cisco防火墙配置的基本配置

MFPIX (config)#nat (inside) 1 10.8.8.0 255.255.224.0
11、给内部某个主机配置一个静态的公网IP地址
打开某端口给某台机器（假设IP为1.1.1.1）：
conduit permit tcp host 1.1.1.1 eq 2000 any any
查看端口打开状态，应该用show static吧，记不清了。
以下是pix506的基本配置：
1、 给PIX506接上电源，并打开电脑主机。
2、 将CONSOLE口连接到主机的串口上，运行Hyperterminal程序，从CONSOLE口进入PIX系统。
3、 进入特权模式
PIX> enable
PIX#
4、 进入全局控制模式并设置密码
PIX#configure terminal
PIX(config)#passwd chenhong
arp inside 192.168.1.66 0017.316a.e5e8 alias
arp inside 192.168.1.70 0017.316a.e140 alias
/*允许访问外网的IP，其他IP都不能访问*/
access-list 110 permit ip host 192.168.1.86 any
icmp-object echo-reply
icmp-object unreachable
object-group network WWWSERVERS
network-object host 外网IP
access-list ACLIN permit tcp 外网IP 子网掩码 object-group WWWSERVERS object-group MYSERVICES

CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从 outside 区访问 inside 区 10.1.1.1 的 80 端口时，就直接访问 10.1.1.1:80 对 outside 区的映射 202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从 outside 区访问 dmz 区 172.16.1.2 的 110 时，就直接访问 172.16.1.2:110 对 outside 区的映射 202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从 outside 区访问 dmz 区 172.16.1.2 的 25 时，就直接访问 172.16.1.2:25 对 outside 区的映射 202.100.10.1:25 6、定义 access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp

思科PIX 防火墙的基本配置【项目目标】掌握PIX 防火墙基本配置方法。

【项目背景】某公司使用Cisco PIX 515防火墙连接到internet ，ISP 分配给该公司一段公网IP 地址。

公司具有Web 服务器和Ftp 服务器，要求让内网用户和外网用户都能够访问其web 服务和FTP 服务，但外部网络用户不可以访问内网。

【方案设计】1.总体设计ISP 分配给该公司一段公网IP 地址为61.1.1.2—61.1.1.254。

在DMZ 区域放置一台Web 服务器和一台Ftp 服务器，使用61.1.1.3和61.1.1.4这两个全局IP 地址分别将Web 服务器和Ftp 服务器发布到Internet 。

利用访问控制列表来控制外网用户的访问。

2.任务分解任务1：防火墙基本配置。

任务2：接口基本配置。

任务3：配置防火墙默认路由。

任务4：配置内网用户访问外网规则。

任务5：发布DMZ 区域的服务器。

任务6：配置访问控制列表。

任务7：查看与保存配置。

3.知识准备所有的防火墙都是按以下两种情况配置的：（1）拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型。

（2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

不过大多数防火墙默认都是拒绝所有的流量作为安全选项。

一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。

换句话说，如果你想让你的内部用户能够发送和接收Email ，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP 的进程。

4.拓扑结构：如图8-17所示。

图8-17 项目拓扑结构5.设备说明PIX515dmzoutsidinside File ServerWeb192.168.1.Interne以PIX515防火墙7.X 版本的操作系统为例，介绍其配置过程。

在配置之前先假设pix515防火墙的ethernet0接口作为外网接口(命名为outside)，并分配全局IP 地址为61.1.1.2；ethernet1接口作为内网接口(命名为inside)，并分配私有IP 地址为192.168.1.1；ethernet2接口作为DMZ 接口，并分配私有IP 地址为192.168.2.1。

WS-SVC-FWM-1
Serial No. SAD062302U4
例如，刚才我们查看的防火墙模块是在 Mod 4 上，我们就可以输入登陆防火 墙
Router# session slot 4 processor 1
第三步，输入登陆密码默认是 cisco
password:
第四步，输入 enable 密码，默认没有密码
防火墙模块安装配置
防火墙模块安装配置
1 内容介绍
为配合 PICC 项目防火墙模块的安装，此防火墙配置说明文档将对防火墙基 本配置和使用情况进行介绍。
本文章包括防火墙基本性能介绍、安装方法、防火墙配置命令说明等内容， 并通过实例对命令进行一一讲解。
2 防火墙模块介绍
2.1 防火墙模块介绍
Cisco Catalyst® 6500 交换机和 Cisco 7600 系列路由器的防火墙服务模块 （FWSM）是一种高速的、集成化的服务模块，可以提供业界最快的防火墙数据 传输速率：5Gb 的吞吐量，100000CPS，以及一百万个并发连接。在一个设备中 最多可以安装四个 FWSM，因而每个设备最高可以提供 20Gb 的吞吐量。作为世 界领先的 Cisco PIX 防火墙系列的一部分，FWSM 可以为大型企业和服务供应商 提供无以伦比的安全性、可靠性和性能。
4
防火墙模块安装配置
3.2 确认防火墙模块
安装完防火墙模块后，开启交换机，确认防火墙模块是否被交换机识别。 Cisco IOS software 通过命令 show module 查看防火墙模块状态是否正常
Router> show module
Mod Ports Card Type
Model
--- ----- -------------------------------------- ------------------ -----------

FDX LED
10/100BaseTX Ethernet 1 (RJ-45)
10/100BaseTX Ethernet 0 (RJ-45)
Console port (RJ-45)
Power switch
通常的连接方案
PIX防火墙通用维护命令
访问模式
• PIX Firewall 有4种访问模式:
name 命令
pixfirewall(config)#
name ip_address name
DMZ
• 关联一个名称和一个IP地址
pixfirewall(config)# name 172.16.0.2 bastionhost
192.168.0.0/24
e0
.2 e2
.2
Bastion
.1
host
– 为中小企业而设计 – 并发吞吐量188Mbps – 168位3DES IPSec VPN吞吐量
63Mbps – Intel 赛扬 433 MHz 处理器 – 64 MB RAM – 支持 6 interfaces
PIX 515 基本配件
• PIX 515主机 • 接口转换头 • 链接线 • 固定角架 • 电源线 • 资料
terminal – show interface, show ip address,
show memory, show version, show xlate – exit reload – hostname, ping, telnet
enable 命令
pixfirewall>
enable
– Enables you to enter different access modes
Telecommuter

CiscoASA防⽕墙详细图⽂配置实例解析Cisco ASA 防⽕墙图⽂配置实例本⽂是基于ASA5540 和ASA5520 的配置截图所做的⼀篇配置⽂档，从最初始的配置开始：1、连接防⽕墙登陆与其他的Cisco 设备⼀样，⽤Console 线连接到防⽕墙，初始特权密码为空。

2、配置内部接⼝和IP 地址进⼊到接⼝配置模式，配置接⼝的IP 地址，并指定为inside。

防⽕墙的地址配置好后，进⾏测试，确认可以和防⽕墙通讯。

3、⽤dir 命令查看当前的Image ⽂件版本。

4、更新Image ⽂件。

准备好TFTP 服务器和新的Image ⽂件，开始更新。

5、更新ASDM。

6、更新完成后，再⽤dir 命令查看7、修改启动⽂件。

以便于ASA 防⽕墙能够从新的Image 启动8、存盘，重启9、⽤sh version 命令验证启动⽂件，可以发现当前的Image ⽂件就是更新后的10、设置允许⽤图形界⾯来管理ASA 防⽕墙表⽰内部接⼝的任意地址都可以通过http 的⽅式来管理防⽕墙。

11、打开浏览器，在地址栏输⼊防⽕墙内部接⼝的IP 地址选择“是”按钮。

12、出现安装ASDM 的画⾯选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加⼀个程序组14、运⾏ASDM Launcher，出现登陆画⾯15、验证证书单击“是”按钮后，开始登陆过程16、登陆进去后，出现防⽕墙的配置画⾯，就可以在图形界⾯下完成ASA 防⽕墙的配置17、选择⼯具栏的“Configuration”按钮18、选择“Interface”，对防⽕墙的接⼝进⾏配置，这⾥配置g0/3接⼝选择g0/3 接⼝，并单击右边的“Edit”按钮19、配置接⼝的 IP 地址，并将该接⼝指定为 outside单击OK 后，弹出“Security Level Change”对话框，单击OK20、编辑g0/1 接⼝，并定义为DMZ 区域21、接⼝配置完成后，要单击apply 按钮，以应⽤刚才的改变，这⼀步⼀定不能忘22、设置静态路由单击Routing->Static Route->Add23、设置enable 密码24、允许ssh ⽅式登录防⽕墙25、增加⽤户定义ssh ⽤本地数据库验证26、⽤ssh 登录测试登录成功27、建⽴动态NAT 转换选择Add Dynamic NAT RuleInterface 选择inside，Source 处输⼊any单击Manage 按钮单击add，增加⼀个地址池Interface 选择Outside，选择PAT，单击Add 按钮。

思科ASA防火墙基本配置思科ASA防火墙基本配置Fire Wall 防火墙，它是一种位于内部网络与外部网络之间的网络安全系统，当然，防火墙也分软件防火墙与硬件防火墙。

硬件防火墙又分为：基于PC架构与基于ASIC芯片今天来聊一聊思科的'硬件防火墙 Cisco ASACisco ASA 防火墙产品线挺多：Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等ASA 的基本配置步骤如下：配置主机名、域名hostname [hostname]domain-name xx.xxhostname Cisco-ASA 5520domain-name 配置登陆用户名密码password [password]enable password [password]配置接口、路由interface interface_namenameif [name]name 有三种接口类型 insdie outside dmzsecurity-level xx(数值)数值越大接口安全级别越高注：默认inside 100 ,outside 0 ,dmz 介于二者之间静态路由route interface_number network mask next-hop-addressroute outside 0.0.0.0 0.0.0.0 210.210.210.1配置远程管理接入Telnettelnet {network | ip-address } mask interface_nametelnet 192.168.1.0 255.255.255.0 insidetelnet 210.210.210.0 255.255.255.0 outsideSSHcrypto key generate rsa modulus {1024| 2048 }指定rsa系数，思科推荐1024ssh timeout minutesssh version version_numbercrypto key generate rsa modulus 1024ssh timeout 30ssh version 2配置 ASDM(自适应安全设备管理器)接入http server enbale port 启用功能http {networdk | ip_address } mask interface_nameasdm image disk0:/asdm_file_name 指定文件位置username user password password privilege 15NATnat-controlnat interface_name nat_id local_ip maskglobal interface_name nat_id {global-ip [global-ip] |interface} nat-controlnat inside 1 192.168.1.0 255.255.255.0global outside 1 interfaceglobal dmz 1 192.168.202.100-192.168.202.150ACLaccess-list list-name standad permit | deny ip maskaccess-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask portaccess-group list-name in | out interface interface_name如果内网服务器需要以布到公网上staic real-interface mapped-interface mapped-ip real-ip staic (dmz,outside) 210.210.202.100 192.168.202.1保存配置wirte memory清除配置clear configure (all)【思科ASA防火墙基本配置】。

防火墙6.3以下系统默认将ethernet0端口做为外端口，默认安全级别为0，ethernet1作为内端口，默认安全级别为100，对于防火墙而言，高安全级别的用户可以访问到低安全级别，而由低安全级别主动发起的到高安全级别的链接是不允许的。
Pix系列产品默认只有两个端口及0和1，DMZ端口都是另外添加的模块，DMZ端口的默认安全级别50，配置DMZ接口的地址和配置inside和outside类似
配置外接口地址
Pix(config)#ip address inside 1.1.1.1 255.255.255.0
配置内接口地址
Pix(config)#interface ethernet0 auto
激活外端口
Pix(config)#interface ethernet1 auto
激活内端口 （默认端口是出于shutdown状态的）
Pix(config)#ip address dmz 3.3.3.3 255.255.255.0
Pix(config)# interface gb-ethernet0 1000auto 激活DMZ端口，DMZ的端口号需要您用show
running-config命令查看，如：
Pix(config)#show running-config
防火墙的nat和global是同时工作的，nat定义了我们要进行转换的地址，而global定义了要被转换为的地址，这些配置都要在全局配置模式下完成，
2.2、Nat配置如下：
Pix(config)#nat (inside) 1 0 0
上面inside代表是要被转换得地址，
1要和global 后面的号对应，类似于访问控制列表号，也是从上往下执行，

配置防火墙拓扑图路由器UP配置（模拟内部网络）Router(config)# hostname UPUp(config)# ena secret ciscoUp(config)#line vty 0 4Up(config-line)#password ciscoUp(config-line)#loginUp(config)# int fa0/0Up(config-if)# ip address 192.168.1.1 255.255.255.0Up(config-if)# no shutUp(config-if) # exitUp(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.2路由器Down配置（模拟外部网络）Router(config)# hostname downdown(config)# ena secret ciscodown(config)#line vty 0 4down(config-line)#password ciscodown(config-line)#loginDown(config)# int fa0/1Down(config-if)# ip addr 200.200.200.2 255.255.255.0Down(config-if)# no shutDown(conifg-if)#exitDown(conifg)#ip route 0.0.0.0 0.0.0.0 200.200.200.1防火墙基本配置:PIXfirewall>enaPIXfirewall# conf t设置接口安全级别，跟接口命名PIXfirewall(config)# nameif ethernet0 inside security100 (系统已默认) PIXfirewall(config)#nameif ethernet1 outside security0 (系统已默认)设置接口工作方式PIXfirewall(config)# interface ethernet0 auto (系统已默认)PIXfirewall(config)# interface ethernet1 auto (系统已默认)设置接口IP地址：PIXfirewall(config)# ip address inside 192.168.1.2 255.255.255.0PIXfirewall(config)# ip address outside 200.200.200.1 255.255.255.0在防火墙上配置内部网络访问外部网络定义地址池1PIXfirewall(config)#global (outside) 1 200.200.200.3-200.200.200.10 netmask 255.255.255.0 配置inside口内部主机访问外网NATPIXfirewall(config)#nat (inside) 1 0 0配置到外网的路由PIXfirewall(config)# route outside 0.0.0.0 0.0.0.0 200.200.200.2前面的工作已完成从内部网络（在路由器UP上）访问外部网络的配置。

Cisco⽹络防⽕墙配置⽅法由于⽹络防⽕墙默认禁⽌所有的通信，因为，只有对其进⾏适当配置后，才能实现正常的⽹络通信。

1.进⼊全局配置模式ciscoasa# configure terminal2.选择欲作为⽹络防⽕墙外部接⼝的⽹络接⼝ciscoasa(config)# interface interface-id3.为该接⼝指定IP地址和⽹掩码ciscoasa（config-if）#4.将该接⼝指定IP地址和⽹掩码ciscoasa(config-if)# nameif outsideINFO：Security level for "outside" set to 0 by default5.激活该外部接⼝ciscoasa(config-if)# no shutdown6.返回⾄全局配置模式ciscoasa(config-if)# exit7.选择欲作为⽹络防⽕墙内部接⼝的⽹络接⼝ciscoasa(config-if)# interface interface-id8.为了该接⼝指定为内部接⼝。

ciscoasa(config-if)# ip address ip-address subnet-mask9.将该接⼝指定为内容接⼝ciscoasa(config-if)# nameif insideINFO:Security level for "outside" set to 100 by default10.激活该外部接⼝ciscoasa(config-if)# no shutdown11.返回⾄全局配置模式ciscoasa(config-if)# exit12.启动Web VPNciscoasa(config)# webvpn13.允许VPN对外访问ciscoasa(config-webvpn)#enable outside14.指定SSL VPN客户端（SSL VPN Clinet,SVC）⽂件位置。

CISCO 防火墙主备工作方式的配置北京办事处孙中祺北京正在建设”全球通充值”工程而全球通用户的帐户信息存储于BOSS系统中原计划提供负荷分担的两条2M系统但由于局方只同意提供一套2MÀûÓÃFIX Firewall的Failover功能确保系统的实时通信这种功能可以使我们在原有防火墙的基础上配置一个备用防火墙备用防火墙自动改变自身的状态以继续维持通信与此同时原备机的IP和MAC会被映射给现在的备机外部网络来看不会有任何不同但普通的failover方式在切换的过程端口会被释放如果想在主备机切换的同时还可以保持各端口的连接可以使用Stateful Failover 功能Failover功能要求主备机具有相同的型号相同的Actovationg key,相同的Flash memory,RAM型号及大小要求主备用的两台机器完全相同并不是所有型号的FIX Firewall都支持主备用设置PIX 506不支持主备用配置ＰＩＸ５２５UR PIX 520 可无条件地支持主备用配置若使用Stateful Failover ,主备机都必须另外装有100Mbps Ethernet接口所有配置工作都要在主机上进行否则可能会影响备机的 配置信息主机会将所需配置内容自动同步给备机一应该对网络进行详细的规划和设计要获得的信息如下每个PIX网络接口的IP地址　如果要进行NAT,则要提供一个IP地址池供NAT使用它可以将使用保留地址的内部网段上的机器映射到一个合法的IP地址上以便进行Internet访问外部网段的路由器地址连接好超级终端在出现启动信息和出现提示符pixfirewall>后输入进入特权模式输入在配置过程中使用write memory保存配置信息到主机Flash Memory¿É 在主机上使用write standby将配置信息保存到备机的Flash Memory本例中网络规划如下配置步骤1网络接口的配置PIX使用nameif和ip address命令进行网络接口配置nameif ethernet1 outside security0nameif ethernet0 inside security100PIX防火墙使用Intel的10/100Mbps网卡interface ethernet0 autointerface ethernet1 auto最后ip address inside 139.100.12.201 255.255.252.0ip address outside 198.115.153.51 255.255.255.03ÎÒÃǶ¨ÒåÁËÄÚ²¿Íø¶Î°²È«ÖµÎª100用户在安全值高的区域访问安全值低的区域相反地则需要使用static和conduit命令两个语句中的NAT ID应一样第二句定义NAT使用的地址池合法的IP地址并不多4route outside 198.115.55.0 255.255.255.0 198.115.153.1198.115.153.1是内部网段访问198.115.55.0所要经过的路由器地址允许使用ICMP协议conduit permit icmp any any此命令允许在内部网段和外部网段使用ICMP协议内外网段可以使用ping命令和ftp命令增加telnet访问控制在PIX中telnet 139.100.12.0 255.255.252.0telnet 198.115.153.0 255.255.255.0即允许139.100.12.0和198.115.153.0网段器使用telnet访问防火墙当访问防火墙的机器5分钟内没有任何操作时telnet访问的缺省口令是cisco测试telnet时7PIX拒绝所有来自外部网段的访问请求为了使外部网络上的用户可以访问到以下是允许外部网络访问内部网络上的服务器的命令第一个命令将在内部网段的服务器139.100.12.140映射成外部合法地址198.115.153.538Active time: 82140 (sec)Interface inside (139.100.12.201): Normal (Waiting)Interface outside (198.115.153.51): Normal (Waiting)Other host: Secondary - StandbyActive time: 0 (sec)Interface inside (139.100.12.202): Normal (Waiting)Interface outside (198.115.153.52): Normal (Waiting)Stateful Failover Logical Update StatisticsLink : Unconfigured.表示配置成功三注意线是有方向性的将标有secondary的一端连于备机连接状态如图所示在打开备机电源前应保证备机上没有任何配置信息用config erase命令清除配置信息打开电源在主机上使用show ip 和show failover命令应该看到如下信息bj_uc1# show ipSystem IP Addresses:ip address inside 139.100.12.201 255.255.252.0ip address outside 198.115.153.51 255.255.255.0 Current IP Addresses:ip address inside 139.100.12.201 255.255.252.0ip address outside 198.115.153.51 255.255.255.0bj_uc1# show failoverFailover OnCable status: NormalReconnect timeout 0:00:00Poll frequency 15 secondsThis host: Primary - ActiveActive time: 82140 (sec)Interface inside (139.100.12.201): NormalInterface outside (198.115.153.51): NormalOther host: Secondary - StandbyActive time: 0 (sec)Interface inside (139.100.12.202): NormalInterface outside (198.115.153.52): NormalStateful Failover Logical Update StatisticsLink : Unconfigured.在备机上使用show ip和show failover命令应该看到如下信息bj_uc1# show ipSystem IP Addresses:ip address inside 139.100.12.201 255.255.252.0ip address outside 198.115.153.51 255.255.255.0 Current IP Addresses:ip address inside 139.100.12.202 255.255.252.0ip address outside 198.115.153.52 255.255.255.0bj_uc1# show failoverFailover OnCable status: NormalReconnect timeout 0:00:00Poll frequency 15 secondsThis host: Secondary - StandbyActive time: 0 (sec)Interface inside (139.100.12.202): NormalInterface outside (198.115.153.52): NormalOther host: Primary - ActiveActive time: 82350 (sec)Interface inside (139.100.12.201): NormalInterface outside (198.115.153.51): NormalStateful Failover Logical Update StatisticsLink : Unconfigured.以上信息表示配置成功看看配置是否成功其它相关命令1故障消除后3failover link ,no failover link命令配置Stateful failover。

sophos防火墙设置防火墙的典型配置总结了防火墙基本配置十二个方面的内容。

硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单地说是一种PC式的电脑主机加上闪存（Flash）和防火墙操作系统。

它的硬件跟共控机差不多，都是属于能适合24小时工作的，外观造型也是相类似。

闪存基本上跟路由器一样，都是那中EEPROM，操作系统跟Cisco IOS相似,都是命令行（Command）式。

我第一次亲手那到的防火墙是Cisco Firewall Pix 525，是一种机架式标准（即能安装在标准的机柜里），有2U的高度，正面看跟Cisco 路由器一样，只有一些指示灯，从背板看，有两个以太口（RJ-45网卡）,一个配置口（console）,2个USB,一个15针的Failover口，还有三个PCI扩展口。

如何开始Cisco Firewall Pix呢？我想应该是跟Cisco 路由器使用差不多吧，于是用配置线从电脑的COM2连到PIX 525的console口，进入PIX操作系统采用windows系统里的“超级终端”，通讯参数设置为默然。

初始使用有一个初始化过程，主要设置：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，如果以上设置正确，就能保存以上设置，也就建立了一个初始化设置了。

进入Pix 525采用超级用户(enable),默然密码为空，修改密码用passwd 命令。

防火墙是处网络系统里，因此它跟网络的结构密切相关，一般会涉及的有Route(路由器)、网络IP 地址。

还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。

下面我讲一下一般用到的最基本配置1、建立用户和修改密码跟Cisco IOS路由器基本一样。

2、激活以太端口必须用enable进入，然后进入configure模式PIX525>enablePassword:PIX525#config tPIX525(config)#interface ethernet0 autoPIX525(config)#interface ethernet1 auto在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

cisco-asa 防火墙配置hostname CD-ASA5520 //给防火墙命名domain-namedefault.domain.invalid //定义工作域enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码names dns-guard！interface GigabitEthernet0/0 //内网接口：duplex full //接口作工模式：全双工，半双，自适应nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全ip address192.168.1.1 255.255.255.0 //设置本端口的IP地址！interface GigabitEthernet0/1 //外网接口nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置！interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0！interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address！interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address！passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。

Cisco ASA5500系列防火墙基本配置手册一、配置基础1.1用户接口思科防火墙支持下列用户配置方式：Console，Telnet，SSH（1.x或者2.0，2.0为7.x新特性），ASDM的http方式，VMS的Firewall Management Center。

支持进入Rom Monitor模式，权限分为用户模式和特权模式，支持Help，History和命令输出的搜索和过滤。

用户模式：Firewall> 为用户模式，输入enable进入特权模式Firewall#。

特权模式下输入config t 可以进入全局配置模式。

通过exit，ctrl-z退回上级模式。

配置特性：在原有命令前加no可以取消该命令。

Show running-config 或者 write terminal显示当前配置。

Show running-config all显示所有配置，包含缺省配置。

Tab可以用于命令补全，ctrl-l可以用于重新显示输入的命令（适用于还没有输入完命令被系统输出打乱的情况），help和history相同于IOS命令集。

Show命令支持 begin，include，exclude，grep 加正则表达式的方式对输出进行过滤和搜索。

Terminal width 命令用于修改终端屏幕显示宽度，缺省为80个字符，pager命令用于修改终端显示屏幕显示行数，缺省为24行。

1.2初始配置跟路由器一样可以使用setup进行对话式的基本配置。

二、配置连接性2.1配置接口接口基础：防火墙的接口都必须配置接口名称，接口IP地址和掩码和安全等级。

接口基本配置：Firewall(config)# interface hardware-id 进入接口模式Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate} 设置接口速率Firewall(config-if)# duplex {auto | full | half} 接口工作模式Firewall(config-if)# [no] shutdown 激活或关闭接口Firewall(config-if)# nameif if_name 配置接口名称Firewall(config-if)# security-level level 定义接口的安全级别例：interface GigabitEthernet0/0nameif outsidesecurity-level 0ip address 125.78.33.22 255.255.255.248!interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 192.168.18.254 255.255.255.0在配置中，接口被命名为外部接口（outside），安全级别是0；被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。

本篇要为大家介绍一些实用的知识，那就是如何配置防火中的安全策略。

但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。

同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。

首先介绍一些基本的配置原则。

一. 防火墙的基本配置原则默认情况下，所有的防火墙都是按以下两种情况配置的：●拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

●允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。

一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。

换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。

其实这也是任何事物的基本原则。

越简单的实现方式，越容易理解和使用。

而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。

每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。

但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。

但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。

（2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。

Cisco 路由器防火墙配置命令及实例(来源: )一、access-list 用于创建访问规则。

（1）创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] }【参数说明】normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

Cisco路由器与防⽕墙配置⼤全Cisco 2811 路由器配置⼤全命令状态1. router>路由器处于⽤户命令状态，这时⽤户可以看路由器的连接状态，访问其它⽹络和主机，但不能看到和更改路由器的设置内容。

2. router#在router>提⽰符下键⼊enable,路由器进⼊特权命令状态router#，这时不但可以执⾏所有的⽤户命令，还可以看到和更改路由器的设置内容。

3. router(config)#在router#提⽰符下键⼊configure terminal,出现提⽰符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。

4. router(config-if)#; router(config-line)#; router(config-router)#;…路由器处于局部设置状态，这时可以设置路由器某个局部的参数。

5. >路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进⼊此状态，这时路由器不能完成正常的功能，只能进⾏软件升级和⼿⼯引导。

6. 设置对话状态这是⼀台新路由器开机时⾃动进⼊的状态，在特权命令状态使⽤SETUP命令也可进⼊此状态，这时可通过对话⽅式对路由器进⾏设置。

三、设置对话过程1. 显⽰提⽰信息2. 全局参数的设置3. 接⼝参数的设置4. 显⽰结果利⽤设置对话过程可以避免⼿⼯输⼊命令的烦琐，但它还不能完全代替⼿⼯设置，⼀些特殊的设置还必须通过⼿⼯输⼊的⽅式完成。

进⼊设置对话过程后，路由器⾸先会显⽰⼀些提⽰信息：--- System Configuration Dialog ---At any point you may enter a question mark '?' for help.Use ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets '[]'.这是告诉你在设置对话过程中的任何地⽅都可以键⼊“？”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显⽰在‘[]’中。