CISCO防火牆日常維護（PIX、ASA）

一、Cisco Pix日常維護常用命令
1、Pix模式介紹
“>”用戶模式
firewall>enable
由用戶模式進入到特權模式
password:
“#”特權模式
firewall#config t
由特權模式進入全局配置模式
“（config）#”全局配置模式
firewall(config)#
防火牆的配置只要在全局模式下完成就可以了。
1、
基本配置介紹
1、端口命名、設備命名、IP地址配置及端口激活
nameif ethernet0 outside security0
端口命名
nameif gb-ethernet0 inside security100
定義端口的名字以及安全級別，“outside”的安全級別默認爲0，“inside”安全級別默認爲100，及高安全級別的可以訪問低安全級別的，但低安全級別不能主動地到高安全級別。
firewall(config)#hostname firewall
設備名稱
firewall（config）#ip address outside 1.1.1.1 255.255.255.0
內外口地址設置
firewall（config）#ip address inside 172.16.1.1 255.255.255.0
firewall（config）# interface ethernet0 100full
激活外端口
firewall（config）# interface gb-ethernet0 1000auto
激活內端口
2、telnet、ssh、web登陸配置及密碼配置
防火牆默認是不允許內/外網用戶通過遠程登陸或WEB訪問的，需要相應得開啓功能。
firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允許內網此網斷內的機器Telnet到防火牆
配置從外網遠程登陸到防火牆
Firewall（config）#domain-name cisco.com
firewall（config）# crypto key generate rsa
firewall（config）#ssh 0.0.0.0 0.0.0.0 outside
允許外網所有地址可以遠程登錄防火牆，也可以定義一格具體的地址可以從外網登陸到防火牆上，如：
firewall（config）#ssh 218.240.6.81 255.255.255.255 outside
firewall（config）#enable password cisco
由用戶模式進入特權模式的口令
firewall（config）#pa***d cisco
ssh遠程登陸時用的口令
firewall（config）#username Cisco password Cisco
Web登陸時用到的用戶名
firewall（config）#http enable
打開http允許內網10網斷通過http訪問防火牆
firewall（config）#http 192.168.10.0 255.255.255.0 inside
firewall（config）#pdm enable
firewall（config）#pdm location 192.168.10.0 255.255.255.0 inside
web登陸方式：https://172.16.1.1 
3、保證防火牆能上網還要有以下的配置
firewall（config）#nat （inside）1 0 0
對內部所有地址進行ＮＡＴ轉換，或如下配置，對內部固定配置的地址進行ＮＡＴ轉化，未指定的不予轉發
firewall（config）#nat
(inside)
1 192.168.10.0 255.255.255.0
fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0
firewall (config) # global
(outside) 1 interface
對進行nat轉換得地址轉換爲防火牆外接口地址
firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2　指一條默認路由器到ＩＳＰ
做完上面的配置內網用戶就可以上網了，內部有３層交換機且劃分了Ｖｌａｎ，若要保證每個Ｖｌａｎ都能夠上網，還要在防火牆上指回到其他ＶＬａｎ的路由，如：
Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.2 
4、內網服務器映射
如果在局域網內有服務器要發佈到互聯網上，需要在PIX對內網服務器進行映射。服務器映射可以是一對一的映射，也可以是端口映射，一般我們採用端口映射及節約IP地址又能增強映射服務器的安全性。下面以發佈內網一臺WEB服務器來舉例說明：
Firewall(config)#static (inside,outside) tcp 222.128.124.1 80 192.168.1.100 80
上述命令便將內部的web服務器放到了公網上面，但外面的用戶並不能訪問到，因爲防火牆的外界口安全級別最低，從低安全級別到高安全級別主動發起的鏈接請求需要我們在防火牆上利用訪問控制列表手動放開，如下：
Firewall(config)#access-list outside permit tcp any host 222.128.124.1 eq 80
Firewall(config)#access-group outside in interface outside
必須將用access-group命令將訪問控制列表應用到外端口，上述完成後就可以從外網上來訪問服務器了。
5、防火牆上常用的show命令
Firewall (config) #show interface 查看所有端口的狀態，端口是否出於連接狀態
interface ethernet0 "outside" is up, line protocol is up　　　端口和協議都出於“ｕｐ”狀態，正常。
pixfirewall# sh cpu usage
查看ＣＰＵ的使用情況，如果ＣＰＵ的使用情況超過６０％是不正常的，說明內部有ＰＣ對外佔用了設備大量資源
CPU utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1%
如果內部有終端中毒（或利用Ｐ２Ｐ下載）向網關送大量的數據包，會導致防火牆只能來處理病毒機器的請求，而無暇顧及正常流量，導致正常用戶不能上網，要找到不正常終端可以利用show conn來查看
Firewall(config)#show conn
若用show conn查看到某個內部ＩＰ到互聯網上的鏈接特別多，且都是ＵＤＰ高端口號的，可以斷定此機器是在Ｐ２Ｐ下載，然後可以通過在防火牆上的show arp命令查看到此計算機的ＭＡＣ地址，在用上面交換機維護命令講到的命令確認他連接在交換機的端口，然後將此端口shotdown，或通過機房點位直接找到用戶要求其停止，否則會佔用出口帶寬和防火牆的資源。
Firewall(config)#show conn local 192.168.40.69
查看具體一個ＩＰ地址的鏈接項：
Firewall(config)#show version 　　查看防火牆的硬件信息
Firewall(config)#show xlate
查看內部地址時否轉換成外端口地址來上網
Fierwall(config)#clear arp 
清除ＡＲＰ表
Firewall(config)#clear xlate
清除內部所有地址的轉換項，網絡中斷一下
Firewall(config)#clear xlate local 192.168.40.69
清除內部具體一臺機器的轉換項
Firewall(config)#show runnint-config
查看防火牆的當前配置文件

二、防火牆配置簡介
1、以前的防火牆的系統版本是6.3以下，在這種版本里面不能用“tab”鍵補齊命令，而且用“？”來查詢命令也很不方便；
   目前的ASA5500的系統版本爲7.0以上，和路由器的命令相同，可以用“tab”鍵補齊命令，可以用“？”來查看參數、同樣也可以在全局模式用show命令。
   防火牆的幾種工作模式：
   用戶模式：如果您看到>那麼現在代表是在用戶模式下，在用戶模式下只有簡單的命令可以操作。由用戶模式進入特權模式的命令爲：enable 
   特權模式：如果您看到當前的位置顯示#那麼您處於特權模式下，在特權模式下用戶可以查看所有信息，而前可以進入全局配置模式對防火牆配置進行修改。由特權模式進入全局配置模式下的命令爲：config
t
   全局配置模式：當您看到（config）#時，表示現在處於全局配置模式，可以對防火牆的設置進行修改。
在“>”、“#”、“（config）#”左側顯示的爲設備的名稱。
2、

1）、防火牆接口配置
Pix配置
Pix>enable
進入特權模式
Pix#config
t
進入全局配置模式
Pix(config)#ip address outside 222.128.1.1 255.255.255.0
配置外接口地址
Pix(config)#ip address inside 1.1.1.1 255.255.255.0
配置內接口地址
Pix(config)#interface ethernet0 auto
激活外端口
Pix(config)#interface ethernet1 auto
激活內端口 （默認端口是出於shutdown狀態的）
防火牆6.3以下系統默認將ethernet0端口做爲外端口，默認安全級別爲0，ethernet1作爲內端口，默認安全級別爲100，對於防火牆而言，高安全級別的用戶可以訪問到低安全級別，而由低安全級別主動發起的到高安全級別的鏈接是不允許的。
Pix系列產品默認只有兩個端口及0和1，DMZ端口都是另外添加的模塊，DMZ端口的默認安全級別50，配置DMZ接口的地址和配置inside和outside類似
Pix(config)#ip address dmz 3.3.3.3 255.255.255.0
Pix(config)# interface gb-ethernet0 1000auto 激活DMZ端口，DMZ的端口號需要您用show 
running-config命令查看，如：
Pix(config)#show running-config
sh run
: Saved
:
PIX Version 6.3(5)
interface ethernet0 100full
interface ethernet1 auto
interface gb-ethernet0 1000auto
新添加的DMZ端口
2）、防火牆nat設置
2.1、內網用戶要上網，我們必須對其進行地址轉換，將其轉換爲在公網上可以路由的註冊地址，
防火牆的nat和global是同時工作的，nat定義了我們要進行轉換的地址，而global定義了要被轉換爲的地址，這些配置都要在全局配置模式下完成，
2.2、Nat配置如下：
Pix(config)#nat (inside) 1 0 0
上面inside代表是要被轉換得地址，
1要和global 後面的號對應，類似於訪問控制列表號，也是從上往下執行，
0 0 代表全部匹配（第一個0代表地址，第二個0代表掩碼），內部所有地址都回進行轉換。
2.3、Global配置
Pix（config）#global （outside）1 interface
Gobalb定義了內網將要被轉換成的地址，
Interface 代表外端口的地址
當然，如果您有更多的公網IP地址，您也可以設置一個地址池，上面一條也是必須的，地址轉換首先會用地址池內地址，一旦地址被用完後會用到上面一條及外端口做ＰＡＴ轉換上網。
Pix（config）#global （outside）１ 222.128.1.100-222.128.1.254
３）、防火牆路由設置
3.1、因爲我們爲末節網絡，所以對於我們來說路由比較簡單，只要將從防火牆過來的所有流量全部導向ＩＳＰ就可以了，具體到各個網站的路由在ＩＳＰ那裏會有。如果在我們的內部沒有Ｖｌａｎ劃分，那麼我們之需要在防火牆上指一條向外出的路由就可以了，如下：
Pix（config）#route outside 0.0.0.0 0.0.0.0 222.128.1.2
Route outside代表是外出的路由
0.0.0.0 代表目的地址，及全部匹配
0.0.0.0 代表子網掩碼，及全部匹配
1.1.1.2代表下一跳，及和我們防火牆互聯的ISP的地址 
3.2、如果在我們的內部有好多VLAN劃分，那麼我們需要往回指到各個Vlan的路由，下一跳需要指向和我們防火牆直接相連的內網的地址，比如在我們的內部有VLAN 2：1.1.1.0/24；VLAN 3：3.3.3.0/24；如果VLAN 2是和防火牆直接相連的，那麼我們不需要對VLAN 2回指路由，因爲他和防火牆在同一網段，而VLAN 3沒有和防火牆直接相連，如果想讓vlan 3 也能上網我們就需要在防火牆上回指一條到vlan 3 的路由，如下：
Pix（config）#route inside 3.3.3.0 255.255.255.0 1.1.1.2
3.3.3.0 255.255.255.0 目的網絡及掩碼
1.1.1.2下一跳及和防火牆相連的同一網段的vlan interface地址，
4）、服務器映射配置
4.1、如果在內網有一臺web服務器需要向外提供服務，那麼需要在防火牆上映射，公網地址多的情況下可以做一對一的映射，如下
Pix（config）#static （inside，outside）222.128.100.100 1.1.1.50
如果只有一個公網地址，那麼可以做端口映射，如下
Pix（config）#static （inside，outside）tcp 222.128.100.100 80 1.1.1.50 80
4.2、映射完畢後還必須配置訪問控制列表，允許外部來訪問映射的WEB服務器，如下：
Pix（config）#access-list outside per tcp any host 222.128.100.100 eq 80
Pix（config）#access-group outside in interface outside
其中“access-list”和“access-group”後面的outside爲防問控制列表的名字，“access-group”最後的outside爲端口名。
允許外面任意一臺主機通過TCP的80端口訪問到222.128.100.100這臺主機，下面還要把此條訪問控制列表應用到outside接口上，這樣互聯網上的用戶才能訪問到WEB服務器。
如果有多條地址映射請重複上述操作。
5）、圖形界面登陸設置和用戶名密碼添加
Pix（config）#pdm history enable
Pix(config)#pdm location 1.1.1.0 255.255.255.0 inside
Pix(config)#http server enable
Pix(config)#http 1.1.1.1 255.255.255.0 inside
Pix(config)#username cisco password cisco
cisco爲用戶名和密碼
上述配置完畢後您就可以通過圖形界面來登陸，登陸方式：https://1.1.1.1 
如果要打開外網圖形界面配置，如下：
Pix（config）#http location 0.0.0.0 0.0.0.0 outside
外網所有的地址都可以通過圖形界面來登陸防火牆如果知道用戶名和密碼。
當然我們也可以定義特定的一臺多多臺可以通過圖形界面登陸防火牆，只要將網段改爲特定的地址就可以了。
6）、防火牆密碼
Pix（config）#enable password cisco
設置進入enable的密碼
Pix（config）#passwd cisco
ssh登陸是第一次輸入的密碼
7）、防火牆內網Telnet和外網SSH登陸設置
Telnet Configuration
Pix（config）#telnet 1.1.1.0 255.255.255.0 inside 允許內網1.1.1.0telnet防火牆
Pix(config)#telnet timeout 1 
1分鐘未作任何操作後超時退出
SSH Configuration
通過外網不能用Telnet防火牆，必須用SSH加密方式，在配置SSH之前要先定義一個domain-name，然後再生成一個key，如下：
Pix（config）#domain-name cisco.com
Pix（config）# ca generate rsa key 800
Pix（config）#ca save all
Pix（config）#ssh 0.0.0.0 0.0.0.0 outside
SSH也可以定義外網特定的一臺主機或固定的一段地址可以來遠程登陸。
8）、防火牆DHCP配置
Pix（config）#dhcpd address 1.1.1.200-1.1.1.254 inside 定義地址池並在inside接口開啓DHCP功能
Pix（config）# dhcpd dns 202.106.196.115 202.106.0.20
定義給客戶分發的DNS
Pix（config）# dhcpd enable inside 打開DHCP功能
9）、如何修改已存在的訪問控制列表
比如，我們在內接口上定義了一些訪問控制列表，如下：
Pix（config）#access-list inside deny ip host 1.1.1.100 any
Pix（config）#access-list inside permit tcp any any range 1 1024
Pix（config）#access-list inside permit ucp any any range 1.1024 
Pix（config）#access-list inside permit tcp any any eq 1863
Pix（config）#access-group inside in interface inside
上面是我已經在內接口存在的訪問控制列表，我拒絕了1.1.1.100到外面所有，而其他的用戶只能訪問外面的TCP和UDP的1—1024 的端口以及TCP的1863端口（msn），如果我還希望在拒絕IP地址爲1.1.1.101的主機到外面所有的，那麼我必須將deny 1.1.1.101 的訪問控制列表寫到access-list inside permit tcp any any range 1 1024列表的上面，因爲訪問控制列表是從上往下執行，如果將deny 1.1.1.101的訪問控制列表放在access-list inside permit tcp any any eq 1863下面，那麼對於1.1.1.101 的限制將不能生效，可以按照下面步驟操作：
1、先用show access-list命令查看訪問控制列表
Pix(config)#show access-list
access-list inside line 1 deny ip host 1.1.1.100 any 
(hitcnt=100000) 
access-list inside line 2 permit tcp any any range 1 1024 
(hitcnt=8000000)
access-list inside line 3 permit udp any any range 1 1024 
(hitcnt=100000)
access-list inside line 4 permit udp any any eq 1863 
(hitcnt=8000)
2、將deny 1.1.1.101的列表插入，格式如下：
Pix(config)#access-list inside line 1 deny ip host 1.1.1.101 any
做完後，在用show running-config可以看到在訪問控制列表位置第一行已經多了一條，顯示結果如下： 
Pix（config）#show run
access-list inside deny ip host 1.1.1.101 any
access-list inside deny ip host 1.1.1.100 any
access-list inside permit tcp any any range 1 1024
access-list inside permit ucp any any range 1.1024 
access-list inside permit tcp any any eq 1863
三、ASA5500端口配置
對於ASA5500系列來說，您定義的參數要多一些，以ASA5520來舉例。（asa5500系列中asa5505有8個端口，全部是二層接口，需要劃分Vlan然後再vlan接口下配置地址及端口名，其他配置都一樣）：
ASA5520默認就有4個Gigabit Ethernet（0-4）和1個百兆的帶外管理接口（此接口下默認有有IP地址，並在此接口下有DHCP功能開啓），一個擴展插槽可以可安裝IPS模塊或防病毒模塊。
1）、端口配置
ASA5520的4個端口默認沒有定義端口名，您需要手動的添加，我們還以0端口爲外接口，1爲內接口，2爲DMZ口說明
Asa5520>enable
進入特權模式
Passwrod:
默認情況下這裏會提示讓您輸入密碼，其實沒有密碼，直接回車就可以。
Asa5520#config t 進入全局配置模式
Asa5520(config)#interface GigabitEthernet0/0
Asa5520(config-if)#name-if outside 定義端口名字，您將此端口設置爲外端口是他的安全級別會自動爲０
Asa5520(config-if)#ip address 222.128.1.1 255.255.255.0 定義地址
Asa5520(config)#interface gigabitethernet0/1
Asa5520(config-if)#name-if inside
定義端口名字，您將此端口設置爲內端口是他的安全級別會自動爲100
Asa5520(config-if)#ip address 1.1.1.1 255.255.255.0 定義地址
2）、圖形界面登陸設置
Asa5500系列配置圖形界面與pix有一點不同，pix圖形界面管理調用的PDM，而asa是調用ASDM。
Asa5520（config）# asdm p_w_picpath disk0:/asdm-507.bin
調用ASDM軟件，默認好像有。
Asa5520（config）#http 1.11.0 255.255.255.0 inside
其他不管是從外網登陸或通過telnet、ssh、登陸asa的配置都是一樣的。
ASA5500系列防火牆的地址映射、路由指向、密碼設置、DHCP配置、訪問控制列表設置和Pix系列防火牆的配置是一樣。請參考上面設置。