1、静态路由
Firewall(config)# route if_ name foreign_ network foreign_mask gateway [metric]
可配置一个静态路由允许防火墙把管理流量发送到不在本地IP子网上的地址。在透明防火墙模式下不支持动态路由选择协议。
远程网络可在名为if_name (如outside) 的防火墙接口上查找到,其网络地址为foreign_ network,子网掩码为foreign_mask.下一 跳路由器地址被设为gateway。也可指定距
离metric,也就是到达网关的路由器跳数。如果忽略metric,默认为1跳。
可以重复此命令定义其他静态路由。
不必为直连防火墙接口的子网配置静态路由。但要定义一个静态路由作为连接外部公共
网络的默认路由。为达到这一- 目的,使用0作为foreign_network 和foreign_mask的值。如果在防火墙内部有其他活动的IP子网,也需要为每个IP子网各自定义一个静态路由。
如例所示,防火墙位于网络10.1.0.0 255.255.0.0。其在外部接口,上的下一跳路由器为
10.1.1.1。 防火墙内部有个路由器位于10.1.1.2, 在那里可查找到子网192.168.1.0/24 和
192.168. 100.0/24。可使用以下命令在透明防火墙上配置这个路由选择信息。
Firewall(config)# route outside 0 0 10.1.1.1 1
Firewall(config)# route inside 192.168.1.0 255.255.255.0 10.1.1.2 1
Firewall(config)# route inside 192.168.100.0 255.255.255.0 10.1.1.2 1
2、static NAT
static (real_ifc,mapped_ifc) {mapped_ip | interface} {real_ip [netmask mask]} [dns] [norandomseq] [max_conns [emb_limit]]
主要是DMZ区的主机映射到outside
例:
1)inside 192.168.1.1 outside 10.0.1.1
static (inside,outside) 10.0.1.1 192.168.1.1 netmask 255.255.255.255 0 0
后面的netmask和0 0都可以省略
2)下面的写法则可以将外部接口地址转换到内部主机地址192.168.1.1,无论外部接口使用的是何种ip地址,都会转换
static (insdie,outside) interface 192.168.1.1 netmask 255.255.255.255
3)允许连接到外部169.65.41.100的入站SMTP和HTTP可发送到两台内部主机,SMTP转移到内部主机192.168.1.100,HTTP转移到192.168.1.200,还要配置一下访问列表,将之应用到outside
static (inside,outside) tcp 169.65.41.100 smtp 192.168.1.100 smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp 169.65.41.100 www 192.168.1.200 www netmask 255.255.255.255 0 0
access-list acl_outside permit tcp any host 169.65.41.100 eq smtp
access-list acl_outside permit tcp any host 169.65.41.100 eq www
access-group acl_outside in interface outside
3、access-list
access-list acl_id [line line_num] [extended] {permit | deny} protocol source_addr source_mask [operator sport] destination_addr destination_mask [operator dport] ...
…代表后面一些不常用的选项,如[log [[disable | default] | [level]]] [interval secs] [time-range name] [inactive]
简化一下:
access-list acl_id {permit | deny} protocol source destination [operator]
1)如果需要表示一个特定的主机,可以赋予其ip地址和主机掩码(255.255.255.255);也可以在关键字host后使用ip地址来指定主机
access-list test1 permit tcp 13.0.1.1 255.255.255.255 192.168.1.10 255.255.255.255
或
access-lsit test1 permit tcp host 13.0.1.1 host 192.168.1.10
2)要指定一个通配符或"任意"ip地址么可以使用IP地址0.0.0.0和掩码0.0.0.0;也可以使用any关键字代替
access-list test2 permit ip 0.0.0.0 0.0.0.0 192.168.1.10 255.255.255.255
或
access-list test2 permit ip any host 192.168.1.10
其他命令:
show running-config
show access-list 可以看到ACL行编号
如果未指定行号就输入一个新的ACE,则它会被添加到ACL的末尾
显示acl_outside:
show run access-list acl_outside
移除访问列表:
no access-list acl_name
或
clear access-lsit acl_name
为ACL重命名(ASA8.0以上)
access-list old_acl_name rename new_acl_name
为访问列表添加标记
access-lsit acl_id [line line-num] remark text
3)实例:
只有来自外部的SMTP、POP3流量才允许发往内部主机192.168.17.22
access-list acl_outside permit tcp any host 192.168.17.22 eq smtp
aceess-lsit acl_outside permit tcp any host 192.168.17.22 eq pop3
access-group acl_outside in interface outside
允许外部主机172.22.10.41箱内部主机192.168.17.100发送FTP数据包
access-lsit acl_outside permit tcp host 172.22.10.41 host 192.168.17.100 eq ftp
access-group acl_outside in interface outside
指定从外部流入的icmp流量仅限为icmp回应(ping)请求,icmp超时应答和icmp不可达
access-list test1 permit icmp any 192.168.1.2 255.255.255.0 echo
access-list test1 permit icmp any 192.168.1.2 255.255.255.0 time-exceeded
access-list test1 permit icmp any 192.168.1.2 255.255.255.0 unreachable
4、对象组
1)网络对象组(包含ip地址列表)
为对象组命名
object-group network group_id
添加说明
description text
添加一个ip地址列表
network-object host ip_address或network-object ip_addr mask
调用其他网络对象组(可选)
group-object group_id
例:
假设需要为三个 IP 地址(192.168.1.10、192.168.1.20 和 192.168.1.30)和一个 IP子网(192.168.2.0/24)配置相同的访问列表声明,并将这些访问列表声明分配到统计部门的主机内。可用地址列表配置下列网络对象组,这个地址列表先前应用在访问列表中。
firewall(config)# object-group network Accouting_addrs
firewall(config-network)# description list of ip
firewall(config-network)# network-object host 192.168.1.10
firewall(config-network)# network-object host 192.168.1.20
firewall(config-network)# network-object host 192.168.1.30
firewall(config-network)# network-object 192.168.2.0 255.255.255.0
firewall(config-network)# exit
2)协议对象组
object-group protocol group_id
添加ip协议列表
protocol-object protocol
例如,配置一个名为 Tunnel_proto 的协议对象组,包含了一个隧道协议列表(GRE、IP-in-IP、ESP和AH)。名为Routing_proto的第二个组包含了一个路由协议列表(IGRP、EIGRP、和OSPF)。使用下面命令,这些对象组随后可成为Group 1_proto这个更大的列表的一部分。
Firewall(config)# object-group protocol Tunnels_proto
Firewall(config-protocol)# description Tunneling Protocols
Firewall(config-protocol)# protocol-object gre
Firewall(config-protocol)# protocol-object ipinip
Firewall(config-protocol)# protocol-object esp
Firewall(config-protocol)# protocol-object ah
Firewall(config-protocol)# exit
Firewall(config)# object-group protocol Routing_proto
Firewall(config-protocol)# description Routing Protocols
Firewall(config-protocol)# protocol-object igrp
Firewall(config-protocol)# protocol-object eigrp
Firewall(config-protocol)# protocol-object ospf
Firewall(config-protocol)# exit
Firewall(config)# object-group protocol Group1_proto
Firewall(config-protocol)# description Group1 list of protocols
Firewall(config-protocol)# group-object Tunnels_proto
Firewall(config-protocol)# group-object Routing_proto
3)icmp类型对象组
object-group icmp-type group_id
icmp-object icmp_type
例:
配置一个名为Ping的icmp类型对象组,包含ICMP类型echo和echo-reply。随后该对象组作为包含更多icmp类型对象组的一部分, 这些icmp类型有不可达(unreachable).重定向(redirect) 和超时类型( time-exceeded)。可使用以下命令完成该配置。
Firewall(config)# object-group icmp-type Ping_icmp
Firewall(config-icmp)# icmp-object echo
Firewall(config-icmp)# icmp-object echo-reply
Firewall(config-icmp)# exit
Firewall(config)# object-group icmp-type Biggerlist_icmp
Firewall(config-icmp)# group-object Ping_icmp
Firewall(config-icmp)# icmp-object unreachable
F irewall(config-icmp)# icmp-object redirect
Firewall(config-icmp)# icmp-object time-exceeded
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wEpFhzWv-1586592460409)(C:\Users\zw\Desktop\防火墙技术概述\配置命令\防火墙配置\icmp类型及编号.png)]
4)基本服务对象组
object-group service group_id {tcp|udp|tcp-udp}
port-object eq port或port-object range begin_port end_port
5)增强型服务对象组(ASA8.0后才有)
5、在访问列表中使用对象组
例:
定义对象组
Firewall(config)# object-group icmp-type allowed-icmp
Firewall(config-icmp)# description ICMP traffic allowed inside
Firewall(config-icmp)# icmp-object echo
Firewall(config-icmp)# icmp-object time-exceeded
Firewall(config-icmp)# icmp-object unreachable
Firewall(config-icmp)# exit
应用
Firewall(config)# access-list acl_outside permit icmp any 192.168.1.0 255.255.255.0 object-group allowed-icmp
如果需要添加更多相同规则的DMZ主机,复制ACE可能会很复杂。更糟糕的是,如果需要添加内部主机,并且这些主机需要接收来自DMZ主机的同类型流量,将会怎么样?
可以用对象组代替,这样更为方便。为DMZ主机定义一一个网络对象组,并为内部主机定义另一个对象组。
Firewall(config)# object-group network dmz_hosts
Firewall(config-network)# network-object host 10.1.1.1
Firewall(config-network)# network-object host 10.1.1.2
Firewall(config-network)# exit
Firewall(config)# object-group network inside hosts
Firewall(config-network)# network-object host 192. 168.10.30
Firewall(config-network)# exit
Firewall(config)# access-list acl_dmz extended permit tcp object-group dmz_hosts object-
group inside_hosts eq https
Firewall(config)# access-list acl_dmz extended permit tcp object-group dnz_hosts object-
group inside_hosts eq www
Firewall(config)# access-list acl_dmz extended permit tcp object-group dmz_hosts object-
group inside_hosts eq sqlnet
Firewall(config)# access-list acl_dmz extended permit tcp object-group dmz_hosts object-
group inside_hosts eq 5003
现在需要添加一个新的DMZ主机时,可以向dmz_host对象组进行简单添加。
Firewall(config)# object-group network dmz_hosts
Firewall(config-network)# network-object host 10.1.1.3
Firewall(config-network)# exit
6、终端屏幕格式
默认情况下,所有防火墙的输出显示在80 个字符宽 24 行长的终端会话屏幕上。要改变
防火墙显示的宽度,可以使用下列命令。
terminal width characters
这里,characters是一个40~511之间的值。也可以指定为0,意味着是总共511个字符宽度。
要改变屏幕长度(分页显示大量输出信息时每页能显示的行数),可以使用下列命令配置。
pager [line number]
这里,number可以是从1开始的任意正数值。如果只使用pager 这个关键字,页面长度
会回到默认的 24行。
也可以通过使用pager line 0 命令来完全禁止屏幕分页。当正在使用终端模拟器捕获一个
大的配置或日志消息的输出时,这一操作非常有用。一个更有效的实际作法是让所有的滚动
输出到模拟器捕获缓冲区,否则,就必须要用空格键来翻页输出,然后再删除所捕获文件中
的<— More —>提示符。
7、显示配置
显示启动配置
show startup-config
或
show configure
显示运行配置
write terminal
或
show running-config
将配置好的防火墙配置写入flash
write memory
或copy running-config startup-config
在虚拟防火墙例,需要用changeto切换到各个context进行保存
8、telnet防火墙
最多可以同时打开5个会话
如果对防火墙配置了 Telnet,则在“内部”防火墙接口允许 Telnet 访问。防火墙不允许在它的外部接口进行入站 Telnet 连接,除非在该接口为安全 VPN 连接配置了IPSec。
例如,下面的命令允许内部接口上源于主机192.168.4.13 和子网192.168.177.0/24的入站Telnet。
pixwall(config)# telnet 192.168.4.13 255.255.255.255 inside
pixwall(config)# telnet 192.168.177.0 255.255.255.0 inside
设置telnet超时,空闲该时间后会自动关闭
telnet timeout minutes
9、ssh
远程管理员也可以利用 SSH连接到防火墙。SSH 会话使用TCP端口 22,并提供标准防火墙CLI。通过SSH 访问防火墙有下列特点。
· 对防火墙可以同时打开最多5个不同的 SSH会话。
· 当提供高安全级别时,SSH 会话提供Telnet 查找与感知(look and feel)。
· 包括外部接口在内的任何防火墙接口都允许 SSH。
· 防火墙可支持两种版本的 SSH:SSHv1(从PIX 6.3、ASA 7.0[1]和 FWSM开始)和 SSHv2(从ASA 7.0[1] 和FWSM 3.1[1]开始)。
· SSHv2提供优于 SSHv1 的数据完整性和加密。
1、生成RSA密钥对
1)先为防火墙定义一个域名
domain-name name
2)再计算RSA密钥对
ca generate rsa key [moudoles]
通用 RAS 密钥对是用模数或modulus 比特长度(512、768、1024 或 2048;默认 768)
进行计算的。一般情况下,模数越长越安全,逆向计算密钥操作就越困难。密钥越长,生成
密钥花费的时间越长,所需要的防火墙 CPU 资源也越多。然而,这然而,这并不是关键问题,因为RSA密钥只生成一次或至少会使用很长一段时间。
作为一种折衷办法,当前工业上最佳做法建议采用1024 比特的模数。
如果在使用这个命令之前没有定义域名,将会使用默认的域名(在FWSM上默认域名为ciscofwsm.com,在PIX 或ASA上默认域名为ciscopix.com)。
3)保存RSA密钥信息
ca save all
4)清除已保存的密钥对
ca zeroize rsa
5)在接口上允许入站SSH连接
ssh ip_address [netmask] [if_name]
9、清除防火墙崩溃信息文件
clear crashinfo
