思科ASA和PIX防火墙配置手册..doc

思科ASA和PIX防火墙配置手册一、 配置基础 2 1.1 用户接口 2 1.2 防火墙许可介绍 3 1.3 初始配置 3 二、 配置连接性 4 2.1 配置接口 4 2.2 配置路由 6 2.3 DHCP 7 2.4 组播的支持 7 三、 防火墙的管理 7 3.1 使用Security Context建立虚拟防火墙（7.x特性） 7 3.2 管理Flash文件系统 8 3.3 管理配置文件 9 3.4 管理管理会话 9 3.5 系统重启和崩溃 10 3.6 SNMP支持 10 四、 用户管理 11 4.1 一般用户管理 11 4.2 本地数据库管理用户 11 4.3 使用AAA服务器来管理用户 11 4.4 配置AAA管理用户 12 4.5 配置AAA支持用户Cut-Through代理 12 4.6 密码恢复 12 五、 防火墙的访问控制 12 5.1 防火墙的透明模式 12 5.2 防火墙的路由模式和地址翻译 13 5.3 使用ACL进行访问控制 15 六、 配置Failover增加可用性 17 6.1 配置Failover 17 6.2 管理Failover 19 七、 配置负载均衡 19 7.1 配置软件实现 (只在6500 native ios模式下) 19 7.2 配置硬件实现 20 7.3 配置CSS实现 22 八、 日志管理 22 8.1 时钟管理 22 8.2 日志配置 23 8.3 日志消息输出的微调 24 8.4 日志分析 25 九、 防火墙工作状态验证 25 9.1 防火墙健康检查 25 9.2 流经防火墙数据的监控 26 9.3 验证防火墙的连接性 26 十、 Syslog服务 28 Syslog简介 28 Syslog服务器的部署 29 10.1 内置syslogd的配置 29 10.2 配置基于linux的syslog-ng服务器 29 10.3 配置基于Windows的syslog服务器 30 10.4 路由器下syslog支持的配置 30 10.5 交换机下syslog支持的配置 31 10.6 PIX防火墙下syslog支持的配置 32 10.7 VPN Concentrator下syslog支持的配置 33 十一、 Cisco PIX 防火墙的问题集锦 33 11.1 如何允许外网用户Telnet至PIX的outside？ 33 11.2 我想通过在pix 515e 上进行设置使某些内网用户只能上一个特定的网站 34 11.3 请教pix515 acl 如何屏蔽一个网段？ 35 11.4 在515E中配置DHCP网关的命令是什么 36 11.5 pix能不能实现dmz和inside透明模式呢？ 36 11.6 如何配置PIX透明模式? 37 11.7 为什么ping不通515E的outside地址？ 37 11.8 pix515的问题 40 配置基础 用户接口 思科防火墙支持下列用户配置方式： Console，Telnet，SSH（1.x或者2.0，2.0为7.x新特性，PDM的http方式（7.x以后称为ASDM）和VMS的Firewall Management Center。 支持进入Rom Monitor模式，权限分为用户模式和特权模式，支持Help，History和命令输出的搜索和过滤。 注：Catalyst6500的FWSM没有物理接口接入，通过下面CLI命令进入： Switch# session slot slot processor 1 （FWSM所在slot号） 用户模式： Firewall 为用户模式，输入enable进入特权模式Firewall#。特权模式下可以进入配置模式，在6.x所有的配置都在一个全局模式下进行，7.x以后改成和IOS类似的全局配置模式和相应的子模式。通过exit，ctrl-z退回上级模式。 配置特性： 在原有命令前加no可以取消该命令。Show running-config 或者 write terminal显示当前配置，7.x后可以对show run 的命令输出进行搜索和过滤。Show running-config all显示所有配置，包含缺省配置。Tab可以用于命令补全，ctrl-l可以用于重新显示输入的命令（适用于还没有输入完命令被系统输出打乱的情况），help和history相同于IOS命令集。 Show命令支持 begin，include，exclude，grep 加正则表达式的方式对输出进行过滤和搜索。 Terminal width 命令用于修改终端屏幕显示宽度，缺省为80个字符，pager命令用于修改终端显示屏幕显示行数，缺省为24行，pager lines 0命令什么效果可以自己试试。 防火墙许可介绍 防火墙具有下列几种许可形式