

Total SSMs found: 0

Total NICs found: 10

88E6095 rev 2 Gigabit Ethernet @ index 09 MAC: 0000.0003.0002

88E6095 rev 2 Ethernet @ index 08 MAC: c84c.7570.c1bb

88E6095 rev 2 Ethernet @ index 07 MAC: c84c.7570.c1ba

88E6095 rev 2 Ethernet @ index 06 MAC: c84c.7570.c1b9

88E6095 rev 2 Ethernet @ index 05 MAC: c84c.7570.c1b8

88E6095 rev 2 Ethernet @ index 04 MAC: c84c.7570.c1b7

88E6095 rev 2 Ethernet @ index 03 MAC: c84c.7570.c1b6

88E6095 rev 2 Ethernet @ index 02 MAC: c84c.7570.c1b5

88E6095 rev 2 Ethernet @ index 01 MAC: c84c.7570.c1b4

y88acs06 rev16 Gigabit Ethernet @ index 00 MAC: c84c.7570.c1bc

Licensed features for this platform:

Maximum Physical Interfaces : 8

VLANs : 3, DMZ Restricted

Inside Hosts : 50

Failover : Disabled

VPN-DES : Enabled

VPN-3DES-AES : Disabled

VPN Peers : 10

WebVPN Peers : 2

Dual ISPs : Disabled

VLAN Trunk Ports : 0

This platform has a Base license.

Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0) Boot microcode : CNlite-MC-Boot-Cisco-1.2 SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03 IPSec microcode : CNlite-MC-IPSECm-MAIN-2.05

Cisco Adaptive Security Appliance Software Version 7.2(4)

****************************** Warning ******************************* This product contains cryptographic features and is

subject to United States and local country laws

governing, import, export, transfer, and use.

Delivery of Cisco cryptographic products does not

imply third-party authority to import, export,

distribute, or use encryption. Importers, exporters,

distributors and users are responsible for compliance

with U.S. and local country laws. By using this

product you agree to comply with applicable laws and

regulations. If you are unable to comply with U.S.

and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic

products may be found at:

http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by

sending email to [email protected].

******************************* Warning *******************************

Copyright (c) 1996-2008 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph

(c) of the Commercial Computer Software - Restricted

Rights clause at FAR sec. 52.227-19 and subparagraph

(c) (1) (ii) of the Rights in Technical Data and Computer

Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.

170 West Tasman Drive

San Jose, California 95134-1706

Cryptochecksum (unchanged): a2d81b58 91233e1e c472925c 202e14e6

Type help or '?' for a list of available commands.

ciscoasa>

ciscoasa>

ciscoasa>

ciscoasa>

3. 通过show run命令查看防火墙初始配置,防火墙初始密码为空

ciscoasa> en

Password: (直接回车)

ciscoasa# sh run (查看初始配置)

: Saved

:

ASA Version 7.2(4)

hostname ciscoasa (防火墙命名)

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Vlan1 (防火墙内网口所在Vlan ,配置时不需改动)

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0 (防火墙内网口初始配置,需要改动) !

interface Vlan2 (防火墙外网口所在Vlan )

nameif outside

security-level 0

ip address dhcp setroute (防火墙外网口初始配置,需要改动)

!

interface Ethernet0/0

switchport access vlan 2 (e0/0属于外网口,在配置时不做改动)

!

interface Ethernet0/1 (初始情况下e0/0-7均为内网口,配置时不做改动) !

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

interface Ethernet0/7

!

ftp mode passive

pager lines 24

logging asdm informational

mtu inside 1500

mtu outside 1500

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

global (outside) 1 interface (配置时需要删除)

nat (inside) 1 0.0.0.0 0.0.0.0 (配置时需要删除)

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd auto_config outside

!

dhcpd address 192.168.1.2-192.168.1.129 inside (配置时需要删除)

dhcpd enable inside (配置时需要删除)

!

!

prompt hostname context

Cryptochecksum:a2d81b5891233e1ec472925c202e14e6

: end

4. 配置防火墙

1)首先删除已经标示出的4条语句,并给防火墙命名

ciscoasa> en

Password:

ciscoasa# conf t

ciscoasa(config)# host FW-ZHZX-TEST-ASA5505-01 (防火墙命名规则)

FW-ZHZX-TEST-ASA5505-01(config)# no dhcpd enable inside

FW-ZHZX-TEST-ASA5505-01(config)# no dhcpd address 192.168.1.2-192.168.1.129 in$ (当语句过长时,自动缩进)

FW-ZHZX-TEST-ASA5505-01(config)# no global (outside) 1 interface

FW-ZHZX-TEST-ASA5505-01(config)# no nat (inside) 1 0.0.0.0 0.0.0.0

FW-ZHZX-TEST-ASA5505-01(config)#

(我们可以直接复制粘贴)

2)更改防火墙防火墙外网口和内网口地址

FW-ZHZX-TEST-ASA5505-01(config)# int vlan 1 (设置Vlan1地址)

FW-ZHZX-TEST-ASA5505-01(config-if)# no ip address 192.168.1.1 255.255.255.0 (删除原先初始地址)

FW-ZHZX-TEST-ASA5505-01(config-if)# ip address 192.168.2.2 255.255.255.0 (配置新IP 地址和子网掩码)

FW-ZHZX-TEST-ASA5505-01(config-if)# int vlan 2

FW-ZHZX-TEST-ASA5505-01(config-if)# no ip address dhcp setroute (删除原先配置)

FW-ZHZX-TEST-ASA5505-01(config-if)# ip add 10.99.215.240 255.255.255.0 (配置新IP 地址和子网掩码)

FW-ZHZX-TEST-ASA5505-01(config-if)# exit

FW-ZHZX-TEST-ASA5505-01(config)#

可以再次使用show run命令来查看防火墙配置(省略)

3)配置NAT

将二级网络中的服务器地址192.168.1.1转换成为三级网络地址10.99.215.242

FW-ZHZX-TEST-ASA5505-01(config)#static (inside,outside) 10.99.215.242 192.168.1.1 (注意转换之后的地址再前,源地址在后,注意空格)

FW-ZHZX-TEST-ASA5505-01(config)#

4)配置访问控制列表

FW-ZHZX-TEST-ASA5505-01(config)# access-list out extended permit tcp host 10.88.253.60 host 10.99.215.242 eq 1521

其中access-list 是指访问控制列表;out 是列表的名称,可以更改;tcp 是使用的协议;在单个主机ip 地址之前需要添加host ;源地址(10.88.253.60)在前,目的地址(10.99.215.242)再后,目的地址必须是转换之后的地址;1521为端口号

FW-ZHZX-TEST-ASA5505-01(config)# access-list out extended per icmp any any Icmp 全开,用于ping 测试

FW-LGQ-YLFXZX-ASA5505-01(config)# access-group out in interface outside access-group 的命名和access-list 的命名必须相同,将此列表应用到outside 口的in 方向

5)配置默认路由

FW-LGQ-YLFXZX-ASA5505-01(config)# route outside 0.0.0.0 0.0.0.0 10.99.215.1 防火墙外网口的路由,指向外网口所在网段的网关。当内网存在路由时需要在内网口同样添加路由。

6)配置ssh 和telnet

在外网使用ssh 登录,在内网使用telnet 登录

FW-ZHZX-TEST-ASA5505-01(config)# ssh 0.0.0.0 0.0.0.0 outside

FW-ZHZX-TEST-ASA5505-01(config)# telnet 0.0.0.0 0.0.0.0 inside

7)配置用户名和密码

FW-ZHZX-TEST-ASA5505-01(config)# username cisco password passw0rd

FW-ZHZX-TEST-ASA5505-01(config)# passwd passw0rd

FW-ZHZX-TEST-ASA5505-01(config)# enable password passw0rd

FW-ZHZX-TEST-ASA5505-01(config)# crypto key generate rsa modulus 1024(设置密钥)

INFO: The name for the keys will be:

Keypair generation process begin. Please wait...

FW-ZHZX-TEST-ASA5505-01(config)#wr (注意保存)

Building configuration...

Cryptochecksum: 2fa9b4ac af6f3830 db4cb104 41c0dc32

1784 bytes copied in 1.190 secs (1784 bytes/sec)

[OK]

5. 将防火墙安装到指定位置并测试

将电脑配上二级服务器地址并连接到防火墙的内网口,通过电脑ping 三级地址,能ping 通说明配置基本正确

最终配置

FW-ZHZX-TEST-ASA5505-01(config)# sh run

: Saved

:

ASA Version 7.2(4)

!

hostname FW-ZHZX-TEST-ASA5505-01 (防火墙命名)

enable password mrWn3gw5IdrzQmiH encrypted (登录使用的用户名和密码,已经加 passwd mrWn3gw5IdrzQmiH encrypted 密)

names

!

interface Vlan1

nameif inside

security-level 100

ip address 192.168.2.2 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0 (内网相关配置)

ip address 10.99.215.240 255.255.255.0 (外网相关配置)

!

interface Ethernet0/0 (e0/0为外网口)

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7 ( 其余均为内网口)

!

ftp mode passive

access-list out extended permit icmp any any

access-list out extended permit tcp host 10.88.253.60 host 10.99.215.242 eq sqlnet

pager lines 24

logging asdm informational

mtu inside 1500

mtu outside 1500

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

static (inside,outside) 10.99.215.242 192.168.2.1 netmask 255.255.255.255 access-group out in interface outside

route outside 0.0.0.0 0.0.0.0 10.99.215.1 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart telnet 0.0.0.0 0.0.0.0 inside

telnet timeout 5

ssh 0.0.0.0 0.0.0.0 outside

ssh timeout 5

console timeout 0

dhcpd auto_config outside

!

username cisco password yRcFCw7nvKbWOrIP encrypted

!

!

prompt hostname context

Cryptochecksum:2fa9b4acaf6f3830db4cb10441c0dc32 : end


    与《防火墙配置手册》相关的范文

  • 07-14 网络工程师职业规划

    • 网络工程师职业规划   a.路由器、交换机方向网络工程师   第一阶段第二阶段第三阶段第四阶段   万丈高楼平地起,基础知识还是蛮重要的本基的路由交换知识的了解以及配置方法   时间久了,免不了出故障,排除故障也很重要发展到cTo级别就要考虑网络的整体部署了   ?TcP/IP协议专题 ?子网掩码教程?路由协议专题 ?路由器技术指南 ?交换机典型配置 ?访问控制列表介绍·路由故障处理手册·交换机故 ...

  • 04-19 客房部筹备开业计划

    • 客房部筹备开业计划 客房部开业前的工作主要是建立起部门运转系统,并为开业及开业后的运营在人、财、物等各方面做好充分的准备 一、对大堂、客房及客房部工作区域的布局、功能设计、装修、设备及客用品配置提出建议 1、熟悉酒店区域的设计蓝图,并实地察看; 2、对客房部工作区域的布局、客房功能设计提出建议; -布局: 客房部各工作区域布局的合理性,如:总机房、行李房、行政楼层接待处、工作间、客房服务中心、洗衣 ...

  • 11-27 构建三大安保体系,筑起校园安全防火墙-校园安全预案

    • 构建三大安保体系,筑起校园安全防火墙 5月3日全国综治维稳工作电视电话会议后,##县迅速行动,采取有效措施,加强校园安全防范,切实维护校园稳定。4日至6日,县四套班子领导任玉明、汪大清、张加波、谢崇福等率相关部门单位负责人分别到挂钩学校开展校园安全督查与调研指导,切实解决校园安全问题,县教育局、公安局等部门单位密切配合,各乡镇政府将校园安保作为重中之重工作来抓,联合开展行动,形成高压态势,构建了科 ...

  • 05-15 厂区保安管理制度

    • 厂区保安管理制度 一、保安管理方式 (一)、安全管理工作 1、管理目标 (1)确保厂区内无因管理责任引发的重大火灾。 (2)维护好厂区内的公共秩序,控制车辆、货物、人员有效进出。 (3)有预见性地对任何可能危急的安全情况,采取防范措施。 (4)协助厂方总务做好厂区的日常管理工作。 2、建立交互式联动治安网络 (1)在厂区设立流动岗哨,实行24小时值巡逻制。做到每二小时巡视一遍,并记录安全情况及消防 ...

  • 04-29 车站消防安全制度

    • 车站消防安全制度 一、消防安全例会制度 (一)车站每季度召开至少一次消防安全工作会议。消防安全工作领导小组和义务消防队全体成员必须参加会议。必要时,可要 求全体员工参加。 (二)消防安全工作会议研究分析车站消防安全形势,通报火险隐患情况,分析、查找产生隐患的原因,总结教训,制定针对性 整改方案和具体落实措施;提出有关重点、难点问题的解决办法;研究部署车站下一阶段的消防安全工作等。 (三)车站消防安 ...

  • 10-10 ××省农村信用社安全保卫工作制度

    • ××省农村信用社安全保卫工作制度(试行)   第一章 总则   第一条 为进一步规范全省农村信用社安全保卫工作,保障农村信用社员工人身和资金财产安全,维护正常的工作秩序,根据有关法律法规,制定本制度。   第二条 安全保卫工作应坚持贯彻:“预防为主,单位负责、突出重点、保障安全”的方针,实行“谁主管、谁负责”和“人防、物防、技防”相结合的原则。   第三条 安全保卫工作的基本任务是:防抢劫、防盗窃 ...

  • 09-13 消防工作相关制度职责

    • 消防工作相关制度职责 xx乡村居防火安全公约 为加强农村消防工作,减少火灾危害,保护农村居民生命财产和公共财产的安全,根据《中华人民共和国消防法》和有关消防安全管理规定,制定本公约。 一、自觉遵守《中华人民共和国消防法》和有关消防法律、法规,积极参加农村消防活动,认真做好农村消防安全工作。 二、各村各单位消防安全领导小组对本村本单位消防工作负总责,各村各单位对本单位的消防工作负责,居民对住宅的消防 ...

  • 09-02 市林业局贯彻落实森林防火会议情况汇报

    • 森林防火责任重于泰山   森林防火责任重于泰山。从今年十月起,我市又进入了森林防火期,为全面预防和有效控制森林火险,保护和发展我市森林资源,维护良好的林木生产秩序和安全生产形式,打造山川秀美的新章丘。市林业局认真贯彻落实市委、市政府森林防火指示精神,针对今年我市水量充沛,枝叶茂盛,落叶枯草厚多,易发生火险的实际,实行早动员,早部署,早准备,争取工作主动性,为搞好森林防火工作奠定了良好基础,对今年森 ...

  • 07-17 春季森林草原防火工作汇报

    • 一、基本情况 XXX总土地面积1.86万平方公里。其中:草原面积为1.6万平方公里,森林面积965平方公里。草原资源主要分布在中、西、南部,牧民常年生活在草原腹地,居住相对分散。根据难防境外火、草原火蔓延快等特点以及我旗森林草原分布情况,与我旗防火联防的旗市分别有:海拉尔区、满洲里市、新右旗、新左旗和鄂温克旗,防火联防旗市实行每年轮流牵头负责。近几年来,随着风沙源治理、退耕还林还草等生态工程的全面 ...

  • 05-15 消防安全责任书

    • 消防安全责任书 甲方: x乡人民政府 乙方: 依照《中华人民共和国消防法》、《贵州省消防安全管理条例》等法律规定,为创建“平安纸房”,确保我乡人民财产生命安全,根据省、州、县关于构筑社会消防安全“防火墙”工程的文件精神,结合我乡实际,特签订消防安全责任如下: 一、甲方消防安全职责: 1、 向乙方传达消防法律法规、规章制度和消防安全注意事项,组织进行消防安全培训。 2、维护公共区域的消防设施完好有效 ...

随机推荐
猜你喜欢

© 2024 范文中心 fw.geren-jianli.org | 点这里联系我们删除文章