1、一、cisco pix日常維護常用命令1、pix 模式介紹“ ”用戶模式firewallenable由用戶模式進入到特權模式password: “ #”特權模式firewall#config t 由特權模式進入全局配置模式“ （config） #”全局配置模式firewall(config)# 防火墻的配置只要在全局模式下完成就可以了。1、 基本配置介紹1、端口命名、設備命名、ip 地址配置及端口激活nameif ethernet0 outside security0 端口命名nameif gb-ethernet0 inside security100 定義端口的名字以及安全級別，“outsi

2、de”的安全級別默認為0， “ inside”安全級別默認為100，及高安全級別的可以訪問低安全級別的，但低安全級別不能主動地到高安全級別。firewall(config)#hostname firewall 設備名稱firewall （config）#ip address outside 內外口地址設置firewall （config）#ip address inside firewall （config）# interface ethernet0 100full 激活外端口firewall （co

3、nfig）# interface gb-ethernet0 1000auto 激活內端口2、 telnet、ssh、web 登陸配置及密碼配置防火墻默認是不允許內/外網用戶通過遠程登陸或web 訪問的，需要相應得開啟功能。firewall （config）#telnet inside 允許內網此網斷內的機器telnet到防火墻配置從外網遠程登陸到防火墻firewall （config ）#domain-name firewall （config）# ca generate rsa key 800 firewall （config）#ca s

4、ave all firewall （config）#ssh outside 允許外網所有地址可以遠程登錄防火墻，也可以定義一格具體的地址可以從外網登陸到防火墻上，如：firewall （config）#ssh 1 55 outside firewall （config）#enable password cisco 由用戶模式進入特權模式的口令firewall （config）#passrd cisco ssh遠程登陸時用的口令firewall （config）#username cisco password cis

5、co web登陸時用到的用戶名firewall （config）#http enable 打開 http 允許內網10 網斷通過http 訪問防火墻firewall （config）#http inside firewall （config）#pdm enable firewall （config）#pdm location inside web 登陸方式： 3、保證防火墻能上網還要有以下的配置firewall （config）#nat （inside）

6、 1 0 0 對內部所有地址進行轉換，或如下配置，對內部固定配置的地址進行轉化，未指定的不予轉發firewall （config）#nat (inside) 1 fierwall(config)#nat (inside) 1 firewall (config) # global (outside) 1 interface 對進行 nat 轉換得地址轉換為防火墻外接口地址firewall (config) # route 指一條默認路由器到做完

7、上面的配置內網用戶就可以上網了，內部有層交換機且劃分了，若要保證每個都能夠上網，還要在防火墻上指回到其他的路由，如：firewall (config) # route inside 4、內網服務器映射如果在局域網內有服務器要發布到互聯網上，需要在pix對內網服務器進行映射。服務器映射可以是一對一的映射，也可以是端口映射，一般我們采用端口映射及節約ip 地址又能增強映射服務器的安全性。下面以發布內網一臺web 服務器來舉例說明：firewall(config)#static (inside,outside) tcp 22

8、 80 00 80 上述命令便將內部的web 服務器放到了公網上面，但外面的用戶并不能訪問到，因為防火墻的外界口安全級別最低，從低安全級別到高安全級別主動發起的鏈接請求需要我們在防火墻上利用訪問控制列表手動放開，如下：firewall(config)#access-list outside permit tcp any host eq 80 firewall(config)#access-group outside in interface outside 必須將用access-group 命令將訪問控制列表應用到外端口，

9、上述完成后就可以從外網上來訪問服務器了。5、防火墻上常用的show 命令firewall (config) #show interface查看所有端口的狀態，端口是否出于連接狀態interface ethernet0 outside is up, line protocol is up端口和協議都出于“” 狀態， 正常。pixfirewall# show cpu usage查看的使用情況，如果的使用情況超過是不正常的，說明內部有對外占用了設備大量資源cpu utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1% 如果內部有終端中毒

10、（或利用下載）向網關送大量的數據包，會導致防火墻只能來處理病毒機器的請求，而無暇顧及正常流量，導致正常用戶不能上網，要找到不正常終端可以利用 show conn 來查看firewall(config)#show conn 若用 show conn 查看到某個內部到互聯網上的鏈接特別多，且都是高端口號的，可以斷定此機器是在下載，然后可以通過在防火墻上的show arp 命令查看到此計算機的地址，在用上面交換機維護命令講到的命令確認他連接在交換機的端口，然后將此端口shotdown ，或通過機房點位直接找到用戶要求其停止，否則會占用出口帶寬和防火墻的資源。firewall(config)#show

11、 conn local 9查看具體一個地址的鏈接項：firewall(config)#show version查看防火墻的硬件信息firewall(config)#show xlate查看內部地址時否轉換成外端口地址來上網fierwall(config)#clear arp 清除表firewall(config)#clear xlate清除內部所有地址的轉換項，網絡中斷一下firewall(config)#clear xlate local 9清除內部具體一臺機器的轉換項firewall(config)#show runnint-config查看

12、防火墻的當前配置文件二、防火墻配置簡介1、以前的防火墻的系統版本是6.3 以下，在這種版本里面不能用“tab”鍵補齊命令，而且用“？”來查詢命令也很不方便；目前的 asa5500 的系統版本為7.0 以上，和路由器的命令相同，可以用“tab”鍵補齊命令，可以用“？”來查看參數、同樣也可以在全局模式用show 命令。防火墻的幾種工作模式：用戶模式：如果您看到那么現在代表是在用戶模式下，在用戶模式下只有簡單的命令可以操作。由用戶模式進入特權模式的命令為：enable 特權模式： 如果您看到當前的位置顯示#那么您處于特權模式下，在特權模式下用戶可以查看所有信息， 而前可以進入全局配置模式對防火墻配置

13、進行修改。由特權模式進入全局配置模式下的命令為：config t 全局配置模式：當您看到（config）#時，表示現在處于全局配置模式，可以對防火墻的設置進行修改。在“ ” 、 “ #” 、 “ （config ）#”左側顯示的為設備的名稱。2、1） 、防火墻接口配置pix 配置pixenable 進入特權模式pix#config t 進入全局配置模式pix(config)#ip address outside 配置外接口地址pix(config)#ip address inside 配置內接口地址

14、pix(config)#interface ethernet0 auto 激活外端口pix(config)#interface ethernet1 auto 激活內端口（默認端口是出于shutdown 狀態的）防火墻 6.3 以下系統默認將ethernet0 端口做為外端口，默認安全級別為0，ethernet1 作為內端口，默認安全級別為100，對于防火墻而言，高安全級別的用戶可以訪問到低安全級別，而由低安全級別主動發起的到高安全級別的鏈接是不允許的。pix 系列產品默認只有兩個端口及0 和 1，dmz 端口都是另外添加的模塊，dmz 端口的默認安全級別50，配置 dmz 接口的地址和配置in

15、side 和 outside 類似pix(config)#ip address dmz pix(config)# interface gb-ethernet0 1000auto 激活 dmz 端口， dmz 的端口號需要您用show running-config 命令查看，如：pix(config)#show running-config sh run : saved : pix version 6.3(5) interface ethernet0 100full interface ethernet1 auto interface gb-ether

16、net0 1000auto 新添加的dmz 端口2） 、防火墻nat 設置2.1、內網用戶要上網，我們必須對其進行地址轉換，將其轉換為在公網上可以路由的注冊地址，防火墻的nat 和 global 是同時工作的，nat 定義了我們要進行轉換的地址，而global 定義了要被轉換為的地址，這些配置都要在全局配置模式下完成，2.2、nat 配置如下：pix(config)#nat (inside) 1 0 0 上面 inside 代表是要被轉換得地址，1 要和 global 后面的號對應，類似于訪問控制列表號，也是從上往下執行，0 0 代表全部匹配（第一個0 代表地址，第二個0 代表掩碼），內部所有

17、地址都回進行轉換。2.3、global 配置pix（config）#global （outside） 1 interface gobalb 定義了內網將要被轉換成的地址，interface 代表外端口的地址當然，如果您有更多的公網ip 地址，您也可以設置一個地址池，上面一條也是必須的，地址轉換首先會用地址池內地址，一旦地址被用完后會用到上面一條及外端口做轉換上網。pix（config）#global （outside）00-54 ） 、防火墻路由設置3.1、因為我們為末節網絡，所以對于我們來說路由比較簡單，只要將從防火墻過來的所有流量全部導向就可以了

18、，具體到各個網站的路由在那里會有。如果在我們的內部沒有劃分，那么我們之需要在防火墻上指一條向外出的路由就可以了，如下：pix（config）#route outside route outside 代表是外出的路由 代表目的地址，及全部匹配 代表子網掩碼，及全部匹配 代表下一跳，及和我們防火墻互聯的isp 的地址3.2、如果在我們的內部有好多vlan 劃分， 那么我們需要往回指到各個vlan 的路由， 下一跳需要指向和我們防火墻直接相連的內網的地址，比如在我們的內部有vlan 2 ： 1.1.1.

19、0/24；vlan 3 ：/24；如果 vlan 2 是和防火墻直接相連的，那么我們不需要對vlan 2回指路由，因為他和防火墻在同一網段，而vlan 3 沒有和防火墻直接相連，如果想讓vlan 3 也能上網我們就需要在防火墻上回指一條到vlan 3 的路由，如下：pix（config）#route inside 目的網絡及掩碼 下一跳及和防火墻相連的同一網段的vlan interface 地址，4） 、服務器映射配置4.1、如果在內網有一臺web 服務器需要向外

20、提供服務，那么需要在防火墻上映射，公網地址多的情況下可以做一對一的映射，如下pix（config）#static （inside，outside）00 0 如果只有一個公網地址，那么可以做端口映射，如下pix（config）#static （inside，outside）tcp 00 80 0 80 4.2、映射完畢后還必須配置訪問控制列表，允許外部來訪問映射的web 服務器，如下：pix（config）#access-list outside per tcp any host 00 eq

21、 80 pix（config）#access-group outside in interface outside 其中“ access-list”和“ access-group”后面的outside為防問控制列表的名字，“access-group”最后的 outside 為端口名。允許外面任意一臺主機通過tcp 的 80 端口訪問到00 這臺主機，下面還要把此條訪問控制列表應用到outside 接口上，這樣互聯網上的用戶才能訪問到web 服務器。如果有多條地址映射請重復上述操作。5） 、圖形界面登陸設置和用戶名密碼添加pix（config）#pdm history

22、enable pix(config)#pdm location inside pix(config)#http server enable pix(config)#http inside pix(config)#username cisco password cisco cisco 為用戶名和密碼上述配置完畢后您就可以通過圖形界面來登陸，登陸方式：如果要打開外網圖形界面配置，如下：pix（config）#http location outside

23、外網所有的地址都可以通過圖形界面來登陸防火墻如果知道用戶名和密碼。當然我們也可以定義特定的一臺多多臺可以通過圖形界面登陸防火墻，只要將網段改為特定的地址就可以了。6） 、防火墻密碼pix（config）#enable password cisco 設置進入 enable的密碼pix（config）#passwd cisco ssh 登陸是第一次輸入的密碼7） 、防火墻內網telnet 和外網 ssh 登陸設置telnet configuration pix（config）#telnet inside 允許內網telnet 防火墻pix(

24、config)#telnet timeout 1 1 分鐘未作任何操作后超時退出ssh configuration 通過外網不能用telnet 防火墻，必須用ssh 加密方式，在配置ssh 之前要先定義一個domain-name，然后再生成一個key，如下：pix（config）#domain-name pix（config）# ca generate rsa key 800 pix（config）#ca save all pix（config）#ssh outside ssh 也可以定義外網特定的一臺主機或固定的一段地址可以來遠程登陸。8） 、防火墻dhcp

25、配置pix （ config ） #dhcpd address 00-54 inside 定義地址池并在inside 接口開啟dhcp功能pix（config）# dhcpd dns 15 0 定義給客戶分發的dns pix（config）# dhcpd enable inside 打開 dhcp 功能9） 、如何修改已存在的訪問控制列表比如，我們在內接口上定義了一些訪問控制列表，如下：pix（config）#access-list inside deny ip host 00 any pix（confi

26、g）#access-list inside permit tcp any any range 1 1024 pix（config）#access-list inside permit ucp any any range 1.1024 pix（config）#access-list inside permit tcp any any eq 1863 pix（config）#access-group inside in interface inside 上面是我已經在內接口存在的訪問控制列表，我拒絕了00 到外面所有，而其他的用戶只能訪問外面的tcp 和 udp 的 11024 的端

27、口以及tcp 的 1863 端口（ msn） ，如果我還希望在拒絕ip 地址為 01 的主機到外面所有的，那么我必須將deny 01 的訪問控制列表寫到access-list inside permit tcp any any range 1 1024 列表的上面，因為訪問控制列表是從上往下執行，如果將 deny 01 的訪問控制列表放在access-list inside permit tcp any any eq 1863 下面，那么對于01 的限制將不能生效，可以按照下面步驟操作：1、先用 show access-list 命令查看

28、訪問控制列表pix(config)#show access-list access-list inside line 1 deny ip host 00 any (hitcnt=100000) access-list inside line 2 permit tcp any any range 1 1024 (hitcnt=8000000) access-list inside line 3 permit udp any any range 1 1024 (hitcnt=100000) access-list inside line 4 permit udp any any eq

29、 1863 (hitcnt=8000) 2、將 deny 01 的列表插入，格式如下：pix(config)#access-list inside line 1 deny ip host 01 any 做完后， 在用 show running-config 可以看到在訪問控制列表位置第一行已經多了一條，顯示結果如下：pix（config）#show run access-list inside deny ip host 01 any access-list inside deny ip host 00 any access-list inside permit tcp any any range 1 1024 access-list inside permit ucp any any range 1.1024 access-list inside permit tcp any any eq 1863 三、 asa5500端口配置對于 asa5500 系列來說，您定義的參數要多一些，以asa5520