防火墙基本命令与实验.docx
- 文档编号:30470795
- 上传时间:2023-08-15
- 格式:DOCX
- 页数:19
- 大小:246.93KB
防火墙基本命令与实验.docx
《防火墙基本命令与实验.docx》由会员分享,可在线阅读,更多相关《防火墙基本命令与实验.docx(19页珍藏版)》请在冰豆网上搜索。
防火墙基本命令与实验
1.将PIX安放至机架,经检测电源系统后接上电源,并加电主机。
2.将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall>。
3.输入命令:
enable,进入特权模式,此时系统提示为pixfirewall#。
4.输入命令:
configureterminal,对系统进行初始化设置。
5.配置以太口参数:
interfaceethernet0auto(auto选项表明系统自适应网卡类型)interfaceethernet1auto
6.配置一台口名称
Nameifoutside(外网接口)
Nameifinside(内网接口)
NameifDMZ(服务器区域接口)
7.配置内外网卡的IP地址:
ipaddressinsideip_addressnetmask(ipaddress192.168.10.1255.255.255.0)
ipaddressoutsideip_addressnetmask
8.配置接口安全级别
Security-level100(inside)接口默认安全级别是100,Outside接口默认安全级别是0,DMZ区域默认安全级别是50
9.配置默认路由使防火墙能连通外网
Routeoutside0.0.0.00.0.0.0192.168.1.1(下一跳的地址)
10.配置静态主机映射(可以用来发布服务器到外网)
Static(inside,outsdie)210.171.10.1255.255.255.0(outside接口地址)192.168.10.10255.255.255.0(内网需要映射主机的地址)
11.配置静态主机端口映射
Static(inside,outsdie)tcp210.171.10.1255.255.255.0http80(outside接口地址)192.168.10.10255.255.255.0http80
12.指定要进行要转换的内部地址:
nat1ip_addressnetmask(1转换地址池编号)
13.指定外部地址范围:
global1outsdie192.168.10.1netmask255.255.255.0(转换槽命令)
14.指定
转换槽IP段
global1outsdie192.168.10.1-192.168.10.20netmask255.255.255.0
15.设置telnet选项:
telnetlocal_ip
local_ip表示被允许通过telnet访问到pix的ip地址(如果不设此项,PIX的配置只能由consle方式进行)。
16.将配置保存:
wrmem
14.几个常用的网络测试命令:
17.#ping
#showinterface查看端口状态
#showstatic查看静态地址映射
18.对网络对象分组
Fw(config)#object-groupnetworkinside-a
Fw(config-network)#network-objecthost10.0.0.1
Fw(config-network)#network-objecthost10.0.0.2
19.对服务进行分组
Fw(config)#object-groupserviceservice-a
Fw(config-service)#prot-objecteqhttp
Fw(config-service)#prot-objecteqhttp
Fw(config-service)#prot-objectrange2021//range指定端口的范围
20.协议对象分组
Fw(config)#object-groupprotocolpro-a
Fw(config-protocol)#protocol-objecttcp
Fw(config-protocol)#protocol-objectudp
Fw(config-protocol)#protocol-objectticmp
21、对icmp进行吩咐
Fw(config)#object-groupicmp-typeping
Fw(config-icmp-type)icmp-objectecho
Fw(config-icmp-type)icmp-objectecho-reply
22、设置tftp服务器
Pix(config)#pixfirewall(config)#tftp-serverinside192.168.10.1pix
\\(pix为备份配置文件名称)
Pix(config)#writenet\\保存配置
Pix(config)#configurenet\\上传配置
23、路由器设置dhcp服务器
Router(config)#servicedhcp
Router(config)#ipdhcppoolNET1(地址池名字)
Router(dhcp-config)#network192.168.1.0255.255.255.0(地址池)
Router(dhcp-config)#default-router192.168.1.1255.255.255.0(默认网关)
Router(dhcp-config)#dns-server219.150.150.150(DNS服务器)
Router(dhcp-config)#lease1(租期一天)
24、pix接口设置自动获得IP
Pix(config-if)#nameifoutside
Pix(config-if)#ipaddressdhcp(防火墙外部接口自动获得IP地址)
25、pix配置成dhcp服务器
Pix(config)#dhcpdaddress20.0.0.2-20.0.0.100inside
\\配置DHCP地址池,并指定该地址池应用于inside区域
Pix(config)#dhcpddns202.106.0.20\\配置DNS信息,假设dns服务器地址为202.106.0.20
Pix(config)#dhcpdlease7200\\配置DHCP租约时间,默认为3600秒
Pix(config)#dhcpddomain\\配置域名
Pix(config)#dhcpdping_timeout10\\配置ping_timeout
Pix(config)#dhcpdenableinside\\应用在inside接口上
26、日志服务器配置
pixfirewall(config-if)#logginghostinside10.1.27.11255.255.255.0
\\配置日志服务器IP地址
pixfirewall(config)#loggingtrap6
\\设置日志级别7级为最高,6级可以显示所有调试命令
pixfirewall(config)#loggingenable\\启用日志
27、asdm配置
pixfirewall(config)#copytftp:
flash:
\\复制文件到闪存中
Addressornameofremotehost[]?
192.168.10.1\\输入tftp服务器ip地址
Sourcefilename[]?
asdm-602.bin\\输入要复制的文件名称
Destinationfilename[****.bin]?
\\目的地文件名称可以保持默认
28、启用防火墙上http服务
pixfirewall(config)#httpserverenable
pixfirewall(config)#http192.168.10.100255.255.255.255inside
\\输入内网要远程访问防火墙的主机地址,并指定端口名称
实验一
210.171.1.2
210.171.1.1
192.168.10.1
192.168.10.10
Pix(config)#interferee0
Pix(config)#nameifinside
Pix(config)#ipadderss192.168.10.10255.255.255.0
Pix(config)#noshutdown
Pix(config)#interferee1
Pix(config)#nameifoutside
Pix(config)#ipadderss210.171.1.1255.255.255.0
Pix(config)#noshutdown
Pix(config)#routeoutside0.0.0.00.0.0.0210.171.1.2
Pix(config)#nat(inside)10.0.0.00.0.0.0
Pix(config)#globle(outside)1interface
Pix(config)#access-list100permiticmpanyanyecho
Pix(config)#access-list100permiticmpanyanyecho-reply
Pix(config)#access-group100ininterfaceoutsdie
Inside(config)#interfacef0/0
Inside(config)#ipaddress192.168.10.10255.255.255.0
Inside(config)#noshutdown
Inside(config)#iproute0.0.0.00.0.0.0192.168.10.1
outside(config)#interfacef0/0
outside(config)#ipaddress192.168.10.1255.255.255.0
outside(config)#noshutdown
outside(config)#linevty04
outside(config)#password123
outside(config)#login
outside(config)#enablepassword123
本实验可以使inside主机telnet到外网的机器,并设置访问控制列表使内网机器可以ping通外网
实验二
192.168.10.1
192.168.10.10
Pix(config)#interferee0
Pix(config)#nameifinside
Pix(config)#ipadderss192.168.10.10255.255.255.0
Pix(config)#noshutdown
Pix(config)#telnet192.168.10.10255.255.255.255insdie
Pix(config)#telnettimeout15
Pix(config)#passwordcisco
Inside(config)#interfacef0/0
Inside(config)#ipaddress192.168.10.10255.255.255.0
Inside(config)#noshutdown
Inside(config)#iproute0.0.0.00.0.0.0192.168.10.1
本实验可以使内网主机telnet到pix防火墙上进行管理
实验三
Pix(config)#interferee0
Pix(config)#nameifinside
Pix(config)#ipadderss192.168.10.1255.255.255.0
Pix(config)#noshutdown
Pix(config)#interferee1
Pix(config)#nameifoutside
Pix(config)#ipadderss10.23.12.231255.255.255.0
Pix(config)#noshutdown
Pix(config)#interferee2
Pix(config)#nameifdmz
Pix(config)#ipadderss172.16.10.254
Pix(config)#routeoutside0.0.0.00.0.0.010.23.12.254
Pix(config)#nat(inside)10.0.0.00.0.0.0
Pix(config)#globle(outside)1interface
Pix(config)#globle(dmz)1172.16.10.2
Pix(config)#static(dmz,outside)10.23.12.231172.16.10.1
Pix(config)#access-list100permittcpanyhost10.23.12.231eq23
Pix(config)#access-group100ininterfaceoutsdie
Inside(config)#interfacef0/0
Inside(config)#ipaddress192.168.10.10255.255.255.0
Inside(config)#noshutdown
Inside(config)#iproute0.0.0.00.0.0.0192.168.10.1
dmz(config)#interfacef0/0
dmz(config)#ipaddress172.16.10.1255.255.255.0
dmz(config)#noshutdown
dmz(config)#iproute0.0.0.00.0.0.0172.16.10.254
dmz(config)#linevty04
dmz(config)#password123
dmz(config)#login
dmz(config)#enablepassword123
实验目的配置完成后,用inside主机telnet到dmz服务器上,用outside主机telnet到dmz服务器
实验四
Pix(config)#interferee0
Pix(config)#nameifinside
Pix(config)#ipadderss192.168.10.1255.255.255.0
Pix(config)#noshutdown
Pix(config)#interferee1
Pix(config)#nameifoutside
Pix(config)#ipadderss10.23.12.231255.255.255.0
Pix(config)#noshutdown
Pix(config)#interferee2
Pix(config)#nameifdmz
Pix(config)#ipadderss172.16.10.254
Pix(config)#routeoutside0.0.0.00.0.0.010.23.12.254
Pix(config)#nat(inside)10.0.0.00.0.0.0
Pix(config)#globle(outside)1interface
Pix(config)#nat(inside)0192.168.10.0255.255.255.0
Pix(config)#static(dmz,outside)10.23.12.231172.16.10.1
Pix(config)#access-list100permittcpanyhost10.23.12.231eq23
Pix(config)#access-group100ininterfaceoutsdie
Inside(config)#interfacef0/0
Inside(config)#ipaddress192.168.10.10255.255.255.0
Inside(config)#noshutdown
Inside(config)#iproute0.0.0.00.0.0.0192.168.10.1
dmz(config)#interfacef0/0
dmz(config)#ipaddress172.16.10.1255.255.255.0
dmz(config)#noshutdown
dmz(config)#iproute0.0.0.00.0.0.0172.16.10.254
dmz(config)#linevty04
dmz(config)#password123
dmz(config)#login
dmz(config)#enablepassword123
验证使用nat0后,inside主机不用做地址转换就可以访问dmz服务器
实验五对象分组实验
1、对网络对象分组
Fw(config)#object-groupnetworkinside-a
Fw(config-network)#network-objecthost10.0.0.1
Fw(config-network)#network-objecthost10.0.0.2
2、对服务进行分组
Fw(config)#object-groupserviceservice-a
Fw(config-service)#prot-objecteqhttp
Fw(config-service)#prot-objecteqhttp
Fw(config-service)#prot-objectrange2021//range指定端口的范围
3、协议对象分组
Fw(config)#object-groupprotocolpro-a
Fw(config-protocol)#protocol-objecttcp
Fw(config-protocol)#protocol-objectudp
Fw(config-protocol)#protocol-objectticmp
4、对icmp进行吩咐
Fw(config)#object-groupicmp-typeping
Fw(config-icmp-type)icmp-objectecho
Fw(config-icmp-type)icmp-objectecho-reply
Pix(config)#interferee0
Pix(config)#nameifinside
Pix(config)#ipadderss192.168.10.1255.255.255.0
Pix(config)#noshutdown
Pix(config)#interferee1
Pix(config)#nameifoutside
Pix(config)#ipadderss172.16.10.1255.255.255.0
Pix(config)#noshutdown
Pix(config)#routeoutside0.0.0.00.0.0.0172.16.10.1
Pix(config)#nat(inside)10.0.0.00.0.0.0
Pix(config)#globle(outside)1interface
Pix(config)#object-groupicmp-typeping
Pix(config-icmp-type)icmp-objectecho
Pix(config-icmp-type)icmp-objectecho-reply
pix(config)#object-groupnetworkinside-a
pix(config-network)#network-objecthost192.168.10.10
pix(config-network)#network-objecthost192.168.10.20
Pix(config)#access-list100permiticmpobject-groupinside-aanyobject-groupping
Pix(config)#access-list100permiticmpanyobject-groupinside-aobject-groupping
//允许分组的两台主机ping外网主机地址
Pix(config)#access-group100ininterfaceoutside
Pix(config)#access-list200denyicmp192.168.10.10host10.0.0.1object-groupping
Pix(config)#access-list200permiticmpanyanyobject-groupping
Pix(config)#access-group200ininterfaceinsdie
//拒绝192.168.10.10的主机ping外网地址,但允许其他的主机ping外网
outside(config)#interfacef0/0
outside(config-if)#ipaddress172.16.10.2255.255.255.0
outside(config-if)#noshutdown
outside(config)#iproute0.0.0.00.0.0.0172.16.10.1
outside(config)#interfaceloopback0
outside(config-if)#ipaddress10.0.0.1255.255.255.0
实验六DHCP
实验1
Router(config)#intf0/0
Router(config-if)ipaddress192.168.1.254255.255.255.0
Router(config)#servicedhcp
Router(config)#ipdhcppoolNET1(地址池名字)
Router(dhcp-config)#network192.168.1.0255.255.255.0(地址池)
Router(dhcp-config)#default-router192.168.1.1255.255.255.0(默认网关)
Router(dhcp-config)#dns-server219.150.150.150(D
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 基本 命令 实验