pix實驗指南

PIX實驗指南

一、 PIX的基本使用

拓撲圖

需求

PIX採用三向外圍結構，DMZ區域採用靜態IP，inside區域採用DHCP方式獲取IP，PIX充當DHCP服務器，Client需要採用PAT方式訪問互聯網，Client訪問內部服務器採用直接路由的方式，192.168.2.80服務器需要對外發布到TCP80端口，並拒絕外部到outside接口的任何ICMP通信，內部inside到DMZ和互聯網可以採用ICMP測試聯通性。

配置

PIX Version 7.2(1)

!

hostname pixfirewall

interface Ethernet0

nameif outside//將E0口配置爲外口

security-level 0//將E0口安全級別設置爲0

ip address 202.100.1.13 255.255.255.0

!

interface Ethernet1

nameif inside//將E1口配置爲內口

security-level 100//將E1口安全級別設置爲100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet2

nameif dmz//將E2口配置爲DMZ

security-level 50//將E2口安全級別設置爲50

ip address 192.168.2.1 255.255.255.0

!

access-list outsidelist extended permit tcp any interface outside eq www //允許外部向outside接口發起TCP80端口的連接

access-list outsidelist extended permit icmp any interface outside echo-reply //允許外部向outside接口發送icmp-reply報文

access-list outsidelist extended deny ip any any //拒絕其他所有報文

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 //從1網段去往2網段的所有報文不進行NAT/PAT處理

access-list dmzlist extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

access-list dmzlist extended permit tcp host 192.168.2.80 any eq www

icmp deny any outside//拒絕任何地址向outside接口發送ICMP報文

icmp permit any inside//允許任何地址向inside接口發送ICMP報文

icmp permit any dmz//允許任何地址向DMZ接口發送ICMP報文

nat-control//開啓NAT功能

global (outside) 1 interface//在outside接口上啓動PAT

nat (inside) 0 access-list nonat//從1網段去往2網段的所有報文不進行NAT/PAT處理

nat (inside) 1 192.168.1.0 255.255.255.0//對192.168.1.0網段啓動nat功能

static (dmz,outside) tcp interface www 192.168.2.80 www netmask 255.255.255.255 //建立DMZ區域192.168.2.80的80端口到outside接口80端口的靜態映射

access-group outsidelist in interface outside//在outside接口綁定outsidelist訪問列表

access-group dmzlist in interface dmz//在dmz接口綁定dmzlist訪問列表

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1//建立默認路由

ssh timeout 5

dhcpd dns 192.168.2.53//配置DHCP分配的DNS地址

!

dhcpd address 192.168.1.2-192.168.1.254 inside//配置DHCP分配的IP地址範圍

dhcpd enable inside//在inside接口上開啓DHCP功能

!

二、 DHCP中繼

拓撲圖

需求

建立上個試驗基礎上，將PIX的DHCP改爲內部192.168.2.53提供DHCP，由PIX中繼DHCP

配置

dhcprelay server 192.168.2.53 dmz//配置dmz接口上偵聽DHCP服務器192.168.2.53的報文

dhcprelay enable inside//在inside接口上開啓偵聽客戶端DHCP請求的報文

dhcprelay setroute inside//在inside接口上通過DHCP分配默認路由

dhcprelay timeout 60//設置DHCP中繼超時時間

三、 PIX虛擬防火牆

拓撲

需求

某商業辦公樓中央機房只有一臺PIX防火牆，但辦公樓駐入有多個公司，爲了節約成本，使用虛擬防火牆技術將物理PIX劃分爲邏輯上多個獨立的牆來使用，外部接口共用同一個接口，要求每個公司都能獨立NAT/PAT到外部接口。

配置

1. 首先使用show activation-key 來驗證是否有multiple-context 的許可。

2. 然後通過mode multiple 和mode single 命令在這兩個模式之間進行切換，當然也可以用 show mode 來驗證現在工作在什麼模式下。在不同context 下進行切換使用Firewall# changeto {system | context name}，由於所有的context 的定義都必須在system execution space 下，所以要首先使用changeto system 轉入該模式，Firewall(config)# context name 創建虛擬防火牆。

3. 接着通過changeto context xxx 進入相應的虛擬防火牆再要把物理接口映射到context 中,只要這樣才能在相應的context 下顯示出物理接口，這個虛擬防火牆纔是一個完整的虛擬防火牆，從而配置其屬性 Firewall(config-ctx)# allocate-interface physical-interface [map-name]

4. 最後定義context 的startup-config 的存放位置Firewall(config-ctx)# config-url url

注：每個虛擬防火牆都要有獨立的配置文件， 通過 show context 驗證

注：當防火牆工作在 multiple-context 模式下，admin context 就自動生成，但是要把admin這個虛擬防火牆設爲管理虛擬防火牆。(show context 來驗證)

System mode:

interface Ethernet0

no shut//激活接口

interface Ethernet1

no shut//激活接口

interface Ethernet1.1//建立子接口

description company1

vlan 10//劃分到VLAN10

!

interface Ethernet1.2//建立子接口

description company2

vlan 20//劃分到VLAN20

admin-context admin//設置管理context爲admin

context admin

description "use to admin"

allocate-interface Ethernet1 //將物理接口E1分配給管理context

config-url flash:/admin.cfg//設置管理context的配置文件路徑

!

context pix1//建立pix1 Context

description company1

allocate-interface Ethernet0 //分配接口

allocate-interface Ethernet1.1 //分配接口

config-url flash:/pix1.cfg//設置配置文件路徑

!

context pix2//建立pix2 Context

description company2

allocate-interface Ethernet0 //分配接口

allocate-interface Ethernet1.2 //分配接口

config-url flash:/pix2.cfg//設置配置文件路徑

PIX1 Context:

PIX Version 7.2(1) <context>

!

hostname pix1

!

interface Ethernet1.1

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.13 255.255.255.0

!

access-list outsidelist extended permit icmp any interface outside echo-reply

nat-control

global (outside) 1 interface

nat (inside) 1 192.168.1.0 255.255.255.0

access-group outsidelist in interface outside

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

PIX2 Context:

PIX Version 7.2(1) <context>

!

hostname pix2

!

interface Ethernet1.2

nameif inside

security-level 100

ip address 192.168.2.1 255.255.255.0

!

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.14 255.255.255.0

!

access-list outsidelist extended permit icmp any interface outside echo-reply

nat-control

global (outside) 1 interface

nat (inside) 1 192.168.2.0 255.255.255.0

access-group outsidelist in interface outside

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

四、 虛擬防火牆與雙ISP接入

拓撲圖

需求

某單位只有一臺PIX，但要求辦公區域的計算機單獨走電信ISP到互聯網，DMZ服務器的流量單獨走網通ISP到互聯網，要求相互獨立

配置

System mode:

PIX Version 7.2(1) <system>

!

hostname pixfirewall

interface Ethernet0

description "to isp1"

no shut

!

interface Ethernet1

description "to isp2"

no shut

!

interface Ethernet2

description "to inside"

no shut

!

interface Ethernet3

description "to dmz"

no shut

!

admin-context admin

context admin

config-url flash:/admin.cfg

!

context insidepix

allocate-interface Ethernet0

allocate-interface Ethernet2

config-url flash:/inside.cfg

!

context dmzpix

allocate-interface Ethernet1

allocate-interface Ethernet3

config-url flash:/dmz.cfg

!

Inside Pix Context:

PIX Version 7.2(1) <context>

!

hostname insidepix

interface Ethernet2

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.13 255.255.255.0

!

access-list insidelist extended permit icmp any interface outside echo-reply

global (outside) 1 interface

nat (inside) 1 192.168.1.0 255.255.255.0

access-group insidelist in interface outside

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

dhcpd dns 61.187.191.53

!

dhcpd address 192.168.1.2-192.168.1.254 inside

dhcpd enable inside

!

!

Dmz PIX Context:

PIX Version 7.2(1) <context>

!

hostname dmzpix

interface Ethernet3

nameif dmz

security-level 50

ip address 192.168.2.1 255.255.255.0

!

interface Ethernet1

nameif outside

security-level 0

ip address 61.187.191.13 255.255.255.0

!

access-list dmzlist extended permit tcp any interface outside eq www

access-list dmzlist extended permit icmp any interface outside echo-reply

nat-control

static (dmz,outside) tcp interface www 192.168.2.80 www netmask 255.255.255.255

access-group dmzlist in interface outside

route outside 0.0.0.0 0.0.0.0 61.187.191.1 1

五、 防火牆的訪問

拓撲圖

需求

防火牆可以通過console線、telnet、ssh、asdm來管理，請分別實現各種方式的配置。

配置

Console:

console timeout 0//設置通過Console線訪問防火牆時的超時時間,0爲永不超時

enable password cisco//設置進入特權模式時的特權密碼

telnet:

passwd 123qwe!//配置telnet/ssh登錄密碼

enable password cisco//配置特權密碼

telnet timeout 15//設置telnet登陸超時時間爲15分鐘

telnet 192.168.1.100 255.255.255.255 inside//設置只有inside區域中的192.168.1.100客戶端纔可以進行telnet登陸

ssh:

hostname mypix//設置pix主機名

domain-name zt.com//設置域名爲zt..com

crypto key generate rsa//由rsa算法產生一對密鑰,用於ssh加密

passwd 123qwe!//設置ssh,telnet登陸密碼,當ssh時,用戶名爲pix

enable password cisco//配置特權密碼

ssh timeout 5//設置ssh空閒超時時間爲5分鐘

ssh 192.168.1.100 255.255.255.255 inside//設置192.168.1.100可以在inside區域進行ssh登陸

ASDM:

Copy tftp://192.168.2.69/asdm-522.bin flash:/ //從TFTP服務器上傳asdm-522.bin文件到flash

hostname mypix//設置主機名爲mypix

domain-name zt.com//設置域名爲zt .com

asdm image flash:/asdm-522.bin//指定asdm文件路徑

username zhongta password Qo1dQf/HbvQeH9gV encrypted privilege 15//建立https訪問時的用戶名和密碼,以及特權等級

http server enable//開啓https功能

http 0.0.0.0 0.0.0.0 inside//指定由inside區域中的任何計算機來HTTPS連接

crypto key generate rsa label mykey modulus 1024//由rsa算法生成一個模數爲1024位的,名爲mykey的公鑰私鑰對

crypto ca trustpoint myself//建立名爲myself的信任點

enrollment self//設置證書來源爲”自簽名”

subject-name cn=mypix,dc=zt,dc=com//設置證書上的個人信息

keypair mykey//指定證書上的公鑰,以及pix自身保留的私鑰的密鑰對爲mykey

crypto ca enroll myself//調用myself信任點的配置信息來生成一份證書

ssl encryption 3des-sha1//指定ssl/https使用的加密和完整性的算法

ssl trust-point myself inside//關聯myself信任點和ssl/https

先在客戶機上安裝java運行環境

使用https協議訪問inside接口

輸入https console帳號和密碼

點擊install ASDM Launcher and run ASDM來下載安裝ASDM終端

完整ASDM的安裝

運行ASDM，輸入IP地址、用戶、密碼

六、 命令授權

拓撲

需求

某公司有兩位管理員，其中一位是技術經理，另一位是助理，要求經理賬戶admin能telnet到PIX後執行任何命令，助理帳號viewuser只能執行show命令，以及開啓端口；不能做其他任何配置修改。

配置

PIX將所有命令劃分到16個等級,其中0等級命令爲show version,show flash:,show starting-config,clear,test,ping,logout,disable等簡單的命令,1-14等級爲空等級,默認情況下沒有任何命令屬於這些等級,15等級爲最高等級,包括所有命令;一般的,管理員屬於15等級,其他管理員助理可以劃分到1-14之間的任何等級,你要做的就是在把助理劃分到某一等級後,記得把命令也劃分到這個等級,這樣才能使得助理可以執行你所分配的命令.

username admin password .DmcmSoeEPQUGEaZ encrypted privilege 15//建立一個名字爲admin,特權級別爲15最高級別的用戶,該級別的用戶可以執行任何命令

username viewuser password S94V5zX5OSgEwR/J encrypted privilege 10//建立一個名字爲viewuser,特權級別爲10的用戶,該級別在劃分命令到10級別前,除了能執行0級別的命令,將無法執行任何命令

aaa authentication telnet console LOCAL //啓用telnet的本地數據庫認證

aaa authentication enable console LOCAL //對enable密碼改爲使用本地用戶密碼

aaa authorization command LOCAL//啓動對命令的授權

telnet 192.168.1.0 255.255.255.0 inside//指定只能inside區域的192.168.1.0網段可以telnet訪問

privilege cmd level 10 mode exec command configure//可以在10級別exec模式下執行configure命令

privilege show level 10 mode exec command configuration//可以在10級別show命令下執行configuration子命令,即可以show configuration

privilege show level 10 mode exec command running-config//可以在10級別exec模式下執行show running-config

privilege show level 10 mode exec command xlate//可以在10級別EXEC模式下執行show xlate

privilege show level 10 mode exec command access-list//可以在10級別下exec模式下執行show access-list

privilege cmd level 10 mode configure command interface//可以在10級別全局配置模式下執行interface命令

privilege cmd level 10 mode interface command shutdown//可以在10級別接口模式下執行shutdown或者 no shutdown

privilege cmd level 10 mode subinterface command shutdown//可以在10級別子接口模式下執行shutdown或者no shutdown

Viewuser用戶登陸後只能簡單的show

Viewuser用戶可以進入配置模式，但是隻能interface到接口，不能修改其他配置

Viewuser用戶可以在接口模式下shutdown或者no shutdown接口

七、 AAA認證授權記帳

拓撲

需求：

以上個試驗爲要求，改爲由DMZ內部的AAA服務器提供telnet認證、enable密碼認證、以及命令授權。要求admin可以執行15級別所有命令，viewuser只能簡單地查看配置、查看版本、查看訪問列表、開關端口等。

配置：

1、 安裝AAA服務器，這裏使用的是cisco acs4.0。爲了正常使用acs，必須先安裝JAVA運行環境。

2、 安裝CISCO ACS4.0

3、 打開IE屬性，設置IE安全級別爲中低。

4、 啓動ACS管理控制檯，點擊network configuration，再點擊右側Add Entry增加一臺AAA客戶端，這裏的AAA客戶端是指pix。

5、填入pix的hostname和ip地址，以及pix和aaa服務器之間通信的KEY，這裏KEY使用cisco，再點擊下方的submit+apply。

6、點擊Interface Configuration，選擇右側的TACACS+(CISCO IOS)

7、點選Advanced TACACS+ Features後點擊submit。

8、點擊Shared profile components，選擇Shell Command Authorization Sets建立命令授權列表。

9、建立一個名爲viewuserlist的命令授權列表，Unmatched Commands是指不匹配的命令如何處理，可以選擇permit或者deny；Permit Unmatched Args是指命令後面的參數如果不匹配如何處理，如果勾選表示接收不比配的參數，如不勾選表示不接收不匹配的參數。注：enable這裏要勾選permit unmatched args。

10、點擊GroupSetup，選擇組0後點擊RenameGroup，將默認組0的名字改成AdminGroup，作爲管理員所屬的組。選擇組1後點擊RenameGroup，將組1的名字改成ViewGroup，作爲普通助理所屬的組。

11、點擊GroupSetup，選擇組0AdminGroup，點擊Edit Settings來修改組0的設置，在Enable Options中設置AAA Clinet 能夠使用的的最大特權級別爲15。勾選Shell(Exec)表示屬於該組的用戶可以執行Shell命令，在PrivilegeLevel填入15，表示用戶在enable密碼認證成功後默認跳到的特權級別爲15級別。在Shell Command Authorization Set中選中Per Group Commnad Authorization（每組式命令授權），然後在Unmatched cisco IOS commnads中選permit,表示允許不匹配的命令，最後點擊提交。

12、點擊GroupSetup，選擇組1ViewGroup，點擊Edit Settings來修改組0的設置，在Enable Options中設置AAA Clinet 能夠使用的的最大特權級別爲15。勾選Shell(Exec)表示屬於該組的用戶可以執行Shell命令，在PrivilegeLevel填入15，表示用戶在enable密碼認證成功後默認跳到的特權級別爲15級別。在Shell Command Authorization Set中選中Assign a Shell Command Authorization Set for any network device，然後在下拉列表中選中viewuserlist，最後點擊提交。

13、點擊UserSetup，在右側輸入admin後點擊ADD/EDIT按鈕來建立一個名字爲admin的用戶。在admin用戶的屬性裏輸入密碼和確認密碼，並設置admin用戶所屬的組爲 AdminGroup。在TACACS+ Enable Password中選擇Use CiscoSecure PAP password。在Advanced Tacacs+ Settings中選中Use Group Level Setting。最後點擊submit。

14、以上一步爲式樣，建立用戶viewuser，設置所屬組爲組1ViewGroup。在TACACS+ Enable Password中選擇Use CiscoSecure PAP password。在Advanced Tacacs+ Settings中選中Use Group Level Setting。最後點擊submit。

PIX：

PIX Version 7.2(1)

hostname mypix

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.13 255.255.255.0

!

interface Ethernet1

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet2

nameif dmz

security-level 50

ip address 192.168.2.1 255.255.255.0

access-list outsidelist extended permit icmp any interface outside echo-reply

access-list dmzlist extended permit ip any any

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 //inside到dmz區域採用路由，不用nat/pat。

nat-control

global (outside) 1 interface

nat (inside) 0 access-list nonat

nat (inside) 1 192.168.1.0 255.255.255.0

access-group outsidelist in interface outside

access-group dmzlist in interface dmz

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

aaa-server myserver protocol tacacs+//指定myserver服務器組採用tacacs+協議

aaa-server myserver (dmz) host 192.168.2.20//指定aaa服務器爲192.168.2.20，密鑰爲cisco

key cisco

aaa authentication telnet console myserver //指定telnet登陸通過myserver指定的服務器組驗證

aaa authentication enable console myserver //指定enable密碼通過myserver服務器組驗證

aaa authorization command myserver //指定shell命令通過myserver服務器組授權

telnet 192.168.1.0 255.255.255.0 inside//指定只有192.168.1.0網段的主機纔可以telnet

八、 Download ACL

拓撲

需求

客戶端通過telnet/http/ftp等協議引發一個登陸驗證，使用user1賬戶的客戶機可以隨意訪問DMZ和outside區域，但是使用user2賬戶的客戶機只能訪問DMZ區域中的服務器，不能訪問outside外部網絡，其他任何沒有通過驗證的客戶端不允許訪問任何網絡，只能訪問本地inside網絡。本實驗通過DMZ區域中的AAA服務器來完成用戶的驗證、用戶ACL的下發。

配置

1. 安裝ACS服務器後，點擊NetworkConfiguration，添加pix爲AAA Client。協議改爲Radius

2.點擊InterfaceConfiguration，選擇Advanced Options。

3.勾選user-level downloadable ACLs後點擊提交。

4.點擊SharedProfileComponents選擇Downloadable IP ACLs。

5.點擊ADD按鈕，添加一個名爲user1ACL的Downloadable ACL.該ACL中建立一個名字爲user1list,內容爲permit ip any any的訪問列表項。

6.按照上一步，再次點擊ADD按鈕，添加一個名爲user2ACL的Downloadable ACL.該ACL中建立一個名字爲user2list,內容爲permit ip any 192.168.2.0 255.255.255.0;deny ip any any的訪問列表項。

7.點擊UserSetup，添加一個名爲user1的用戶，密碼自行定義，在該用戶屬性的最下方勾選Assign IP ACL，並選擇user1ACL。

8.同上一步，建立一個用戶名爲user2的用戶，在該用戶屬性的最下方勾選Assign IP ACL，並選擇user2ACL。

9.配置PIX

PIX Version 7.2(1)

!

hostname mypix

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.13 255.255.255.0

!

interface Ethernet1

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet2

nameif dmz

security-level 50

ip address 192.168.2.1 255.255.255.0

access-list outsidelist extended permit icmp any interface outside echo-reply //允許外網回送ECHO-REPLY，該ACL用於ping測試。

access-list dmzlist extended permit ip any any //允許DMZ區域所有協議通過DMZ接口。

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 //從192.168.1.0到192.168.2.0的所有報文不允許NAT/PAT。

access-list authlist extended permit ip any any //在認證成功前，凡符合該ACL的所有流量除TELNET/FTP/HTTP以外都將被阻止。

nat-control

global (outside) 1 interface

nat (inside) 0 access-list nonat//調用nonat ACL，nat 0號進程不會進行NAT/PAT

nat (inside) 1 192.168.1.0 255.255.255.0

access-group outsidelist in interface outside

access-group dmzlist in interface dmz

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

aaa-server myserver protocol radius

aaa-server myserver (dmz) host 192.168.2.20

key cisco

aaa authentication match authlist inside myserver//在inside接口上凡匹配authlist的流量將觸發認證，但實際上只有telnet/http/ftp流量纔會觸發。在認證成功之前，凡符合authlist的流量將被拒絕。

10.在192.168.1.100上使用user1測試

11.在192.168.1.200上使用user2測試

12.使用 show uauth查看通過驗證通過的用戶數量和名稱，以及下發的用戶訪問ACL。

13．使用show access-list查看訪問列表

14.如果inside接口事先已經綁定了ACL，那下載的用戶ACL和inside接口的ACL之間哪個生效？

如果inside接口的ACL在綁定時未添加per-user-override參數，則用戶的下載ACL將排在inside接口的ACL之後執行，但如果inside接口的ACL在綁定時添加了per-user-override參數，則用戶的下載ACL將覆蓋掉inside接口的ACL。

九、 防火牆透明模式

拓撲

需求

將防火牆設置爲第二層透明模式，在192.168.2.0和192.168.3.0之間使用防火牆增強安全性，但必須使得兩端路由器能通過OSPF協議學習到對端的路由。且192.168.2.0和192.168.3.0之間可以通過ICMP協議來測試連通性。

配置

1. 進入透明模式

pixfirewall(config)# firewall transparent

2. 查看工作模式

pixfirewall(config)# show firewall

Firewall mode: Transparent

3. 配置接口

interface Ethernet0//無需配置IP地址

nameif outside

security-level 0

no shut

interface Ethernet1

nameif inside

security-level 100

no shut

4. 配置管理IP

pixfirewall(config)# ip address 192.168.1.3 255.255.255.0

5. 配置訪問列表

access-list permitlist extended permit ospf any any

access-list permitlist extended permit icmp any any

access-group permitlist in interface inside//在inside接口上放行permitlist指定的流量

access-group permitlist in interface outside//在outside接口上放行permitlist指定的流量

6. 查看和配置MAC-ADDRESS-TABLE

pixfirewall(config)# show mac-address-table

interface mac address type Age(min)

------------------------------------------------------------------

inside cc00.02f8.0000 dynamic 3

outside cc01.02f8.0000 dynamic 4

pixfirewall(config)# mac-address-table aging-time 5

pixfirewall(config)#mac-address-table static inside 0011.2233.4455//在inside接口上靜態綁定MAC地址。

pixfirewall(config)# mac-learn outside disable//在outside接口上關閉MAC地址的學習

7. 查看和配置ARP表

pixfirewall(config)# show arp//查看ARP表

pixfirewall(config)# arp inside 192.168.2.100 003c.2756.2e23//在inside接口上靜態綁定ARP

pixfirewall(config-if)# arp-inspection outside enable//在outside接口上啓動arp檢測

十、 基於時間的ACL

拓撲

需求

某公司正常的上班時間爲星期一至星期五，早上9：00至18：00；管理員需要在PIX上設置，讓所有客戶端只能在工作時間段訪問外網，任何時間都可以訪問DMZ。

配置

1. 在DMZ區域安裝一臺NTP時間服務器，使用NTP V4.X。

2. 配置PIX

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.13 255.255.255.0

!

interface Ethernet1

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet2

nameif dmz

security-level 50

ip address 192.168.2.1 255.255.255.0

!

time-range worktime//建立一個名爲worktime的時間範圍

periodic weekdays 9:00 to 18:00//時間範圍爲weekdays(星期一至星期五)的9:00到18:00

clock timezone mytime 8//設定PIX的工作時區爲+8區，時區名字爲mytime

access-list outlist extended permit icmp any interface outside echo-reply //用於ping測試

access-list dmzlist extended permit ip any any //用於ping測試

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

access-list insidelist extended permit ip 192.168.1.0 255.255.255.0 any time-range worktime //此條ACL只在worktime時間範圍有效時才存在，否則無效，跳到下一條ACL。

access-list insidelist extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 //允許192.168.1.0任何時候都可以訪問192.168.2.0

access-list insidelist extended deny ip any any

global (outside) 1 interface

nat (inside) 0 access-list nonat

nat (inside) 1 192.168.1.0 255.255.255.0

access-group outlist in interface outside

access-group insidelist in interface inside//綁定時間訪問列表insidelist

access-group dmzlist in interface dmz

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

ntp server 192.168.2.123 source dmz//設定PIX的時間同步服務器地址爲192.168.2.123

3. 驗證

十一、基本Failover

拓撲

需求

PIX1和PIX2組成failover,要求當PIX1宕機後，PIX2能接替IP和MAC地址，繼續工作。

配置

PIX1和PIX2硬件配置必須相同，並用相同的接口連接內網和外網，PIX1和PIX2直接使用相同的接口相互連接，作爲心跳線failoverlink；當PIX1爲ACTIVE狀態時，每隔一段時間會通過failoverlink線路發送hello信息報文給PIX2，如果連續兩個hello沒有收到，PIX2將從standby狀態跳躍到active狀態，並接受PIX1的IP和MAC地址繼續工作，並對inside區域的客戶機透明。

1.配置PIX1

PIX1:

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.13 255.255.255.0 standby 202.100.1.14 //配置outside的主IP和備份IP

!

interface Ethernet1//用於心跳線

description LAN Failover Interface

no shut//激活E1接口

!

interface Ethernet2

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2 //配置inside的主IP和備份IP

access-list outlist extended permit icmp any interface outside echo-reply //用於ping測試的ACL

failover//啓動FAILOVER

failover lan unit primary//配置failover通過LAN口實現心跳線，並設置本機爲primary端

failover lan interface flink Ethernet1//配置E1接口爲LAN心跳線接口，並賦予flink名稱

failover lan enable//激活LAN心跳線接口

failover interface ip flink 10.1.1.1 255.255.255.0 standby 10.1.1.2//設置LAN心跳線的ACTIVE端的IP和STANDBY端的IP，用於心跳通信

nat-control

global (outside) 1 interface

nat (inside) 1 192.168.1.0 255.255.255.0

access-group outlist in interface outside

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

2.配置PIX2

PIX2:

interface Ethernet1//用於心跳線

description LAN Failover Interface

no shut//接口E1接口

failover//啓動FAILOVER

failover lan unit primary//配置failover通過LAN口實現心跳線，並設置本機爲primary端

failover lan interface flink Ethernet1//配置E1接口爲LAN心跳線接口，並賦予flink名稱

failover lan enable//激活LAN心跳線接口

failover interface ip flink 10.1.1.1 255.255.255.0 standby 10.1.1.2//設置LAN心跳線的ACTIVE端的IP和STANDBY端的IP，用於心跳通信

3等待PIX1的所有配置通過failover link心跳線傳輸到PIX2

4. 通過show failover查看兩端的狀態

5. 測試效果，使用客戶端PING外部網絡，然後關閉處於ACTIVE狀態的PIX1，稍等後，PIX2將繼續工作，客戶端PING只有少許的中斷。

十二、Failover NLB

拓撲

需求

某公司內部有3個VLAN，VLAN1用於管理設備，VLAN2用於市場部，VLAN3用於研發部，公司購入兩臺型號相同的PIX；要求第一臺物理PIX都劃分出兩個虛擬context，一個context用於VLAN2通信，另一個context用於VLAN3通信；物理PIX1的vlan2-pix1虛擬context用於VLAN2通信，處於ACTIVE狀態，物理PIX1的vlan3-pix1虛擬context用於VLAN3通信，處於STANDBY狀態，第二臺作爲PIX1的failover冗餘，從而實現如圖所示的負載平衡和Failover，最大化利用現有資源。

配置

PIX1：

System 模式

hostname pix1

interface Ethernet0

no shut

interface Ethernet1

description LAN/STATE Failover Interface

no shut

interface Ethernet2

no shut

interface Ethernet2.2

vlan 2

interface Ethernet2.3

vlan 3

failover//啓動Failover

failover lan unit primary//設置爲primary端

failover lan interface flink Ethernet1//指定e1接口爲failover接口

failover lan enable

failover link flink Ethernet1

failover interface ip flink 10.1.1.1 255.255.255.0 standby 10.1.1.2

failover group 1//建立failover group1

primary//設置primary端默認情況下具有高優先級

preempt//配置佔先權

failover group 2//建立failover group2

secondary//設置secondary端默認情況下具有高優先級

preempt//配置佔先權

admin-context admin

context admin

description "Use to admin"

allocate-interface Ethernet0

allocate-interface Ethernet2

config-url flash:/admin.cfg

!

context vlan2-pix1

allocate-interface Ethernet0

allocate-interface Ethernet2.2

config-url flash:/vlan2-pix1.cfg

join-failover-group 1

!

context vlan3-pix1

allocate-interface Ethernet0

allocate-interface Ethernet2.3

config-url flash:/vlan3-pix1.cfg

join-failover-group 2

vlan2-pix1 Context模式

hostname vlan2-pix1

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.13 255.255.255.0 standby 202.100.1.14

!

interface Ethernet2.2

nameif inside

security-level 100

ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2

access-list outlist extended permit icmp any interface outside echo-reply

nat-control

global (outside) 1 interface

nat (inside) 1 192.168.2.0 255.255.255.0

access-group outlist in interface outside

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

vlan3-pix1 Context模式

hostname vlan3-pix1

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.15 255.255.255.0 standby 202.100.1.16

!

interface Ethernet2.3

nameif inside

security-level 100

ip address 192.168.3.1 255.255.255.0 standby 192.168.3.2

!

access-list outlist extended permit icmp any interface outside echo-reply

nat-control

global (outside) 1 interface

nat (inside) 1 192.168.3.0 255.255.255.0

access-group outlist in interface outside

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

PIX2

System模式

hostname pix2

interface Ethernet1

description LAN/STATE Failover Interface

no shut

failover

failover lan unit secondary

failover lan interface flink Ethernet1

failover lan enable

failover link flink Ethernet1

failover interface ip flink 10.1.1.1 255.255.255.0 standby 10.1.1.2

驗證

正常情況下兩個PIX的show fialover狀態

PIX1：

PIX2：

關閉PIX1，稍等片刻，PIX2的standby變爲active，接替PIX1繼續工作，VLAN2 VLAN3通信依然正常。

十三、IDS與SYSLOG

拓撲

需求

開啓PIX上的IDS功能，並將日誌記錄到DMZ區域的syslog服務器上；PIX上的IDS簽名只是CISCO IDS的一部分，共有51個簽名：

pixfirewall(config)# sh ip audit count

IP AUDIT GLOBAL COUNTERS

1000 I Bad IP Options List 0

1001 I Record Packet Route 0

1002 I Timestamp 0

1003 I Provide s,c,h,tcc 0

1004 I Loose Source Route 0

1005 I SATNET ID 0

1006 I Strict Source Route 0

1100 A IP Fragment Attack 0

1102 A Impossible IP Packet 0

1103 A IP Teardrop 0

2000 I ICMP Echo Reply 0

2001 I ICMP Unreachable 0

2002 I ICMP Source Quench 0

2003 I ICMP Redirect 0

2004 I ICMP Echo Request 0

2005 I ICMP Time Exceed 0

2006 I ICMP Parameter Problem 0

2007 I ICMP Time Request 0

2008 I ICMP Time Reply 0

2009 I ICMP Info Request 0

2010 I ICMP Info Reply 0

2011 I ICMP Address Mask Request 0

2012 I ICMP Address Mask Reply 0

2150 A Fragmented ICMP 0

2151 A Large ICMP 0

2154 A Ping of Death 0

3040 A TCP No Flags 0

3041 A TCP SYN & FIN Flags Only 0

3042 A TCP FIN Flag Only 0

3153 A FTP Improper Address 0

3154 A FTP Improper Port 0

4050 A Bomb 0

4051 A Snork 0

4052 A Chargen 0

6050 A DNS Host Info 0

6051 A DNS Zone Xfer 0

6052 A DNS Zone Xfer High Port 0

6053 A DNS All Records 0

6100 I RPC Port Registration 0

6101 I RPC Port Unregistration 0

6102 I RPC Dump 0

6103 A Proxied RPC 0

6150 I ypserv Portmap Request 0

6151 I ypbind Portmap Request 0

6152 I yppasswdd Portmap Request 0

6153 I ypupdated Portmap Request 0

6154 I ypxfrd Portmap Request 0

6155 I mountd Portmap Request 0

6175 I rexd Portmap Request 0

6180 I rexd Attempt 0

6190 A statd Buffer Overflow 0

所有的簽名分爲兩類，一類就是info，表示只是探測行爲，一般沒有危害，另一類是attack，表示***行爲，一般有危害性。PIX上的IDS功能只能防禦簡單的***。

配置

1. 在DMZ區域的syslog服務器上安裝Kiwi_Syslogd_8.3.19

2. 配置PIX

PIX Version 7.2(1)

!

hostname pixfirewall

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.13 255.255.255.0

!

interface Ethernet1

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet2

nameif dmz

security-level 50

ip address 192.168.2.1 255.255.255.0

!

access-list outlist extended permit icmp any interface outside echo-reply //PING測試

logging enable//開啓log功能

logging trap debugging//設置log記錄的級別，分爲0-7級

logging host dmz 192.168.2.123//設置log server的ip 地址

ip audit name myattack attack action alarm drop reset//建立一個名爲myattack的attack策略，該策略觸發時，動作爲提示、丟棄、重置連接。

ip audit name myinfo info action alarm//建立一個名爲myinfo的info策略，該策略觸發時，動作爲提示。

ip audit interface outside myinfo//將myinfo策略綁定到outside接口

ip audit interface outside myattack//將myattack策略綁定到outside接口

nat-control

global (outside) 1 interface

nat (inside) 1 192.168.1.0 255.255.255.0

access-group outlist in interface outside

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

3. 測試，使用inside區域的客戶機ping外部網絡，查看log server上的記錄

4. 關閉簽名號爲2000的audit（ping echo-reply）

pixfirewall(config)# ip audit signature 2000 disable

十四、PPPoE

拓撲

需求

ISP使用路由器提供PPPOE撥號，企業用戶使用路由器和防火牆作爲PPPOE的客戶端，要求企業內部能夠通過PPPOE撥號成功後聯入Internet。

配置

PPPOE SERVER：

hostname PPPoE-Server

aaa new-model //啓動 AAA 功能模塊

aaa authentication ppp default local //針對PPP認證建立一條名字爲default，方法爲“local本地認證“的認證列表

vpdn enable //啓動***撥號功能

username 131001 password 0 123qwe! //建立131001用戶和密碼

username 131002 password 0 123qwe! //建立131002用戶和密碼

bba-group pppoe global //建立PPPOE撥號組策略

virtual-template 1 //綁定1號虛擬撥號模板

sessions max limit 300 //設置PPPOE服務器最大接受的用戶數量

sessions per-mac limit 1 //設置每MAC地址能同時發起的PPPOE連接數量

interface Ethernet0/0

ip address 202.100.1.1 255.255.255.0

half-duplex

pppoe enable group global //在E0/0接口上起開PPPOE會話偵聽

interface Virtual-Template1 //創建1號虛擬模板

ip address 61.187.191.254 255.255.255.0 //設置模板IP（PPPOE網關IP）

peer default ip address pool ***pool //設置PPPOE客戶端IP地址來源於***pool池

ppp authentication pap //啓動PPP的PAP認證

ip local pool ***pool 61.187.191.1 61.187.191.100 //建立***pool地址池

PPPOE Client(Router):

hostname PPPoE-Client

interface Ethernet0/0

no ip address

pppoe enable //在接口上開啓PPPOE

pppoe-client dial-pool-number 1 //將E0/0物理接口放入1號撥號池，並作爲撥號客戶端接口

interface Ethernet0/1

ip address 192.168.1.1 255.255.255.0

ip nat inside

interface Dialer0 //建立0號模擬撥號接口

ip address negotiated //設置IP地址爲“協商“

ip nat outside

encapsulation ppp //設置封裝協議爲PPP

dialer in-band //啓動DDR

dialer-group 1 //通過編號爲1的dialer-list來感知興趣流

dialer pool 1 //將0號撥號接口與1號撥號池綁定

ppp pap sent-username 131001 password 0 123qwe! //設置PPP協議PAP認證時發送的用戶名和密碼

ip route 0.0.0.0 0.0.0.0 Dialer0 //建立一條通過0號撥號接口的默認路由

ip nat inside source list natlist interface Dialer0 overload//啓動對0號撥號接口的PAT

ip access-list extended natlist

permit ip 192.168.1.0 0.0.0.255 any

dialer-list 1 protocol ip permit //建立編號爲1的撥號列表，用於設置對具體的數據流產生興趣，不滿足該列表的數據包不會觸發撥號

PPPoE Client(PIX):

hostname PPPOE-Client

interface Ethernet0

nameif outside

security-level 0

pppoe client vpdn group pppoe //設置該物理接口用於PPPOE撥號，並與pppoe撥號組策略綁定

ip address pppoe setroute //設置該接口的IP地址通過PPPOE獲取，並生成默認路由

interface Ethernet1

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

access-list outlist extended permit icmp any interface outside echo-reply //建立一條用於PING測試的ACL

nat-control //啓動NAT

global (outside) 1 interface //設置對 192.168.1.0的地址到outside接口上的PAT

nat (inside) 1 192.168.1.0 255.255.255.0 //設置對192.168.1.0網段在INSIDE接口上啓動NAT

access-group outlist in interface outside //綁定用於PING測試的ACL

vpdn group pppoe request dialout pppoe//建立一個名字爲pppoe的VPDN策略組，並設置該策略組用於pppoe的“撥出請求“

vpdn group pppoe localname 131002 //設置PPPOE的本地用戶名，該名稱和撥號時的發送用戶名可以不同，主要用於本地統計時顯示，即撥號用戶名的顯示名

vpdn group pppoe ppp authentication pap //設置PPPOE撥號時啓動PAP認證

vpdn username 131002 password ********* //設置PPPOE撥號時發送的用戶名和密碼

十五、證書籤名IPSEC ***

拓撲

需求

某公司總部在北京，分公司在廣州，要求構建IPSEC ***，總公司使用CISCO路由器作爲網關接入互聯網，分公司使用PIX防火牆作爲網關接入互聯網，由於安全性要求較高，所以管理員不打算使用預共享密鑰來構建***，而是使用公網CA提供的證書來完成隧道的認證。公網CA的域名爲www.myca.com。

配置

1. 構建公網CA服務器，先修改CA服務器主機名爲myca，然後再安裝獨立根CA功能

2. 輸入CA的公用名稱爲www.myca.com

3. 在CA上安裝mscep.dll組件來支持cisco設備從CA請求證書

4. 檢查CA服務器是否成功安裝MSCEP組件，如果IIS裏能看到mscep虛擬路徑則表示安裝成功

5. 配置總公司路由器

Interface e0/0 //初始化物理接口

Ip address 202.100.1.64 255.255.255.0

No shut

Interface e0/1

Ip address 192.168.1.1 255.255.255.0

No shut

Hostname BeiJing //配置主機名爲BeiJing

Ip domain-name benet.com //配置域名爲benet.com

ip host www.ca.com 187.126.32.39 //建立www.ca.com到187.126.32.39的解析記錄

ip host myca 187.126.32.39 //建立myca主機名到187.126.32.39的解析記錄，如果CA是域環境，且域名爲www.ca.com，則只需要建立www.ca.com的解析記錄

ip route 0.0.0.0 0.0.0.0 202.100.1.1 //建立默認路由至ISP

crypto key generate rsa general-keys label mykeys modulus 1024 //產生一對名字爲mykeys、模數爲1024的RSA密鑰對

crypto ca trustpoint myca //建立一個名字爲myca的CA信任點

rsakeypair mykeys //綁定mykeys密鑰對，該密鑰對用於和CA進行安全通信

subject-name cn=BeiJing,dc=benet,dc=com //指定本地路由器的證書信息，cn表示主機名，dc表示域名段

enrollment url http://www.ca.com/certsrv/mscep/mscep.dll //指定證書申請時使用的URL地址，此處必須指出mscep.dll的完整訪問域名

enrollment mode ra //配置證書申請方式爲RA（註冊授權）方式

crypto ca authenticate myca //向myca信任點中指定的url地址發起CA證書下載請求

Certificate has the following attributes:

Fingerprint MD5: B5F622B6 B8D1EECB 425F3F30 EEBD9D6F

Fingerprint SHA1: 0ADBF87C 4A3A2D83 8F011735 CDDD0A22 E5ED2B25

% Do you accept this certificate? [yes/no]:yes //輸入yes，表達接受CA的證書

crypto ca enroll myca //向myca信任點中指定的url地址發起路由器證書申請請求

使用公司內部計算機訪問http://www.myca.com/certsrv/mscep/mscep.dll

得到一個挑戰密碼，將此密碼複製粘貼到路由器的Password:提示處

%

% Start certificate enrollment ..

% Create a challenge password. You will need to verbally provide this

password to the CA Administrator in order to revoke your certificate.

For security reasons your password will not be saved in the configuration.

Please make a note of it.

Password: 36202C70AD63F3B3

% The subject name in the certificate will include: cn=BeiJing,dc=benet,dc=com

% The subject name in the certificate will include: BeiJing.benet.com

% Include the router serial number in the subject name? [yes/no]: no //不將路由器序列號放入subject name中

% Include an IP address in the subject name? [no]: no //不將IP地址放入subject name中

Request certificate from CA? [yes/no]: yes //從CA請求一個路由器證書

CA服務器上頒發路由器證書

crypto isakmp enable //開啓isakmp協議

crypto isakmp policy 10 //建立編號爲10的isakmp策略

authentication rsa-sig//設置isakmp階段對隧道認證的方式爲RSA證書籤名式

encryption 3des //設置isakmp協商階段對數據加密方式爲3DES

group 2 //設置isakmp協商階段進行DH算法的模式爲dh group 2

hash md5 //設置isakmp協商階段進行數據hash完整性檢測使用的算法爲MD5

crypto ipsec transform-set ***set esp-3des esp-md5-hmac //建立IPSEC傳輸模式集

mode tunnel //設置IPSEC模式爲tunnel模式

ip access-list extended ***list //建立***的興趣列表ACL

permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

crypto map ***map 10 ipsec-isakmp //建立加密圖

match address ***lsit //在加密圖中綁定興趣ACL

set peer 61.187.191.32 //在加密圖中綁定***隧道對端IP

set transform-set ***set //在加密圖中綁定傳輸模式集

interface e0/0

crypto map ***map //在E0/0外部接口上啓動IPSEC

ip access-list extended natlist //建立PAT列表

deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

permit ip 192.168.1.0 0.0.0.255 any

interface e0/0

ip nat outside //在E0/0外部接口上啓動PAT

interface e0/1

ip nat inside //在E0/1內部接口上啓動PAT

ip nat inside source list natlist interface e0/0 overload //對natlist中的數據流進行E0/0接口的PAT轉換

6. 配置分公司PIX防火牆

Interface e0 //初始化物理接口

Ip address 61.187.191.32 255.255.255.0

security-level 0

nameif outside

no shutdown

interface e1 //初始化物理接口

ip address 192.168.2.1 255.255.255.0

security-level 100

nameif inside

no shutdown

hostname GuangZhou //修改主機名爲GuangZhou

domain-name benet.com //設置域名爲benet.com

name 187.126.32.39 myca //建立主機名myca到187.126.32.39的解析記錄

route outside 0 0 61.187.191.1 //建立與ISP的默認路由

crypto key generate rsa label mykeys modulus 1024 //生成一個名字爲mykeys的模數1024的RSA密鑰對

crypto ca trustpoint myca //建立一個名字爲myca的CA信任點

keypair mykeys //在該信任點裏綁定mykeys密鑰對，用於與CA的安全通信

subject-name cn=GuangZhou,dc=benet,dc=com //設置PIX防火牆證書信息

enrollment url http://myca/certsrv/mscep/mscep.dll //綁定CA的證書申請url地址

crypto ca authenticate myca //調用myca信任點中指定的url向CA下載CA信任證書

INFO: Certificate has the following attributes:

Fingerprint: b5f622b6 b8d1eecb 425f3f30 eebd9d6f

Do you accept this certificate? [yes/no]:yes //接受CA信任證書

crypto ca enroll myca //調用myca信任點中指定的url向CA發送pix防火牆證書請求

使用公司內部計算機訪問http://www.ca.com/certsrv/mscep/mscep.dll地址，得到一份臨時的挑戰密鑰，將該密鑰複製粘貼到password:提示處

%

% Start certificate enrollment ..

% Create a challenge password. You will need to verbally provide this

password to the CA Administrator in order to revoke your certificate.

For security reasons your password will not be saved in the configuration.

Please make a note of it.

Password: 7F75C07D276CB678 //粘貼密鑰

Re-enter password: 7F75C07D276CB678 //粘貼密鑰

% The subject name in the certificate will be: cn=GuangZhou,dc=benet,dc=com

% The fully-qualified domain name in the certificate will be: GuangZhou.benet.com

% Include the device serial number in the subject name? [yes/no]: no //證書信息中不要包含pix設備的序列號

Request certificate from CA? [yes/no]: yes //向CA請求一份證書

CA管理員審覈後頒發證書

crypto isakmp enable outside //在outside接口上開啓isakmp協商功能

crypto isakmp policy 10 //建立編號爲10的iskamp策略

authentication rsa-sig //指定isakmp協商階段對隧道認證時採用RSA證書籤名

encryption 3des //指定isakmp協商階段數據的機密性採用3des算法

group 2 //指定isakmp協商階段進行DH密鑰交換時採用dh Group 2 算法

hash md5 //指定isakmp協商階段進行數據完整性時採用md5算法

crypto ipsec transform-set ***set esp-3des esp-md5-hmac //建立一個名字爲***set的傳輸模式集

access-list ***list extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 //建立一條用於建立ipsec ***的興趣ACL

crypto map ***map 10 ipsec-isakmp //建立一個名字爲***map編號爲10的加密圖，並指定通過isakmp協議進行sa的協商建立

crypto map ***map 10 match address ***list //綁定***list興趣ACL到***map加密圖

crypto map ***map 10 set peer 202.100.1.64 //綁定隧道對端IP 202.100.1.64到***map加密圖

crypto map ***map 10 set transform-set ***set //綁定***set傳輸模式集到***map加密圖

crypto map ***map interface outside //將***map加密圖綁定到outside接口上，啓動ipsec功能

nat-control // 開啓nat控制

nat (inside) 0 access-list ***list //針對***list ACL中的數據不做nat/pat

nat (inside) 1 192.168.2.0 255.255.255.0 //針對來自192.168.2.0網段的數據做NAT/PAT

global (outside) 1 interfaces //將192.168.1.0 的數據PAT到outside接口

access-list outsidelist extended permit icmp any interface outside echo-reply //建立一條用於ping測試的ACL

access-group outsidelist in interface outside //將測試ACL綁定到outside接口的in方向上

十六、遠程訪問***

拓撲

需求

某公司採用PIX防火牆作爲網關，該公司採用三項外圍拓撲結構，其中DMZ爲服務器區域，Inside爲公司內部辦公網絡，Outside爲外部網絡；該公司移動辦公用戶需要遠程訪問公司內部的附件服務器和郵件服務器，但無法確定移動用戶的當前IP地址，要求管理員建立遠程訪問***。

配置

1. 配置PIX防火牆

hostname pix

interface Ethernet0 //初始化物理接口

nameif outside

security-level 0

ip address 202.100.1.64 255.255.255.0

!

interface Ethernet1 //初始化物理接口

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet2 //初始化物理接口

nameif dmz

security-level 50

ip address 172.16.1.1 255.255.255.0

access-list ***splitlist extended permit ip 172.16.1.0 255.255.255.0 any //該ACL用來推送至客戶端，形成客戶端訪問公司內部時的興趣ACL

access-list outsidelist extended permit icmp any interface outside //該ACL用來PING測試

access-list dmzlist extended permit ip 172.16.1.0 255.255.255.0 any //該ACL用來放行DMZ至其他區域的所有數據

access-list notnat extended permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0 //該ACL用來指定從INSIDE區域訪問DMZ區域無須進行NAT/PAT處理，直接採用路由的方式

ip local pool ***pool 10.1.1.2-10.1.1.254 mask 255.255.255.0 //建立一個名字爲***pool的IP地址分配池

global (outside) 1 interface //對序號爲1的NAT策略中的數據包進行outside端口的PAT

nat (inside) 0 access-list notnat //將名字爲notnat的ACL中指定的，且來自inside接口的數據包放入序號爲0的NAT策略中，且不進行任何NAT/PAT處理

nat (inside) 1 192.168.1.0 255.255.255.0 //將來自inside接口的，且源地址在192.168.1.0網段的數據包，放入序號爲1的NAT策略中

access-group outsidelist in interface outside //綁定outsidelist ACL到outside接口的IN方向上

access-group dmzlist in interface dmz //綁定dmzlist ACL到dmz接口的IN方向上

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1 //建立至ISP的默認路由

group-policy remoteaccess internal //建立名字爲remoteaccess的內部組策略

group-policy remoteaccess attributes //設置remoteaccess組策略的屬性

wins-server value 172.16.1.53 //配置分配給客戶端的WINS地址

dns-server value 172.16.1.53 //配置分配給客戶端的DNS地址

***-tunnel-protocol IPSec //配置客戶端啓動***時使用的隧道協議爲IPSEC

password-storage enable //配置客戶端進行用戶名認證時可以保存用戶名和密碼

split-tunnel-policy tunnelspecified //配置客戶端通過IPSEC訪問公司內部時的數據的IPSEC ***興趣策略，此處爲tunnelspecified[特定隧道]，即通過ACL來指定客戶端至公司需要加密的數據流，而不是客戶端至公司的所有數據流

split-tunnel-network-list value ***splitlist //將***splitlist ACL推送到客戶端，客戶端發送數據時，如果滿足該ACL的數據將被IPSEC ***，否則直接發送出去，不進行IPSEC ***,此命令和上一條命令搭配使用

split-dns value benet.com //配置客戶端解析時對benet.com的解析不發送至公網DNS，而是使用IPSEC ***獲取的DNS地址來解析

username zhongta password Qo1dQf/HbvQeH9gV encrypted //建立本地用戶和密碼用於ipsec ***的用戶認證

crypto ipsec transform-set ***set esp-3des esp-md5-hmac //建立***set傳輸模式集

crypto dynamic-map template-map 10 set transform-set ***set //建立一個名字爲template-map的優先級爲10的動態加密圖，並綁定***set傳輸模式集

crypto map ***map 10 ipsec-isakmp dynamic template-map //建立優先級爲10的名字爲***map的加密圖，並告訴PIX，該加密圖中的綁定信息來自動態加密圖template-map

crypto map ***map interface outside //綁定***map加密圖至outside接口上

crypto isakmp enable outside //開啓isakmp策略

crypto isakmp policy 10 //建立編號爲10的isakmp策略

authentication pre-share //設置isakmp協商階段時隧道認證採用預共享密鑰

encryption 3des //設置isakmp協商階段對數據加密使用3DES

hash md5 //設置isakmp協商階段對數據完整性使用md5

group 2 //設置isakmp協商階段DH密鑰交換使用DH GROUP 2模式

lifetime 86400

crypto isakmp policy 65535 //PIX自行建立的默認策略

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

tunnel-group guangzhou type ipsec-ra //建立名字爲guangzhou的類型爲ipsec-ra的隧道組，該隧道組名字會和密鑰一起用於進行隧道認證

tunnel-group guangzhou general-attributes //配置guangzhou隧道組的通用屬性

address-pool ***pool //配置分配給客戶端的地址來源於***pool地址池

default-group-policy remoteaccess //將remoteaccess組策略綁定到guangzhou隧道組

tunnel-group guangzhou ipsec-attributes //配置guangzhou隧道組的ipsec屬性

pre-shared-key * //配置guangzhou隧道組的預共享密鑰，該密鑰和隧道組的組名一起用來進行隧道認證

2. 在移動辦公用戶上安裝CISCO *** CLIENT

十七、L2TP WITH IPSEC ***

拓撲

需求

某公司採用PIX作爲接入互聯網的網關，採用三向外圍拓撲結構，要求外部移動用戶可以使用L2TP+IPSEC的方式安全地接入公司DMZ區域

配置

1. 配置PIX防火牆

hostname pix

interface Ethernet0 //初始化物理接口

nameif outside

security-level 0

ip address 202.100.1.64 255.255.255.0

interface Ethernet1 //初始化物理接口

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

interface Ethernet2 //初始化物理接口

nameif dmz

security-level 50

ip address 172.16.1.1 255.255.255.0

access-list nonat extended permit ip 172.16.1.0 255.255.255.0 10.1.1.0 255.255.255.0

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0 //建立ACL來指定從DMZ至***客戶端地址，以及INSIDE至DMZ區域不做NAT/PAT

access-list peer-splitlist extended permit ip 172.16.1.0 255.255.255.0 any //該ACL用來推送至客戶端，用來指定在客戶端上進行***時的興趣ACL

access-list dmzlist extended permit ip any any //該ACL放行從DMZ區域出去的所有數據包

access-list outsidelist extended permit icmp any interface outside //該ACL綁定在outside接口的IN方向上，用來PING測試

ip local pool ***pool 10.1.1.1-10.1.1.254 mask 255.255.255.0 //建立***pool地址池

nat-control //啓動NAT/PAT控制功能

global (outside) 1 interface //指定將編號爲1的NAT策略進行outside接口的PAT

nat (inside) 0 access-list nonat //來自INSIDE接口的匹配nonat ACL的數據包將不做任何NAT/PAT

nat (inside) 1 192.168.1.0 255.255.255.0 //將從inside區域的192.168.1.0網段的數據放入編號爲1的NAT策略中，用於在global命令中調用

nat (dmz) 0 access-list nonat //來自DMZ接口的匹配nonat ACL的數據包將不做任何NAT/PAT

access-group outsidelist in interface outside //綁定outsidelist ACL到OUTSIDE接口的IN方向

access-group dmzlist in interface dmz //綁定dmzlist ACL到DMZ接口的IN方向

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1 //建立至ISP的默認路由

group-policy l2tp-policy internal //建立名爲l2tp-policy的內部組策略

group-policy l2tp-policy attributes //配置l2tp-policy的組策略屬性

dns-server value 172.16.1.53 //指定分配給客戶端的DNS地址

***-tunnel-protocol IPSec l2tp-ipsec //指定客戶端使用IPSEC和L2TP協議建立***

split-tunnel-policy tunnelspecified//指定客戶端***隧道建立的方式爲“指定隧道”

split-tunnel-network-list value peer-splitlist //配合上一條命令，指定客戶端將符合peer-splitlist ACL的數據包進行***處理，即客戶端的***興趣ACL

split-dns value benet.com //指定客戶端解析BENET.COM域名時通過***連接的DNS地址來解析,而不是internet連接的DNS來解析，即DNS分離

username zhongta password 123qwe! mschap //建立用於mschap認證的用戶名和密碼

crypto ipsec transform-set ***set esp-3des esp-md5-hmac //建立***set傳輸模式集，一般windows客戶端支持ESP-3DES和ESP-MD5

crypto ipsec transform-set ***set mode transport//設置***set傳輸模式集的模式爲transport（L2TP+IPSEC 只支持這種模式）

crypto dynamic-map template-map 10 set transform-set ***set //建立template-map動態加密圖，並綁定***set傳輸模式集

crypto dynamic-map template-map 10 set reverse-route //通過template-map動態加密圖來建立客戶端至公司的方向路由

crypto map ***map 10 ipsec-isakmp dynamic template-map //建立***map靜態加密圖，並設置加密圖的配置來自template-map的動態加密圖

crypto map ***map interface outside //綁定***map靜態加密圖至outside接口

crypto isakmp enable outside //在outside接口上開啓isakmp

crypto isakmp policy 10 //建立isakmp協商階段的策略

authentication pre-share //指定在isakmp協商階段使用預共享密鑰來進行隧道認證

encryption 3des //指定在isakmp協商階段數據的加密方式爲3DES

hash md5 //指定在isakmp協商階段使用md5進行完整性驗證

group 2 //指定在isakmp協商階段使用DH GROUP2模式進行DH密鑰交換

lifetime 86400 //配置isakmp sa的生命期

tunnel-group DefaultRAGroup general-attributes//設置DefaultRAGroup隧道組的通用屬性，注意L2TP只能使用DefaultRAGroup這個隧道組名稱

address-pool ***pool//指定分配給客戶端的IP地址來自***pool地址池

default-group-policy l2tp-policy//綁定l2tp-policy組策略

tunnel-group DefaultRAGroup ipsec-attributes //設置DefaultRAGroup隧道組的ipsec屬性

pre-shared-key cisco //配置預共享密鑰

tunnel-group DefaultRAGroup ppp-attributes //設置DefaultRAGroup隧道組的ppp屬性

authentication ms-chap-v2 //設置接受客戶端ms-chap-v2認證協議

2. 配置客戶端

創建***連接

輸入***接口IP地址

右擊***連接選擇屬性

設置IPSEC密鑰

設置***類型爲L2TP IPSEC

輸入帳號和密碼開始撥號

十八、Web***/SSL ***

拓撲

需求

某公司採用三向外圍拓撲結構，要求移動辦公用戶可以通過IE瀏覽器訪問公司DMZ區域的WWW/FTP服務器，且可以通過下載胖客戶端來訪問DMZ區域的EMAIL服務器。

備註

SSL ***的客戶端有三種模式，第一種是通過IE瀏覽器來訪問，這種方式又叫做WEB ***或者無客戶端；第二種是通過安裝java運行環境後，通過運行WEB小應用程序來實現“端口轉發”模式的訪問，這叫做瘦客戶端；第三種是通過下載安裝anyconnect軟體，然後通過SSL ***接入公司內部，這叫做胖客戶端；在這三種客戶端中，如果按照功能強度來排列，則web*** < 瘦客戶端 < 胖客戶端；另外pix8.0/ASA以上的版本才能支持SSL ***。

配置

1. 配置PIX防火牆，啓動無客戶端

案例採用ASA Version 8.0(2)

hostname ASA //初始化主機名爲ASA

domain-name zt.com //設置本地域名爲zt.com

interface Ethernet0/0 //初始化物理接口

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet0/1 //初始化物理接口

nameif dmz

security-level 50

ip address 172.16.1.1 255.255.255.0

!

interface Ethernet0/2 //初始化物理接口

nameif outside

security-level 0

ip address 202.100.1.64 255.255.255.0

crypto key generate rsa label mykey modulus 1024 //生成一個名爲mykey的密鑰對，該密鑰對中的密鑰長度爲1024bit

crypto ca trustpoint myself //建立用於HTTPS通信時的自簽名證書信任點myself

enrollment self //設置爲自簽名證書模式

subject-name cn=ASA,dc=zt,dc=com //設置證書上的PIX信息

keypair mykey //指定使用mykey密鑰對中的私鑰來自己簽名證書

client-types ssl //配置證書客戶端類型爲SSL客戶端

ssl encryption 3des-sha1 //設置SSL通信時對數據加密和完整性的算法爲3des-sha1

ssl trust-point myself //設置SSL調用myslef信任點中指定的證書配置

http server enable //啓動https服務

group-policy web*** internal //建立web***內部組策略

group-policy web*** attributes //配置web***的組策略屬性

***-tunnel-protocol svc web*** //指定客戶端***隧道協議爲svc web***方式

Web*** //進入web***屬性配置模式

file-entry enable //設置開啓cifs和ftp文件訪問功能

file-browsing enable //設置開啓browse超鏈接來瀏覽共享文件功能

username zhongta password 123qwe! //建立本地用戶名和密碼，用戶web***客戶端登錄認證

tunnel-group Web***Group type web*** remote-access 建立一個名字爲Web***Group且類型爲remote-access(該類型支持web***或者ipsec遠程訪問)的隧道組

tunnel-group Web***Group general-attributes //進入配置Web***Group隧道組的通用屬性

authentication-server-group local //指定客戶端登錄認證時採用本地用戶名和密碼

default-group-policy web*** //綁定web***組策略

tunnel-group Web***Group web***-attributes //進入配置Web***Group隧道組的web***屬性

group-alias GuangZhou enable //將隧道組名Web***Group起一個別名GuangZhou

web*** //進入web***功能配置模式

enable outside //在outside接口上啓動web***功能

tunnel-group-list enable //在登錄頁面開啓顯示隧道組列表，該列表會顯示隧道組的別名，提供給客戶選擇不同的隧道組來登錄

2. 客戶端訪問驗證無客戶端模式

3. 在PIX/ASA上啓動瘦客戶端

web*** //進入web***功能配置模式

port-forward portlist 8080 172.16.1.100 80 //建立一個名爲portlist的Port-Forward列表，該列表將本地IP的8080端口的訪問都轉換成172.16.1.100的80端口

group-policy web*** attribute //進入web***組策略的屬性配置模式

web***//進入web***屬性的配置子模式

port-forward enable portlist//開啓port-forward功能，且調用portlist端口轉發列表

4. 客戶端驗證瘦客戶端模式

提示要求先安裝JRE1.4以上的版本

Port-forward測試

5. 在PIX/ASA上啓動胖客戶端

ip local pool ***pool 10.1.1.1-10.1.1.254 mask 255.255.255.0//建立分配給客戶端的IP地址池

access-list peer-splitlist extended permit ip 172.16.1.0 255.255.255.0 any//建立推送給客戶端的興趣ACL

group-policy web*** attributes //配置web***的組策略屬性

dns-server value 172.16.1.53 //配置分配給客戶端的DNS地址

split-tunnel-policy tunnelspecified //配置客戶端進行SSL ***處理時的模式爲“特定隧道模式”

split-tunnel-network-list value peer-splitlist //配合上面的命令，配置分配給客戶端peer-splitlist ACL來進行SSL ***的數據分流

split-dns value benet.com//配置客戶端進行DNS解析時對benet.com域名的解析使用SSL ***連接分配的DNS服務器地址來解析

Web*** //進入web***屬性配置模式

svc ask enable 啓動胖客戶端下載提示功能 SVC(SSL *** CLIENT)

tunnel-group Web***Group general-attributes //進入配置Web***Group隧道組的通用屬性

address-pool ***pool//綁定分配的客戶端的IP地址池***pool

tunnel-group Web***Group web***-attributes //進入配置Web***Group隧道組的web***屬性

override-svc-download //允許客戶端重複下載SVC客戶端軟件

copy tftp://172.16.1.100/sslclient.pkg flash:/sslclient.pkg//從DMZ區域的TFTP服務器172.16.1.100上將SVC客戶端文件包下載到flash存儲器

web*** //進入web***功能配置模式

svc image flash:/sslclient.pkg //配置SVC客戶端軟件包的存儲位置

svc enable//開啓SVC客戶端功能

6. 在客戶端上下載安裝SVC客戶端來驗證胖客戶端模式

可選PIX/ASA SSL***配置

a. 啓用url-list功能

Copy flash:/csco_config/97/bookmarks/Template tftp://172.16.1.100/myurl //複製flash下的url模板文件到DMZ區域的TFTP服務器上，且重命名爲myurl

Copy tftp://172.16.1.100/myurl flash:/myurl //將TFTP服務器上的myurl文件下載到flash中，且重命名爲myurl

import web*** url-list services flash:/myurl //將flash中的url文件導入到web***，且將url-list名稱命名成services

group-policy web*** attributes //配置web***的組策略屬性

Web*** //進入web***屬性配置模式

url-list value services//綁定service URL-LIST列表

url-entry enable//開啓url-list功能