切换到宽版
发帖 回复
返回列表
123456
  • 10980阅读
  • 56回复

[水电工程]网络维护知识 [复制链接]

 上一主题 下一主题
离线游春波
前任管理  

发帖
6734
金钱
54611
贡献值
193
交易币
209
好评度
1569
家乡
广东省河源市
性别
只看该作者 50楼 发表于: 2010-02-28
华为3026交换机流量监控配置单 b$Ch2Qz0q  
注明:此交换机为华为3026系列交换机,做流量监控的必须配置要求 b$Ch2Qz0q  
b$Ch2Qz0q  
<Quidway>display current-configuration 【显示交换机配置信息】 b$Ch2Qz0q  
# b$Ch2Qz0q  
sysname Quidway b$Ch2Qz0q  
# b$Ch2Qz0q  
radius scheme system b$Ch2Qz0q  
server-type huawei b$Ch2Qz0q  
primary authentication 127.0.0.1 1645 b$Ch2Qz0q  
primary accounting 127.0.0.1 1646 b$Ch2Qz0q  
user-name-format without-domain b$Ch2Qz0q  
domain system b$Ch2Qz0q  
radius-scheme system b$Ch2Qz0q  
access-limit disable b$Ch2Qz0q  
state active b$Ch2Qz0q  
vlan-assignment-mode integer b$Ch2Qz0q  
idle-cut disable b$Ch2Qz0q  
self-service-url disable b$Ch2Qz0q  
messenger time disable b$Ch2Qz0q  
domain default enable system b$Ch2Qz0q  
# b$Ch2Qz0q  
local-server nas-ip 127.0.0.1 key huawei b$Ch2Qz0q  
# b$Ch2Qz0q  
temperature-limit 0 42 65 b$Ch2Qz0q  
# b$Ch2Qz0q  
am enable 【这里要开启】 b$Ch2Qz0q  
# b$Ch2Qz0q  
vlan 1 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Vlan-interface1 【设置交换机IP】 b$Ch2Qz0q  
ip address 交换机VLAN1IP 掩码地址 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Aux0/0 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/1 【这里设置1口为出入口】 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/2 【以下2-24口彼此都做隔离】 b$Ch2Qz0q  
am isolate Ethernet0/3 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/3 b$Ch2Qz0q  
am isolate Ethernet0/2 Ethernet0/4 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/4 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/3 Ethernet0/5 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/5 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/4 Ethernet0/6 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/6 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/5 Ethernet0/7 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/7 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/6 Ethernet0/8 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/8 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/7 Ethernet0/9 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/9 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/8 Ethernet0/10 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/10 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/9 Ethernet0/11 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/11 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/10 Ethernet0/12 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/12 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/11 Ethernet0/13 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/13 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/12 Ethernet0/14 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/14 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/13 Ethernet0/15 to Ethernet0/24 b$Ch2Qz0q  
# b$Ch2Qz0q  
interface Ethernet0/15 b$Ch2Qz0q  
am isolate Ethernet0/2 to Ethernet0/14 Ethernet0/16 to Ethernet0/24 Lju)q6  
# Lju)q6  
interface Ethernet0/16 Lju)q6  
am isolate Ethernet0/2 to Ethernet0/15 Ethernet0/17 to Ethernet0/24 Lju)q6  
# Lju)q6  
interface Ethernet0/17 Lju)q6  
am isolate Ethernet0/2 to Ethernet0/16 Ethernet0/18 to Ethernet0/24 Lju)q6  
# Lju)q6  
interface Ethernet0/18 Lju)q6  
am isolate Ethernet0/2 to Ethernet0/17 Ethernet0/19 to Ethernet0/24 Lju)q6  
# Lju)q6  
interface Ethernet0/19 Lju)q6  
am isolate Ethernet0/2 to Ethernet0/18 Ethernet0/20 to Ethernet0/24 Lju)q6  
# Lju)q6  
interface Ethernet0/20 Lju)q6  
am isolate Ethernet0/2 to Ethernet0/19 Ethernet0/21 to Ethernet0/24 Lju)q6  
# Lju)q6  
interface Ethernet0/21 Lju)q6  
am isolate Ethernet0/2 to Ethernet0/20 Ethernet0/22 to Ethernet0/24 Lju)q6  
# Lju)q6  
interface Ethernet0/22 Lju)q6  
am isolate Ethernet0/2 to Ethernet0/21 Ethernet0/23 to Ethernet0/24 Lju)q6  
# Lju)q6  
interface Ethernet0/23 Lju)q6  
am isolate Ethernet0/2 to Ethernet0/22 Ethernet0/24 Lju)q6  
# Lju)q6  
interface Ethernet0/24 Lju)q6  
am isolate Ethernet0/2 to Ethernet0/23 Lju)q6  
# Lju)q6  
interface NULL0 Lju)q6  
# 【设置交换机网络关】 Lju)q6  
ip route-static 0.0.0.0 0.0.0.0 网关IP preference 60 Lju)q6  
# 【开启SNMP协议】 Lju)q6  
snmp-agent Lju)q6  
snmp-agent local-engineid 800007DB000FE20183BF6877 Lju)q6  
snmp-agent community write private Lju)q6  
snmp-agent community read olylinux 【设置public信息,可随意名称】 Lju)q6  
snmp-agent sys-info contact xxxx@126.com Lju)q6  
snmp-agent sys-info location BeiJing China Lju)q6  
snmp-agent sys-info version all Lju)q6  
snmp-agent trap enable standard Lju)q6  
snmp-agent trap enable configuration Lju)q6  
# Lju)q6  
user-interface aux 0 Lju)q6  
user-interface vty 0 4 【设置远程登陆密码】 Lju)q6  
user privilege level 3 Lju)q6  
set authentication password simple 远程登陆密码 Lju)q6  
# Lju)q6  
return Lju)q6  
Lju)q6  
如何删除不用的规则 Lju)q6  
1.删除交换机VLAN1IP Lju)q6  
interface Vlan-interface1 【先进入】
有志者事竟成
回复
返回顶部 举报
离线游春波
前任管理  

发帖
6734
金钱
54611
贡献值
193
交易币
209
好评度
1569
家乡
广东省河源市
性别
只看该作者 51楼 发表于: 2010-02-28
undo  ip address             Lju)q6  
2.删除网关 Lju)q6  
undo route-static Lju)q6  
3.删除snmp Lju)q6  
undo snmp-agent Lju)q6  
4.删除相应的public Lju)q6  
undo snmp-agent community olylinux  【删除了olylinux标识】 Lju)q6  
5.保存配置 Lju)q6  
退出管理模式,输入 save 按 y 即可 Lju)q6  
5200的Vlan配置实例 Lju)q6  
Lju)q6  
请参考如下配置示例(如无特别说明,5200使用版本为R002B03及其以上版本,5200EF使用版本为R006B02及其以上版本): Lju)q6  
   Lju)q6  
  MA5200> enable Lju)q6  
   Lju)q6  
  MA5200# configure  terminal Lju)q6  
   Lju)q6  
  MA5200(config)# interface  ethernet  12/0 //假设上行口为12/0 Lju)q6  
   Lju)q6  
  MA5200(config-if-ethernet-12/0)# ip  address  10.1.21.202  255.255.0.0 Lju)q6  
   Lju)q6  
  //此命令执行完回车后会出现[secondary]的选项,如果没有使用MA5200的NAT功能不用输入任何值直接回车即可。 Lju)q6  
   Lju)q6  
  MA5200(config-if-ethernet-12/0)#exit Lju)q6  
   Lju)q6  
  MA5200(config)# interface  virtual-template  1 //设置虚模板1接口地址 Lju)q6  
   Lju)q6  
  MA5200(config-if-virtual-template-1)#ip  address  10.10.1.1  255.255.0.0 Lju)q6  
   Lju)q6  
  MA5200(config-if-virtual-template-1)#dhcp  server  ip  pc 127.0.0.1 Lju)q6  
   Lju)q6  
  //设置使用5200内置DHCP-SERVER。如果该虚模板下所有用户都为VLAN静态用户,则可以不进行DHCP-SERVER的相关配置。 Lju)q6  
   Lju)q6  
  MA5200(config-if-virtual-template-1)#bind vlan 3 1 25 Lju)q6  
   Lju)q6  
  //将3槽VLAN 1~25绑定到此虚模板。如果是5200EF,则没有槽位号。 Lju)q6  
   Lju)q6  
  MA5200(config-if-virtual-template-1)#exit Lju)q6  
   Lju)q6  
  MA5200(config)#vlan port 2 1 200 authpolicy bind vlan disable Lju)q6  
   Lju)q6  
  //配置2槽起始VLAN ID为1的200个连续VLAN端口的认证策略为bind,密码为vlan。 Lju)q6  
   Lju)q6  
  MA5200(config)#ip local pool huawei //建立一个地址池”huawei” Lju)q6  
   Lju)q6  
  MA5200(config-ip-pool-huawei)#router-ip 10.10.110.1 255.255.0.0 Lju)q6  
   Lju)q6  
  //配置地址池的网关,必须跟相应的虚模板的地址相同。 Lju)q6  
   Lju)q6  
  MA5200(config-ip-pool-huawei)#dns primary-ip 126.1.1.1 //配置主备DNS Lju)q6  
   Lju)q6  
  MA5200(config-ip-pool-huawei)#dns secondary-ip 128.1.1.1 Lju)q6  
   Lju)q6  
  MA5200(config-ip-pool-huawei)#section 0 10.10.110.2 10.10.110.100 Lju)q6  
   Lju)q6  
  //配置地址池中的地址 Lju)q6  
   Lju)q6  
  MA5200(config-ip-pool-huawei)#exit Lju)q6  
   Lju)q6  
  MA5200(config)#aaa Lju)q6  
   Lju)q6  
  //VLAN用户建议使用默认的认证计费方案,即本地认证计费 Lju)q6  
   Lju)q6  
  MA5200(config-aaa)#domain vlan //VLAN绑定用户必须使用”vlan”域 Lju)q6  
   Lju)q6  
  MA5200(config-aaa-vlan)#set state active //激活该域 Lju)q6  
   Lju)q6  
  MA5200(config-aaa-vlan)#exit Lju)q6  
   Lju)q6  
  //添加并激活VLAN用户的账号,注意此处口令与vlan port中的必须相同 Lju)q6  
   Lju)q6  
  MA5200(config-aaa)# vlan-batch local user 2 1 200 vlan Lju)q6  
   Lju)q6  
  MA5200(config-aaa)# vlan-batch set local-user state active 2 1 200 Lju)q6  
   Lju)q6  
  //如果是VLAN静态用户,则还需要进行如下的设置 Lju)q6  
   Lju)q6  
  MA5200(config)# vlan static user pc 2 1 200 10.10.110.200 Lju)q6  
   Lju)q6  
  //配置VLAN静态用户时,必须绑定到用户的主机IP地址。同时分配给VLAN静态用户的IP地址必须和对应的虚模板的IP地址在同一网段,如果这些地址已包含在相应的DHCP服务器的地址池中,必须从DHCP 服务器地址池中排除,以免DHCP 服务器再次动态分配这些IP地址。 Lju)q6  
   Lju)q6  
  //此配置示例只是一种最简单的设置,实际开局时可能采用不同的认证计费方案,使用radius认证计费,限制用户的流量带宽,限制用户接入数等等,请参考support.huawei.com网站上的相关配置指导
有志者事竟成
回复
返回顶部 举报
离线游春波
前任管理  

发帖
6734
金钱
54611
贡献值
193
交易币
209
好评度
1569
家乡
广东省河源市
性别
只看该作者 52楼 发表于: 2010-02-28
硬件防火墙的配置过程讲解 Lju)q6  
Lju)q6  
防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 Lju)q6  
一. 防火墙的基本配置原则 Lju)q6  
默认情况下,所有的防火墙都是按以下两种情况配置的: Lju)q6  
拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 Lju)q6  
Lju)q6  
●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。 Lju)q6  
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则: Lju)q6  
(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 Lju)q6  
每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 Lju)q6  
(2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 Lju)q6  
(3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。目前来说,要做到这一点比较困难。 Lju)q6  
Lju)q6  
  Lju)q6  
二、防火墙的初始配置 Lju)q6  
像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似,所以在此仅以Cisco PIX防火墙为例进行介绍。 Lju)q6  
防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样,参见图1所示。 K *{RGE  
K *{RGE  
K *{RGE  
K *{RGE  
K *{RGE  
图1 K *{RGE  
防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。 K *{RGE  
防火墙与路由器一样也有四种用户配置模式,即:普通模式(Unprivileged mode)、特权模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode),进入这四种用户模式的命令也与路由器一样: K *{RGE  
普通用户模式无需特别命令,启动后即进入; K *{RGE  
进入特权用户模式的命令为"enable";进入配置模式的命令为"config terminal";而进入端口模式的命令为"interface ethernet()"。不过因为防火墙的端口没有路由器那么复杂,所以通常把端口模式归为配置模式,统称为"全局配置模式"。 K *{RGE  
  K *{RGE  
防火墙的具体配置步骤如下: K *{RGE  
1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上,参见图1。 K *{RGE  
2. 打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。   K *{RGE  
3. 运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。 K *{RGE  
4. 当PIX防火墙进入系统后即显示"pixfirewall>"的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。  K *{RGE  
5. 输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。   K *{RGE  
有志者事竟成
回复
返回顶部 举报
离线游春波
前任管理  

发帖
6734
金钱
54611
贡献值
193
交易币
209
好评度
1569
家乡
广东省河源市
性别
只看该作者 53楼 发表于: 2010-02-28
6. 输入命令: configure terminal,进入全局配置模式,对系统进行初始化设置。   K *{RGE  
(1). 首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)  K *{RGE  
Interface ethernet0 auto   # 0号网卡系统自动分配为WAN网卡,"auto"选项为系统自适应网卡类型 K *{RGE  
K *{RGE  
Interface ethernet1 auto  K *{RGE  
(2). 配置防火墙内、外部网卡的IP地址  K *{RGE  
IP address inside ip_address netmask  # Inside代表内部网卡 K *{RGE  
K *{RGE  
IP address outside ip_address netmask  # outside代表外部网卡 K *{RGE  
(3). 指定外部网卡的IP地址范围:  K *{RGE  
global 1 ip_address-ip_address  K *{RGE  
(4). 指定要进行转换的内部地址  K *{RGE  
nat 1 ip_address netmask  K *{RGE  
(5). 配置某些控制选项:  K *{RGE  
conduit global_ip port[-port] protocol foreign_ip [netmask]    K *{RGE  
其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TCP、UDP等;foreign_ip:表示可访问的global_ip外部IP地址;netmask:为可选项,代表要控制的子网掩码。  K *{RGE  
7. 配置保存:wr mem  K *{RGE  
8. 退出当前模式 K *{RGE  
此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。 K *{RGE  
pixfirewall(config)# exit K *{RGE  
pixfirewall# exit K *{RGE  
pixfirewall> K *{RGE  
9. 查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。 K *{RGE  
10. 查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。  K *{RGE  
11. 查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。      K *{RGE  
三、Cisco PIX防火墙的基本配置 K *{RGE  
1. 同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口; K *{RGE  
2. 开启所连电脑和防火墙的电源,进入Windows系统自带的"超级终端",通讯参数可按系统默然。进入防火墙初始化配置,在其中主要设置有:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。此时的提示符为:pix255>。 K *{RGE  
3. 输入enable命令,进入Pix 525特权用户模式,默然密码为空。 K *{RGE  
如果要修改此特权用户模式密码,则可用enable password命令,命令格式为:enable password password [encrypted],这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。 K *{RGE  
4、 定义以太端口:先必须用enable命令进入特权用户模式,然后输入configure terminal(可简称为config t),进入全局配置模式模式。具体配置 K *{RGE  
pix525>enable K *{RGE  
K *{RGE  
Password: K *{RGE  
K *{RGE  
pix525#config t K *{RGE  
K *{RGE  
pix525 (config)#interface ethernet0 auto K *{RGE  
K *{RGE  
pix525 (config)#interface ethernet1 auto K *{RGE  
在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。 K *{RGE  
5. clock K *{RGE  
配置时钟,这也非常重要,这主要是为防火墙的日志记录而资金积累的,如果日志记录时间和日期都不准确,也就无法正确分析记录中的信息。这须在全局配置模式下进行。 K *{RGE  
时钟设置命令格式有两种,主要是日期格式不同,分别为: K *{RGE  
clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year K *{RGE  
前一种格式为:小时:分钟:秒月 日 年;而后一种格式为:小时:分钟:秒 日 月 年,主要在日、月份的前后顺序不同。在时间上如果为0,可以为一位,如:21:0:0。 K *{RGE  
6. 指定接口的安全级别 K *{RGE  
指定接口安全级别的命令为nameif,分别为内、外部网络接口指定一个适当的安全级别。在此要注意,防火墙是用来保护内部网络的,外部网络是通过外部接口对内部网络构成威胁的,所以要从根本上保障内部网络的安全,需要对外部网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系列防火墙中,安全级别的定义是由security()这个参数决定的,数字越小安全级别越高,所以security0是最高的,随后通常是以10的倍数递增,安全级别也相应降低。如下例: K *{RGE  
pix525(config)#nameif ethernet0 outside security0   # outside是指外部接口 K *{RGE  
K *{RGE  
pix525(config)#nameif ethernet1 inside security100 # inside是指内部接口 K *{RGE  
7. 配置以太网接口IP地址 K *{RGE  
所用命令为:ip address,如要配置防火墙上的内部网接口IP地址为:192.168.1.0 255.255.255.0;外部网接口IP地址为:220.154.20.0 255.255.255.0。 K *{RGE  
K *{RGE  
配置方法如下: K *{RGE  
K *{RGE  
K *{RGE  
有志者事竟成
回复
返回顶部 举报
离线游春波
前任管理  

发帖
6734
金钱
54611
贡献值
193
交易币
209
好评度
1569
家乡
广东省河源市
性别
只看该作者 54楼 发表于: 2010-02-28
pix525(config)#ip address inside 192.168.1.0 255.255.255.0 K *{RGE  
K *{RGE  
pix525(config)#ip address outside 220.154.20.0 255.255.255.0 K *{RGE  
8. access-group K *{RGE  
这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为:access-group acl_ID in interface interface_name,其中的"acl_ID"是指访问控制列表名称,interface_name为网络接口名称。如: K *{RGE  
access-group acl_out in interface outside,在外部网络接口上绑定名称为"acl_out"的访问控制列表。 K *{RGE  
K *{RGE  
clear access-group:清除所有绑定的访问控制绑定设置。 K *{RGE  
K *{RGE  
no access-group acl_ID in interface interface_name:清除指定的访问控制绑定设置。 K *{RGE  
K *{RGE  
show access-group acl_ID in interface interface_name:显示指定的访问控制绑定设置。 K *{RGE  
9.配置访问列表 K *{RGE  
所用配置命令为:access-list,合格格式比较复杂,如下: K *{RGE  
标准规则的创建命令:access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] K *{RGE  
K *{RGE  
扩展规则的创建命令:access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] K *{RGE  
它是防火墙的主要配置部分,上述格式中带"[]"部分是可选项,listnumber参数是规则号,标准规则号(listnumber1)是1~99之间的整数,而扩展规则号(listnumber2)是100~199之间的整数。它主要是通过访问权限"permit"和"deny"来指定的,网络协议一般有IP|TCP|UDP|ICMP等等。如只允许访问通过防火墙对主机:220.154.20.254进行www访问,则可按以下配置: K *{RGE  
pix525(config)#access-list 100 permit 220.154.20.254 eq www K *{RGE  
其中的100表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。关于这个命令还将在下面的高级配置命令中详细介绍。 K *{RGE  
10. 地址转换(NAT) K *{RGE  
防火墙的NAT配置与路由器的NAT配置基本一样,首先也必须定义供NAT转换的内部IP地址组,接着定义内部网段。 K *{RGE  
定义供NAT转换的内部地址组的命令是nat,它的格式为:nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]],其中if_name为接口名;nat_id参数代表内部地址组号;而local_ip为本地网络地址;netmask为子网掩码;max_conns为此接口上所允许的最大TCP连接数,默认为"0",表示不限制连接;em_limit为允许从此端口发出的连接数,默认也为"0",即不限制。如: K *{RGE  
nat (inside) 1 10.1.6.0 255.255.255.0 K *{RGE  
表示把所有网络地址为10.1.6.0,子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。 K *{RGE  
随后再定义内部地址转换后可用的外部地址池,它所用的命令为global,基本命令格式为: K *{RGE  
global  [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ,各参数解释同上。如: K *{RGE  
global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0 K *{RGE  
将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址,其子网掩耳盗铃码为255.255.255.0。 K *{RGE  
11. Port Redirection with Statics K *{RGE  
这是静态端口重定向命令。在Cisco PIX版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器,这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。 K *{RGE  
命令格式有两种,分别适用于TCP/UDP通信和非TCP/UDP通信: K *{RGE  
(1).  static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]] K *{RGE  
(2). static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]] K *{RGE  
此命令中的以上各参数解释如下: K *{RGE  
internal_if_name:内部接口名称;external_if_name:外部接口名称;{tcp|udp}:选择通信协议类型;{global_ip|interface}:重定向后的外部IP地址或共享端口;local_ip:本地IP地址;[netmask mask]:本地子网掩码;max_conns:允许的最大TCP连接数,默认为"0",即不限制;emb_limit:允许从此端口发起的连接数,默认也为"0",即不限制;norandomseq:不对数据包排序,此参数通常不用选。 K *{RGE  
K *{RGE  
  K *{RGE  
现在我们举一个实例,实例要求如下 K *{RGE  
外部用户向172.18.124.99的主机发出Telnet请求时,重定向到10.1.1.6。 K *{RGE  
K *{RGE  
●外部用户向172.18.124.99的主机发出FTP请求时,重定向到10.1.1.3。 K *{RGE  
K *{RGE  
●外部用户向172.18.124.208的端口发出Telnet请求时,重定向到10.1.1.4。 K *{RGE  
K *{RGE  
●外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时,重定向到10.1.1.5。 K *{RGE  
K *{RGE  
●外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时,重定向到10.1.1.5。 K *{RGE  
K *{RGE  
●外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时,重定向到10.1.1.7的80号端口。 K *{RGE  
以上重写向过程要求如图2所示,防火墙的内部端口IP地址为10.1.1.2,外部端口地址为172.18.124.216。 K *{RGE  
K *{RGE  
K *{RGE  
 K *{RGE  
K *{RGE  
K *{RGE  
图2 K *{RGE  
以上各项重定向要求对应的配置语句如下: K *{RGE  
static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0 K *{RGE  
K *{RGE  
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0 K *{RGE  
K *{RGE  
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0 K *{RGE  
K *{RGE  
static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0 K *{RGE  
K *{RGE  
static (inside,outside) tcp interface www 10.1.1.5  www netmask 255.255.255.255 0 0 K *{RGE  
K *{RGE  
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0 K *{RGE  
12. 显示与保存结果 K *{RGE  
显示结果所用命令为:show config;保存结果所用命令为:write memory。  K *{RGE  
四、包过滤型防火墙的访问控制表(ACL)配置 K *{RGE  
除了以上介绍的基本配置外,在防火墙的安全策略中最重要还是对访问控制列表(ACL)进行配有关置。下面介绍一些用于此方面配置的基本命令。 K *{RGE  
1. access-list:用于创建访问规则 K *{RGE  
这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则,同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。在这个命令中,又有几种命令格式,分别执行不同的命令。 K *{RGE  
(1)创建标准访问列表 O5-;I,)H  
命令格式:access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] O5-;I,)H  
(2)创建扩展访问列表 O5-;I,)H  
有志者事竟成
回复
返回顶部 举报
离线游春波
前任管理  

发帖
6734
金钱
54611
贡献值
193
交易币
209
好评度
1569
家乡
广东省河源市
性别
只看该作者 55楼 发表于: 2010-02-28
命令格式:access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] O5-;I,)H  
(3)删除访问列表 O5-;I,)H  
命令格式:no access-list { normal | special } { all | listnumber [ subitem ] } O5-;I,)H  
上述命令参数说明如下: O5-;I,)H  
●normal:指定规则加入普通时间段。 O5-;I,)H  
O5-;I,)H  
●special:指定规则加入特殊时间段。 O5-;I,)H  
O5-;I,)H  
●listnumber1:是1到99之间的一个数值,表示规则是标准访问列表规则。 O5-;I,)H  
O5-;I,)H  
●listnumber2:是100到199之间的一个数值,表示规则是扩展访问列表规则。 O5-;I,)H  
O5-;I,)H  
●permit:表明允许满足条件的报文通过。 O5-;I,)H  
O5-;I,)H  
●deny:表明禁止满足条件的报文通过。 O5-;I,)H  
O5-;I,)H  
●protocol:为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 O5-;I,)H  
O5-;I,)H  
●source-addr:为源IP地址。 O5-;I,)H  
O5-;I,)H  
●source-mask:为源IP地址的子网掩码,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 O5-;I,)H  
O5-;I,)H  
●dest-addr:为目的IP地址。 O5-;I,)H  
O5-;I,)H  
●dest-mask:为目的地址的子网掩码。 O5-;I,)H  
O5-;I,)H  
●operator:端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 O5-;I,)H  
O5-;I,)H  
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 O5-;I,)H  
O5-;I,)H  
●icmp-type:在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 O5-;I,)H  
O5-;I,)H  
●icmp-code:在协议为ICMP,且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 O5-;I,)H  
O5-;I,)H  
●log:表示如果报文符合条件,需要做日志。 O5-;I,)H  
O5-;I,)H  
●listnumber:为删除的规则序号,是1~199之间的一个数值。 O5-;I,)H  
O5-;I,)H  
●subitem:指定删除序号为listnumber的访问列表中规则的序号。 O5-;I,)H  
例如,现要在华为的一款防火墙上配置一个"允许源地址为10.20.10.0 网络、目的地址为10.20.30.0网络的WWW访问,但不允许使用FTP"的访问规则。相应配置语句只需两行即可,如下: O5-;I,)H  
O5-;I,)H  
Quidway (config)#access-list 100 permit tcp 10.20.10.0  255.0.0.0  10.20.30.0  255.0.0.0  eq www O5-;I,)H  
O5-;I,)H  
Quidway (config)#access-list 100 deny tcp 10.20.10.0  255.0.0.0  10.20.30.0  255.0.0.0  eq ftp O5-;I,)H  
2. clear access-list counters:清除访问列表规则的统计信息 O5-;I,)H  
命令格式:clear access-list counters [ listnumber ] O5-;I,)H  
这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号,如不指定,则清除所有的规则的统计信息。 O5-;I,)H  
如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为: O5-;I,)H  
clear access-list counters 100 O5-;I,)H  
O5-;I,)H  
如有清除当前所使用的所有规则的统计信息,则以上语句需改为:Quidway#clear access-list counters O5-;I,)H  
3. ip access-group O5-;I,)H  
使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置,对应格式为: O5-;I,)H  
ip access-group listnumber { in | out } O5-;I,)H  
此命令须在端口用户模式下配置,进入端口用户模式的命令为:interface ethernet(),括号中为相应的端口号,通常0为外部接口,而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号,是1~199之间的一个数值(包括标准访问规则和扩展访问规则两类);in 表示规则应用于过滤从接口接收到的报文;而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。 O5-;I,)H  
O5-;I,)H  
O5-;I,)H  
有志者事竟成
回复
返回顶部 举报
离线游春波
前任管理  

发帖
6734
金钱
54611
贡献值
193
交易币
209
好评度
1569
家乡
广东省河源市
性别
只看该作者 56楼 发表于: 2010-02-28
例如将规则100应用于过滤从外部网络接口上接收到的报文,配置语句为(同样为在倾为包过滤路由器上): O5-;I,)H  
ip access-group 100 in O5-;I,)H  
如果要删除某个访问控制表列绑定设置,则可用no ip access-group listnumber { in | out } 命令。 O5-;I,)H  
4. show access-list O5-;I,)H  
此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为:show access-list [ all | listnumber | interface interface-name ] O5-;I,)H  
这一命令须在特权用户模式下进行配置,其中all参数表示显示所有规则的应用情况,包括普通时间段内及特殊时间段内的规则;如果选择listnumber参数,则仅需显示指定规则号的过滤规则;interface 表示要显示在指定接口上应用的所有规则序号;interface-name参数为接口的名称。 O5-;I,)H  
使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。例如,现在要显示当前所使用序号为100的规则的使用情况,可执行Quidway#show access-list 100语句即可,随即系统即显示这条规则的使用情况,格式如下: O5-;I,)H  
Using normal packet-filtering access rules now. O5-;I,)H  
O5-;I,)H  
100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1) O5-;I,)H  
O5-;I,)H  
100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2) O5-;I,)H  
O5-;I,)H  
100 deny udp any any eq rip (no matches -- rule 3) O5-;I,)H  
5. show firewall O5-;I,)H  
此命令须在特权用户模式下执行,它显示当前防火墙状态。命令格式非常简单,也为:show firewall。这里所说的防火墙状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。 O5-;I,)H  
6. Telnet O5-;I,)H  
这是用于定义能过防火配置控制端口进行远程登录的有关参数选项,也须在全局配置用户模式下进行配置。 O5-;I,)H  
命令格式为:telnet ip_address [netmask] [if_name] O5-;I,)H  
其中的ip_address参数是用来指定用于Telnet登录的IP地址,netmask为子网掩码,if_name用于指定用于Telnet登录的接口,通常不用指定,则表示此IP地址适用于所有端口。如: O5-;I,)H  
telnet 192.168.1.1 O5-;I,)H  
如果要清除防火墙上某个端口的Telnet参数配置,则须用clear telnet命令,其格式为:clear telnet [ip_address [netmask] [if_name]],其中各选项说明同上。它与另一个命令no telnet功能基本一样,不过它是用来删除某接口上的Telnet配置,命令格式为:no telnet [ip_address [netmask] [if_name]]。 O5-;I,)H  
如果要显示当前所有的Telnet配置,则可用show telnet命令。 O5-;I,)H  
 
有志者事竟成
回复
返回顶部 举报
发帖 回复
返回列表
123456
快速回复
限100 字节
 
上一个 下一个