华为防火墙acl配置中的acl与policy功能区别在哪

来源:蜘蛛抓取(WebSpider) 时间:2017-10-04 03:52 标签: 防火墙acl配置
防火墙配置 【实验目的】 ? 熟悉路由器的包过滤的核心技术:ACL ? 掌握访问控制列表的分类及各自特点 ? 掌握访问控制列表的应用,灵活设计防火墙 【实验仪器和设备】 ? H3C S3610或H3C E126A交换机2台、H3C MR30-20路由器2台、标准网线2条、计算机2台、V.35线缆一根; RTBRTAS5/0S5/0G0/0G0/0E1/0/1E1/0/1PCAPCB 【实验步骤】 任务一、广域网接口线缆 步骤一:连接广域网接口线缆
通过V.35电缆将路由器RTA和RTB广域网接口S5/0实现互联,其中连接RTA的V.35电缆外接网络侧为34孔插座,而连接RTB的V.35电缆外接网络侧为34针插头(虽然通常只保留在用的针),由此可以得知路由器RTB的接口S5/0是DTE端,而路由器RTA的接口S5/0是DCE端。 步骤二:查看广域网接口信息 在RTA上通过display interface Serial 5/0命令查看接口Serial 5/0的信息,根据其输出信息可以看到: Physical layer is synchronous,Virtual Baudrate is 64000 bps Interface is DCE, Cable type is V35
在RTB上通过display interface Serial 5/0命令查看接口Serial 5/0的信息,根据其输出信息可以看到:
Physical layer is synchronous,Baudrate is 64000 bps
Interface is DTE, Cable type is V35
由以上信息可以看到,RTA和RTB的广域网V.35电缆接口工作在同步模式下,目前的传输速率是64000 bps或者64K bps 。 步骤三:配置广域网接口参数 配置将RTB的接口S5/0的传输速率修改为 2Mbps,请在如下的空格中补充完整的配置命令: [RTB-Serial5/0]baudrate 2048000 在RTB上执行该命令后,有信息提示:Serial5/0: Baudrate can only be set on the DCE,意思即为只能在DCE侧修改接口的波特率即传输速率。 然后配置将RTA的接口S5/0的传输速率修改为 2Mbps,请在如下的空格中补充完整的配置命令:
[RTA-Serial5/0]baudrate 2048000 配置完成后通过display interface Serial 5/0命令查看接口Serial5/0的信息,根据其输出信息可以看到
Physical layer is asynchronous,Baudrate is 2048000 bps 在RTA的接口Serial 5/0下作如下配置: [RTA-Serial5/0]physical-mode async
如上配置命令的含义是配置该物理接口工作在异步方式下 。 一般情况下,V.35电缆一般只用于同步方式传输数据。
任务二、配置基本ACL 本实验任务主要是通过在路由器上实施基本ACL来禁止PCA访问PCB,使学生熟悉基本ACL的配置和作用。 步骤一:建立物理连接并初始化路由器配置
按实验组网图进行物理连接并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,请学生在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化。
步骤二:配置IP地址及路由 按表7-1所示在PC上配置IP地址和网关。配置完成后,在Windows操作系统的【开始】里选择【运行】,在弹出的窗口里输入CMD,然后在【命令提示符】下用ipconfig命令来查看所配置的IP地址和网关是否正确。 表7-1 IP地址列表 设备名称 RTA 接口 S5/0 G0/0 RTB S5/0 G0/0 PCA -- IP地址 192.168.1.1/24 192.168.0.1/24 192.168.1.2/24 192.168.2.1/24 192.168.0.2/24 网关 -- -- -- -- 192.168.0.1 PCB -- 192.168.2.2/24 192.168.2.1 学生可自己选择在路由器上配置静态路由或任一种动态路由,来达到全网互通。 配置完成后,请在PCA上通过Ping命令来验证PCA与路由器、PCA与PCB之间的可达性。其结果应该可达。如果不可达,请参考教材相关章节来检查路由协议是否设置正确。
步骤三:ACL应用规划 本实验的目的是使PCA不能访问PCB,也就是PC之间不可达。请学生考虑如何在网络中应用ACL包过滤的相关问题:
? 需要使用何种ACL? ? ? ACL规则的动作是deny 还是permit? ACL规则中的反掩码应该是什么? ? ACL包过滤应该应用在路由器的哪个接口的哪个方向上? 下面是有关ACL规划的答案:
? ? ? ? 本实验目的是要禁止PCA访问PCB,仅使用源IP地址就能够识别PCA发出的数据报文,因此使用基本ACL即可。
本实验目的是要使PC之间不可达,因此ACL规则的动作是deny。 本实验中只需要限制从单台PC发出的报文,因此反掩码设置为0.0.0.0。 因为需要禁止PCA访问PCB,所以可以在RTA连接PCA的接口G0/0上应用ACL,方向为Inbound。 步骤四:配置基本ACL并应用 首先要在RTA上配置开启防火墙功能并设置防火墙的缺省过滤方式,请在下面的空格中补充完整的命令:
[RTA] firewall enable
[RTA]firewall default permit
其次配置基本ACL,基本ACL的编号范围是,请在下面的空格中补充完整的命令:
[RTA]acl number 2001 [RTA-acl-basic-2001]rule deny source 192.168.0.2 0.0.0.0
最后要在RTA的接口上应用ACL才能确保ACL生效,请在下面的空格中写出完整的在正确的接口正确的方向上应用该ACL的配置命令:
[RTA-GigabitEthernet0/0]firewall packet-filter 2001 inbound
步骤五:验证防火墙作用及查看
在PCA上使用Ping命令来测试从PCA到PCB的可达性,结果是ping包返回目的网段不可达。 同时在RTA上通过命令display acl 2001查看ACL的统计,根据其输出信息显示可以看 Rule 0 8 times matched,根据该显示可以看到有数据报文命中了ACL中定义的规则。
在RTA上通过display firewall-statistics all命令查看所有防火墙的统计信息,依据该命令输出信息可以看到: Firewall is enable, default filtering method is permit. Interface: GigabitEthernet0/0
In-bound Policy: acl 2001您所在位置: &
&nbsp&&nbsp
华为防火墙配置使用手册(自己写).doc 31页
本文档一共被下载:
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值,立即自动返金币,充值渠道很便利
需要金币:50 &&
你可能关注的文档:
··········
··········
华为防火墙手册
默认的管理为g0/0/0默认的ip地址为0.1/24,默认g0/0/0dhcp server,默认用户名为admin,默认密码为Admin@123案例
GE 0/0/1:/24 GE 0/0/2:6/24 GE 0/0/3:/24 WWW服务器:/24(DMZ区域) FTP服务器:/24(DMZ区域)
1.2 Telnet配置
配置VTY 的优先级为3,基于密码验证。-4] authentication-mode password
# 配置验证密码为lantian
[USG5300-ui-vty0-4] set authentication password simple lantian
###最新版本命令是authentication-mode password cipher huawei@123-4] idle-timeout 30
[USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。用户名和密码验证
user-interface vty 0 4
authentication-mode aaa
local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!
local-user admin service-type telnet
local-user admin level 3
firewall packet-filter default permit interzone untrust local direction inbound
如果不开放trust域到local域的缺省包过滤,那么内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤配置
[USG5300] interface GigabitEthernet 0/0/1
配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address
配置GigabitEthernet 0/0/1加入Trust区域
[USG5300] firewall zone trust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1
[USG5300-zone-untrust] quit
进入GigabitEthernet 0/0/2视图
[USG5300] interface GigabitEthernet 0/0/2
配置GigabitEthernet 0/0/2的IP地址
[USG5300-GigabitEthernet0/0/2] ip address 6
配置GigabitEthernet 0/0/2加入Untrust区域
[USG5300] firewall zone untrust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2
[USG5300-zone-untrust] quit
进入GigabitEthernet 0/0/3视图
[USG5300] interface GigabitEthernet 0/0/3
配置GigabitEthernet 0/0/3的IP地址。
[USG5300-GigabitEthernet0/0/3] ip address
[USG5300] firewall zone dmz
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3
[USG5300-zone-untrust] quit
1.4 防火墙策略
域间安全策略就是指不的区域之间的安全策略。
安全就是指同一个安全之间的策略,
策略内按照policy的顺序进行匹配,如果policy 0了,就不会policy 1了,和policy的大小没有关系,谁在前就先匹配谁。情况下local域到其他任意安全区域缺省包过滤,设备自身的对外访问。接口都没有加安全区域,并且其他域的缺省包过滤关闭。要想转发流量必须将接口加入安全区域,并配置域间安全策略或开放缺省包过滤。
策略的匹配:
每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。
安全策略可以指定多种匹配条件,报文必须同时满足所有条
正在加载中,请稍后...用户名:碧云天
文章数:146
评论数:85
访问量:86854
注册日期:
阅读量:1297
阅读量:3317
阅读量:461847
阅读量:1146106
51CTO推荐博文
一.概述: & &QQ群里面有网友讨论ASA防火墙的policy-map的global和interface的执行顺序,从字面意思可以看出这两种的应用范围是不一样的,一个是全局调用,一个只在接口下调用,因此觉得是详细的interface被优先调用,为了确认自己的想法,决定搭建环境验证一下。二.基本思路:A.不相冲突的policy-map估计会被全局和接口的service-policy先后调用执行,看不出效果B.只能用相冲突的policy-map,在全局和接口的service-policy中同时调用,看最终哪个生效C.全局和接口的policy-map执行范围是不一样的,估计接口的policy-map会被优先调用执行,顺序可能为:①.先执行接口的service-policy,并调用对应的policy-map,如果被匹配,则不执行全局的service-policy②.如果不被接口的policy-map所匹配,则会接着执行全局的service-policy,并调用对应的policy-map----经过测试,发现跟想象的有点区别:如果被接口policy-map审查通过,是会送到全局policy-map的;除非被接口的class-map的ACL丢弃,或者被审查后丢弃。三.测试拓扑: & & & & 10.1.1.0/24(Inside) & & & & & & & & &200.100.1.0/24(Outside)PC1(.8)----------------------(.1)ASA842(.1)----------------------------(.8)PC2 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &web服务器端口为:2000四.基本配置:A.PC1:IP:10.1.1.8/24 ,GW:10.1.1.1B.ASA842防火墙:①接口配置:interface GigabitEthernet0 nameif Inside security-level 100 ip address 10.1.1.1 255.255.255.0 no shutinterface GigabitEthernet1 nameif Outside security-level 0 ip address 202.100.1.1 255.255.255.0
no shut②动态PAT配置:object network Inside.net subnet 10.1.1.0 255.255.255.0object network Inside.net nat (Inside,Outside) dynamic interface③静态PAT配置:object network Inside.pc1 host 10.1.1.8object network Inside.pc1 nat (Inside,Outside) static interface service tcp
④策略设置:access-list outside extended permit tcp any object Inside.pc1 eq 2000 access-group outside in interface Outside五.测试步骤:A.验证此时外网是否能正常访问内部web服务器:----无法访问,因为默认全局策略开启了skinny审查B.配置outside接口的policy-map并调用:access-list web2000 extended permit tcp any object Inside_pc1 eq 2000 class-map web2000 match access-list web2000policy-map web2000 class web2000 &inspect http service-policy web2000 interface OutsideC.验证此时外网是否能正常访问内部web服务器:---仍然无法访问ciscoasa# show service-policy Global policy:
&Service-policy: global_policy & &Class-map: inspection_default & & &.....省略部分.................. & & &Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0 & & &Inspect: skinny , packet 4, drop 1, reset-drop 0 & & & & & & & tcp-proxy: bytes in buffer 0, bytes dropped 0Interface Outside: &Service-policy: web2000 & &Class-map: web2000 & & &Inspect: http, packet 4, drop 0, reset-drop 0---可以看到,数据包虽然被接口下class-map审查合格后放行,但是却被全局下的class-map丢弃。D.调整outside接口的policy-map并调用:access-list outside_skinny extended deny tcp any object Inside_pc1 eq 2000 access-list outside_skinny extended permit tcp any any eq 2000 class-map outside_skinny match access-list outside_skinnypolicy-map outside_skinny class outside_skinny &inspect skinny &no service-policy web2000 interface outside service-policy outside_skinny interface OutsideE.验证此时外网是否能正常访问内部web服务器:---可以正常访问访问之前,clear &service-policy,访问完成之后再查看:ciscoasa# show service-policy Global policy:
&Service-policy: global_policy & &Class-map: inspection_default & & &.....省略部分.................. & & &Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0 & & &Inspect: skinny , packet 0, drop 0, reset-drop 0 & & & & & & & tcp-proxy: bytes in buffer 0, bytes dropped 0Interface Outside: &Service-policy: outside_skinny & &Class-map: outside_skinny & & &Inspect: skinny , packet 0, drop 0, reset-drop 0 & & & & & & & tcp-proxy: bytes in buffer 0, bytes dropped 0 ----可以发现访问前后全局和接口的class-map都没有被匹配F.调整全局和接口policy-map:①接口:access-list outside_skinny extended permit tcp any any eq 2000 class-map outside_skinny match access-list outside_skinnypolicy-map outside_skinny class outside_skinny &inspect skinny &service-policy outside_skinny interface Outside②全局:access-list global_skinny extended deny tcp any object Inside_pc1 eq 2000 access-list global_skinny extended permit tcp any any eq 2000 class-map global_skinny match access-list global_skinnypolicy-map global_policy class inspection_default &no inspect skinny
class global_skinnyservice-policy global_policy global③测试:----无法访问,被outside接口的policy-map拒绝ciscoasa# show service-policy Global policy:
&Service-policy: global_policy & &Class-map: inspection_default & & &........省略部分.............. & & &Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0 & &Class-map: global_skinny & & &Inspect: skinny , packet 0, drop 0, reset-drop 0 & & & & & & & tcp-proxy: bytes in buffer 0, bytes dropped 0Interface Outside: &Service-policy: outside_skinny & &Class-map: outside_skinny & & &Inspect: skinny , packet 4, drop 1, reset-drop 0 & & & & & & & tcp-proxy: bytes in buffer 0, bytes dropped 0----可以看到,因为outside的ACL没有明确拒绝流量,所以被匹配,并检测到不是skinny流量而被丢弃G.再次调整全局和接口的policy-map:①接口:access-list outside_skinny extended deny tcp any object Inside_pc1 eq 2000 access-list outside_skinny extended permit tcp any any eq 2000class-map outside_skinny match access-list outside_skinnypolicy-map outside_skinny class outside_skinny &inspect skinny &service-policy outside_skinny interface Outside②全局:access-list global_skinny extended permit tcp any any eq 2000class-map global_skinny match access-list global_skinnypolicy-map global_policyclass global_skinny &inspect skinny &service-policy global_policy global③测试:----可以正常访问ciscoasa# show service-policy Global policy:
&Service-policy: global_policy & &Class-map: inspection_default & & &.......省略部分.................... & & &Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0 & &Class-map: global_skinny & & &Inspect: skinny , packet 0, drop 0, reset-drop 0 & & & & & & & tcp-proxy: bytes in buffer 0, bytes dropped 0Interface Outside: &Service-policy: outside_skinny & &Class-map: outside_skinny & & &Inspect: skinny , packet 0, drop 0, reset-drop 0 & & & & & & & tcp-proxy: bytes in buffer 0, bytes dropped 0----可以发现outside接口的ACL配置了拒绝后,不会去匹配全局的policy-map。六.总结:A.处理顺序:先接口再全局B.是否会送到全局:如果没有被接口policy-map匹配,或被接口policy-map审查通过,会被送到全局-----被ACL丢弃,或审查后被丢弃,都不会去匹配全局policy-map本文出自 “” 博客,请务必保留此出处
了这篇文章
类别:┆阅读(0)┆评论(0)用户名:feichifengxue
文章数:28
访问量:40129
注册日期:
阅读量:1297
阅读量:3317
阅读量:461847
阅读量:1146106
51CTO推荐博文
一:思科防火墙支持下列用户配置方式:
Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性,PDM的http方式(7.x以后称为ASDM)和VMS的Firewall Management Center。
Catalyst6500的FWSM(防火墙服务模块Firewall Service Module)没有物理接口接入,通过下面CLI命令进入:
&&&&&&&Switch# session slot slot processor 1 (FWSM所在slot号)
用户模式:
Firewall& 为用户模式,输入enable进入特权模式Firewall#。特权模式下可以进入配置模式,在6.x所有的配置都在一个全局模式下进行,7.x以后改成和IOS类似的全局配置模式和相应的子模式。
防火墙具有下列几种许可形式,通过使用show version命令可以看设备所支持的特性:
Unrestricted (UR) 所有的限制仅限于设备自身的性能,也支持Failover
Restricted (R) 防火墙的内存和允许使用的最多端口数有限制,不支持Failover
Failover (FO) 不能单独使用的防火墙,只能用于Failover
Failover-Active/Active (FO-AA) 只能和UR类型的防火墙一起使用,支持active/active failover
注:FWSM内置UR许可。
二:接口基础:
防火墙的接口都必须配置接口名称,接口IP地址和掩码(7.x开始支持IPv6)和安全等级。接口可以是物理接口也可以是逻辑接口(vlan),从6.3开始支持SPAN、trunk,但只支持802.1Q封装,不支持DTP协商。
接口基本配置:
注:对于FWSM所有的接口都为逻辑接口,名字也是vlan后面加上vlanid。例如FWSM位于6500的第三槽,配置三个接口,分别属于vlan 100,200,300.
Switch(config)# firewall vlan-group 1 100,200,300
Switch(config)# firewall module 3 vlan-group 1
Switch(config)# exit
Switch# session slot 3 processor 1
经过此配置后形成三个端口vlan100,vlan200,vlan300
命名接口:
FWSM 2.x:
Firewall(config)# nameif vlan-id if_name securitylevel
配置IP地址:
静态地址:
Firewall(config)# ip address if_name ip_address [netmask]
动态地址:
Firewall(config)# ip address outside dhcp [setroute] [retry retry_cnt]
注:setroute参数可以同时获得来自DHCP服务器的缺省路由,再次输入此命令可以renew地址。
配置一个静态的ARP条目:
Firewall(config)# arp if_name ip_address mac_address [alias]
配置timeout时间:
Firewall(config)# arp timeout seconds 缺省为4小时
注:一般情况下使用clear arp会清除所有的ARP缓存,不能针对单个的条目,但是可以通过以下变通方法:配置一个静态的条目,映射有问题的ip为一个假的mac地址,然后no掉该命令就会重新建立一个arp条目。
启用PRF防止地址欺骗:
Firewall(config)# ip verify reverse-path interface if_name
配置静态路由:
Firewall(config)# route if_name ip_address netmask gateway_ip [metric]
配置RIP被动听RIP更新(v1,v2):
Firewall(config)# rip if_name passive [version 1] (Firewall(config)# rip if_name
passive version 2 [authentication [text | md5 key (key_id)]])
宣告该接口为缺省路由:
Firewall(config)# rip if_name default version [1 | 2 [authentication [text | md5 key key_id]]
配置OSPF:
定义OSPF进程:
Firewall(config)# router ospf pid
指定相应网络到OSPF区域:
Firewall(config-router)# network ip_address netmask area area_id
可选:定义Router ID:
Firewall(config-router)# router-id ip_address
记录OSPF邻居状态更新:
Firewall(config-router)# log-adj-changes [detail]
启用OSPF更新认证:
Firewall(config-router)# area area_id authentication [message-digest]
宣告缺省路由:
Firewall(config-router)# default-information originate [always] [metric value] [metric-type {1 | 2}] [route-map name]
调节OSPF参数:
Firewall(config-router)# timers {spf spf_delay spf_holdtime |lsa-group-pacing seconds}
配置成为DHCP Server:
配置地址池:
Firewall(config)# dhcpd address ip1[-ip2] if_name (最多256个客户端)
配置DHCP参数:
思科 ASA 和 PIX 防火墙配置手册
Firewall(config)# dhcpd dns dns1 [dns2]
Firewall(config)# dhcpd wins wins1 [wins2]
Firewall(config)# dhcpd domain domain_name
Firewall(config)# dhcpd lease lease_length Firewall(config)# dhcpd ping_timeout timeout
启用DHCP服务:
Firewall(config)# dhcpd enable if_name
验证:show dhcdp, show dhcpd bindings, show dhcpd statistics
配置DHCP中继:
定义真实DHCP Server:
Firewall(config)# dhcprelay server dhcp_server_ip server_ifc(最多4个)
中继参数:
Firewall(config)# dhcprelay timeout seconds
Firewall(config)# dhcprelay setroute client_ifc
启用中继:
Firewall(config)# dhcprelay enable client_ifc
验证 show dhcprelay statistics
Firewall(config)# console timeout minutes 配置console登录的超时(缺省0不超时)
禁止来自outside端口的telnet,启用telnet:
Firewall(config)# telnet ip_address netmask if_name
Firewall(config)# telnet timeout minutes 配置telnet超时
三:PDM/ASDM配置:
由于PDM存放位置固定,所以不需要指定镜像的位置,ASDM使用:
Firewall(config)# asdm image device:/path
来指定镜像位置,如果没有可以使用copy命令来安装。然后配置访问许可:
Firewall# http ip_address subnet_mask if_name
启用HTTP进程:
Firewall# http server enable
使用来访问。
四:防火墙的路由模式和地址翻译
特性介绍:从高安全等级到低安全等级的访问称为outbound访问,需要配置地址翻译和outbound访问控制,PIX缺省情况下不用配置ACL就允许此类访问,FWSM则需要配置ACL来允许此类型的访问。而从低安全等级到高安全等级的访问称为inboud访问,也需要配置地址翻译和inboud访问控制,此类型必须配置ACL.同一安全等级的访问也可以配置地址翻译。
基于地址的静态翻译:
Firewall(config)# static (real_ifc,mapped_ifc) {mapped_ip | interface} {real_ip [netmask mask]} [dns] [norandomseq] [max_conns [emb_limit]]
基于端口的静态翻译:
Firewall(config)# static (real_ifc,mapped_ifc) {tcp | udp} {mapped_ip | interface} mapped_port {real_ip real_port [netmask mask]} [dns] [norandomseq] [max_conns[emb_limit]]
定义翻译策略:
Firewall(config)# access-list acl_name permit ip real_ip real_mask foreign_ip foreign_mask
Firewall(config)# static (real_ifc,mapped_ifc) mapped_ip access-list acl_name [dns] [norandomseq] [max_conns [emb_limit]]
Firewall(config)# global (mapped_ifc) nat_id {global_ip [-global_ip] [netmask global_mask]} | interface
Firewall(config)# nat (real_ifc) nat_id access-list acl_name [dns] [outside][norandomseq] [max_conns [emb_limit]]
Identify NAT Firewall(config)# nat (real_ifc) 0 real_ip real_mask [dns] [norandomseq] [max_conns [emb_limit]]
注:nat 0和static 相同地址的区别在于:nat 0只能用于outbound访问,static两种访问都可以,对同一地址不建议同时配置此两类命令。
NAT Exemption
Firewall(config)# access-list acl_name permit ip local_ip local_mask foreign_ip foreign_mask
Firewall(config)# nat (real_ifc) 0 access-list acl_name [dns] [outside] [max_conns [emb_limit] [norandomseq]]
注:此类型NAT策略只能根据源和目的地址不能根据协议类型或者端口
动态地址翻译
定义NAT的映射地址:
Firewall(config)# global (mapped_ifc) nat_id global_ip[-global_ip] [netmask global_mask]
定义PAT的映射地址:
Firewall(config)# global (mapped_ifc) nat_id {global_ip | interface}
定义翻译策略:
Firewall(config)# nat (real_ifc) nat_id real_ip [mask [dns] [outside] [[norandomseq] [max_conns [emb_limit]]]
注:也可以使用ACL来做类似的策略NAT。
五:使用ACL进行访问控制
特性介绍:防火墙的ACL配置跟IOS不同,子网掩码部分为正常的子网掩码不需要使用反转的子网掩码。还支持Object group,包含IP地址组,
ICMP类型组,IP协议或者端口组,并且支持组嵌套。access-list acl_name compiled配置Turbo ACL,7.x自动turbo。防火墙的ACL缺省是扩展模式的,7.x后也支持标准模式了尽管只用于路由协议的配置上,并且加上了extend的参数,虽然配置的时候可以不必强制用这个参数但是当你需要移除该条目的时候要记得把extend这个参数加上。
定义Object Group
网络对像组
Firewall(config)# object-group network group_id
Firewall(config-network)# description text
Firewall(config-network)# network-object ip_addr mask (或者 host ip_addr)
Firewall(config-network)# group-object group_id
ICMP对像组
Firewall(config)# object-group icmp-type group_id
Firewall(config-icmp-type)# description text
Firewall(config-icmp-type)# icmp-object icmp_type
Firewall(config-icmp-type)# group-object group_id
协议对像组
Firewall(config)# object-group protocol group_id
Firewall(config-protocol)# description text
Firewall(config-protocol)# protocol-object protocol
Firewall(config-protocol)# group-object group_id
服务对像组
Firewall(config)# object-group service group_id {tcp | udp | tcp-udp}
Firewall(config-service)# description text
Firewall(config-service)# port-object range begin_port end_port (或者eq port)
Firewall(config-service)# group-object group_id
定义时间范围 7.0特性
Firewall(config)# time-range name
Firewall(config-time-range)# periodic start-day hh:mm to end-day hh:mm
Firewall(config-time-range)# periodic days-of-the-week hh:mm to hh:mm
Firewall(config-time-range)# absolute [start hh:mm day month year] [end hh:mm day month year]
Firewall(config)# access-list acl_id [line line-num] [extended] {permit | deny} {protocol | object-group protocol_obj_group} {source_addr source_mask | object-group network_obj_group} [operator sport | object-group service_obj_group] {destination_addr destination_mask |object-group network_obj_group} [operator dport | object-group service_obj_group] [log [[disable | default] | [level]]] [interval secs]] [time-range name] [inactive]
六:配置Failover增加可用性
特性介绍:为了增强可用性,避免单点故障,提高性能等原因才引入了Failover的特性。Active-Standby是最初支持的一种特性,其中一台是UR的许可,另一台为UR或者Failover-only的许可,FWSM缺省支持此种模式,在该模式下一个为Active工作状态,Standby只是监控Active的状态而不工作,这样就在性能上虽然有两台设备但是并没有得到加强。在7.x以后由于引入了context的概念,这样Active-Active另一种Failover的特性也出现了,在每个context下有自己的active和standby,配置每个设备在不同context下的角色从而使其都工作,也增加了性能,但是此模式只被PIX515E,525,535和ASA平台支持。
6.1 配置Failover
确定主备用的设备:一种方式是通过不同的许可来决定,如果两者都是UR的许可,对于适用serial连接的根据线缆两端的主备用标识来决定,如果适用lan的话使用下面的命令来决定:
Firewall(config)# failover lan unit {primary | secondary}
配置lan使用的端口:
FWSM 2.x:
Firewall(config)# failover interface ip if_name ip_address mask standby ip_address
Firewall(config)# failover interface ip if_name ip_address mask standby ip_address
定义用于Failover通讯的接口:
FWSM 2.x:
Firewall(config)# failover lan interface if_name vlan vlan
Firewall(config)# failover lan interface if_name phy_if
也可以使用failover lan key key-string命令对通讯进行加密
failover lan enable 启用lan-based failover,FWSM缺省使用此模式,不需要此命令。
对于Active-Active模式需要在主设备的system execution space下配置Failover组:
Firewall(config)# failover group {1 | 2}
Firewall(config-fover-group)# {primary | secondary}
Firewall(config-fover-group)# preempt
对接口使用虚拟的MAC地址:
6.2 管理Failover
show failover命令对状态进行监控,后面可以加state,lan, history,等参数。
(no)Failover active手动的对状态进行切换,重置一个失败的设备failover reset。对于不能同步的挂起设备使用failover reload-standby强制重启。
七:防火墙工作状态验证
7.1防火墙健康检查
Firewall# show cpu usage (show cpu usage context all 正常应该在80%以下)
Show processes显示防火墙当前活动进程,一般关注Process和Runtime。
内存利用:
Firewall# show memory
Xlate 表大小:
Firewall# show xlate count
Conn 表大小:
Firewall# show conn count
防火墙流量使用PDM,Syslog, show traffic来计算或者Perfmon计数器:
Firewall# show perfmon
Firewall(config)# perfmon interval seconds ,perfmon {verbose | quiet}
Inspection引擎和Service Policy:
Firewall# show service-policy
Failover:Firewall# show failover
端口状态:
Firewall# show interface
包队列状态:
Firewall# show priority-queue statistics [if_name]
了这篇文章
类别:未分类┆阅读(0)┆评论(0)

我要回帖

更多关于 防火墙acl配置 的文章

 

随机推荐