思科防火牆如何配置inside

Ⅰ 思科防火牆怎樣配置WEB界面

思科防火牆telnet、ssh、web登陸配置及密碼配置，相關命令如下：
防火牆默認是不允許內/外網用戶通過遠程登陸或WEB訪問的，需要相應得開啟功能。
1、firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允許內網此網斷內的機器Telnet到防火牆
2、配置從外網遠程登陸到防火牆
Firewall（config）#domain-name cisco.com
firewall（config）# crypto key generate rsa
firewall（config）#ssh 0.0.0.0 0.0.0.0 outside
3、允許外網所有地址可以遠程登錄防火牆，也可以定義一格具體的地址可以從外網登陸到防火牆上，如：
firewall（config）#ssh 218.240.6.81 255.255.255.255 outside
firewall（config）#enable password cisco
4、由用戶模式進入特權模式的口令
firewall（config）#passrd cisco
5、ssh遠程登陸時用的口令
firewall（config）#username Cisco password Cisco
6、Web登陸時用到的用戶名
firewall（config）#http enable
7、打開http允許內網10網斷通過http訪問防火牆
firewall（config）#http 192.168.10.0 255.255.255.0 inside
firewall（config）#pdm enable
firewall（config）#pdm location 192.168.10.0 255.255.255.0 inside
8、web登陸方式：https://172.16.1.1

Ⅱ 如何配置防火牆

1、nameif

設置介面名稱，並指定安全級別，安全級別取值范圍為1～100，數字越大安全級別越高。
使用命令：

PIX525(config)#

PIX525(config)#

PIX525(config)#nameifethernet2dmzsecurity50

2、interface

配置以太口工作狀態，常見狀態有：auto、100full、shutdown。

auto：設置網卡工作在自適應狀態。

100full：設置網卡工作在100Mbit/s，全雙工狀態。

shutdown：設置網卡介面關閉，否則為激活。

命令：

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#

3、ipaddress

配置網路介面的IP地址
4、global

指定公網地址范圍：定義地址池。

Global命令的配置語法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外網介面名稱，一般為outside。

nat_id：建立的地址池標識(nat要引用)。

ip_address-ip_address：表示一段ip地址范圍。

[netmarkglobal_mask]：表示全局ip地址的網路掩碼。
5、nat

地址轉換命令，將內網的私有ip轉換為外網公網ip。
6、route

route命令定義靜態路由。

語法：

route(if_name)00gateway_ip[metric]
7、static

配置靜態IP地址翻譯，使內部地址與外部地址一一對應。

語法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit

管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法：

conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL

訪問控制列表的命令與couit命令類似
10、偵聽命令fixup

作用是啟用或禁止一個服務或協議，

通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet

當從外部介面要telnet到PIX防火牆時，telnet數據流需要用vpn隧道ipsec提供保護或

在PIX上配置SSH，然後用SSHclient從外部到PIX防火牆。
12、顯示命令：

showinterface；查看埠狀態。

showstatic；查看靜態地址映射。

showip；查看介面ip地址。

showconfig；查看配置信息。

showrun；顯示當前配置信息。

writeterminal；將當前配置信息寫到終端。

showcpuusage；顯示CPU利用率，排查故障時常用。

showtraffic；查看流量。

showblocks；顯示攔截的數據包。

showmem；顯示內存

13、DHCP服務

PIX具有DHCP服務功能。

Ⅲ 思科 501 防火牆的配置問題

硬體防火牆，是網路間的牆，防止非法侵入，過濾信息等，從結構上講，簡單地說是一種PC式的電腦主機加上快閃記憶體（Flash）和防火牆操作系統。它的硬體跟共控機差不多，都是屬於能適合24小時工作的，外觀造型也是相類似。快閃記憶體基本上跟路由器一樣，都是那中EEPROM，操作系統跟Cisco IOS相似,都是命令行（Command）式。

我第一次親手那到的防火牆是Cisco Firewall Pix 525，是一種機架式標准（即能安裝在標準的機櫃里），有2U的高度，正面看跟Cisco 路由器一樣，只有一些指示燈，從背板看，有兩個以太口（RJ-45網卡）,一個配置口（console）,2個USB,一個15針的Failover口，還有三個PCI擴展口。

如何開始Cisco Firewall Pix呢？我想應該是跟Cisco 路由器使用差不多吧，於是用配置線從電腦的COM2連到PIX 525的console口，進入PIX操作系統採用windows系統里的「超級終端」，通訊參數設置為默然。初始使用有一個初始化過程，主要設置：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網卡IP地址)、domain(主域)等，如果以上設置正確，就能保存以上設置，也就建立了一個初始化設置了。

進入Pix 525採用超級用戶(enable),默然密碼為空，修改密碼用passwd 命令。一般情況下Firewall配置，我們需要做些什麼呢？當時第一次接觸我也不知道該做些什麼，隨設備一起來的有《硬體的安裝》和《命令使用手冊》。我首先看了命令的使用，用於幾個小時把幾百面的英文書看完了，對命令的使用的知道了一點了，但是對如何配置PIX還是不大清楚該從何入手，我想現在只能去找cisco了,於是在www.cisco.com下載了一些資料，邊看邊實踐了PIX。

防火牆是處網路系統里，因此它跟網路的結構密切相關，一般會涉及的有Route(路由器)、網路IP地址。還有必須清楚標準的TCP[RFC793]和UDP[RFC768]埠的定義。

下面我講一下一般用到的最基本配置

1、 建立用戶和修改密碼

跟Cisco IOS路由器基本一樣。

2、 激活以太埠

必須用enable進入，然後進入configure模式

PIX525>enable

Password:

PIX525#config t

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 auto

在默然情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside, inside在初始化配置成功的情況下已經被激活生效了，但是outside必須命令配置激活。

3、 命名埠與安全級別

採用命令nameif

PIX525(config)#nameif ethernet0 outside security0

PIX525(config)#nameif ethernet0 outside security100

security0是外部埠outside的安全級別（0安全級別最高）

security100是內部埠inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個網卡組成多個網路，一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)。

4、 配置以太埠IP 地址

採用命令為：ip address

如：內部網路為：192.168.1.0 255.255.255.0

外部網路為：222.20.16.0 255.255.255.0

PIX525(config)#ip address inside 192.168.1.1 255.255.255.0

PIX525(config)#ip address outside 222.20.16.1 255.255.255.0

5、 配置遠程訪問[telnet]

在默然情況下，PIX的以太埠是不允許telnet的，這一點與路由器有區別。Inside埠可以做telnet就能用了,但outside埠還跟一些安全配置有關。

PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside

PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside

測試telnet

在[開始]->[運行]

telnet 192.168.1.1

PIX passwd:

輸入密碼：cisco

6、 訪問列表(access-list)

此功能與Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個功能，網路協議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問主機:222.20.16.254的www,埠為：80

PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www

PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 in interface outside

7、 地址轉換（NAT）和埠轉換(PAT)

NAT跟路由器基本是一樣的，

首先必須定義IP Pool，提供給內部IP地址轉換的地址段，接著定義內部網段。

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0

如果是內部全部地址都可以轉換出去則：

PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0

則某些情況下，外部地址是很有限的，有些主機必須單獨佔用一個IP地址，必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時共享一個IP,有點像代理伺服器一樣的功能。配置如下：

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0

PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0

8、 DHCP Server

在內部網路，為了維護的集中管理和充分利用有限IP地址，都會啟用動態主機分配IP地址伺服器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.168.1.200

DNS: 主202.96.128.68 備202.96.144.47

主域名稱：abc.com.cn

DHCP Client 通過PIX Firewall

PIX525(config)#ip address dhcp

DHCP Server配置

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

PIX525(config)#dhcp domain abc.com.cn

9、 靜態埠重定向(Port Redirection with Statics)

在PIX 版本6.0以上，增加了埠重定向的功能，允許外部用戶通過一個特殊的IP地址/埠通過Firewall PIX 傳輸到內部指定的內部伺服器。這種功能也就是可以發布內部WWW、FTP、Mail等伺服器了，這種方式並不是直接連接，而是通過埠重定向，使得內部伺服器很安全。

命令格式：

static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]

static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]

!----外部用戶直接訪問地址222.20.16.99 telnet埠，通過PIX重定向到內部主機192.168.1.99的telnet埠（23）。

PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.99 FTP，通過PIX重定向到內部192.168.1.3的FTP Server。

PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.208 www(即80埠)，通過PIX重定向到內部192.168.123的主機的www(即80埠)。

PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.201 HTTP(8080埠)，通過PIX重定向到內部192.168.1.4的主機的www(即80埠)。

PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.5 smtp(25埠)，通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25埠)

PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0

10、顯示與保存結果

採用命令show config

保存採用write memory

今天我們來介紹pix防火牆的一些高級配置。

配置靜態IP地址翻譯（static）：

如果從外網發起一個會話，會話的目的地址是一個內網的ip地址，static就把內部地址翻譯成一個指定的全局地址，允許這個會話建立。

static命令配置語法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address，其中internal_if_name表示內部網路介面，安全級別較高。如inside.。external_if_name為外部網路介面，安全級別較低，如outside等。

outside_ip_address為正在訪問的較低安全級別的介面上的ip地址。inside_ ip_address為內部網路的本地ip地址。 示例語句如下：

Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8

ip地址為192.168.0.8的主機，對於通過pix防火牆建立的每個會話，都被翻譯成61.144.51.62這個全局地址，也可以理解成 static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。PIX將把192.168.0.8映射為61.144.51.62以便NAT更好的工作。

小提示：

使用static命令可以讓我們為一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠為具有較低安全級別的指定介面創建一個入口，使它們可以進入到具有較高安全級別的指定介面。
管道命令（conit）：

使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射，但從外部到內部介面的連接仍然會被pix防火牆的自適應安全演算法 (ASA)阻擋，conit命令用來允許數據流從具有較低安全級別的介面流向具有較高安全級別的介面，例如允許從外部到DMZ或內部介面的入方向的會話。

對於向內部介面的連接，static和conit命令將一起使用，來指定會話的建立。說得通俗一點管道命令（conit）就相當於以往CISCO設備的訪問控制列表（ACL）。

conit命令配置語法：

conit permit|deny global_ip port[-port] protocol foreign_ip [netmask]，其中permit|deny為允許|拒絕訪問，global_ip指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0；如果global_ip是一台主機，就用host命令參數。

port指的是服務所作用的埠，例如www使用80，smtp使用25等等，我們可以通過服務名稱或埠數字來指定埠。protocol指的是連接協議，比如：TCP、UDP、ICMP等。foreign_ip表示可訪問global_ip的外部ip。對於任意主機可以用any表示。如果 foreign_ip是一台主機，就用host命令參數。示例語句如下：

Pix525(config)#conit permit tcp host 192.168.0.8 eq www any

表示允許任何外部主機對全局地址192.168.0.8的這台主機進行http訪問。其中使用eq和一個埠來允許或拒絕對這個埠的訪問。Eq ftp就是指允許或拒絕只對ftp的訪問。

Pix525(config)#conit deny tcp any eq ftp host 61.144.51.89

設置不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。

Pix525(config)#conit permit icmp any any

設置允許icmp消息向內部和外部通過。

Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conit permit tcp host 61.144.51.62 eq www any

這兩句是將static和conit語句結合而生效的，192.168.0.3在內網是一台web伺服器，現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射把內部IP192.168.0.3轉換為全局IP61.144.51.62，然後利用conit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。

小提示：

對於上面的情況不使用conit語句設置容許訪問規則是不可以的，因為默認情況下PIX不容許數據包主動從低安全級別的埠流向高安全級別的埠。

配置fixup協議：

fixup命令作用是啟用，禁止，改變一個服務或協議通過pix防火牆，由fixup命令指定的埠是pix防火牆要偵聽的服務。示例例子如下：

Pix525(config)#fixup protocol ftp 21

啟用ftp協議，並指定ftp的埠號為21

Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080

為http協議指定80和1080兩個埠。

Pix525(config)#no fixup protocol smtp 80

禁用smtp協議。
設置telnet：

在pix5.0之前只能從內部網路上的主機通過telnet訪問pix。在pix 5.0及後續版本中，可以在所有的介面上啟用telnet到pix的訪問。當從外部介面要telnet到pix防火牆時，telnet數據流需要用 ipsec提供保護，也就是說用戶必須配置pix來建立一條到另外一台pix，路由器或vpn客戶端的ipsec隧道。另外就是在PIX上配置SSH，然後用SSH client從外部telnet到PIX防火牆。

我們可以使用telnet語句管理登錄PIX的許可權，telnet配置語法：telnet local_ip [netmask] local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項，pix的配置方式只能由console進行。也就是說默認情況下只有通過 console口才能配置PIX防火牆。

小提示：

由於管理PIX具有一定的危險性，需要的安全級別非常高，所以不建議大家開放提供外網IP的telnet管理PIX的功能。如果實際情況一定要通過外網IP管理PIX則使用SSH加密手段來完成。

Ⅳ 思科ASA5505防火牆配置問題

建議你到ITAA學習組上問問。他們應該會給你一個滿意的回答的。

Ⅳ cisco防火牆配置的基本配置

激活以太埠必須用enable進入，然後進入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默認情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside,
inside在初始化配置成功的情況下已經被激活生效了，但是outside必須命令配置激活。 採用命令nameif
PIX525(config)#nameif ethernet0 outside security0
security100
security0是外部埠outside的安全級別（100安全級別最高）
security100是內部埠inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個網卡組成多個網路，一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)。 採用命令為：ip address
如：內部網路為：192.168.1.0 255.255.255.0
外部網路為：222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0 在默然情況下，PIX的以太埠是不允許telnet的，這一點與路由器有區別。Inside埠可以做telnet就能用了,但outside埠還跟一些安全配置有關。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
測試telnet
在[開始]->[運行]
telnet 192.168.1.1
PIX passwd:
輸入密碼：cisco 此功能與Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個功能，網路協議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問主機:222.20.16.254的www,埠為：80
PIX525(config)#access-list 100permit ip any host 222.20.16.254 eq www
deny ip any any
PIX525(config)#access-group 100 in interface outside NAT跟路由器基本是一樣的，
首先必須定義IP Pool，提供給內部IP地址轉換的地址段，接著定義內部網段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (inside) 1 192.168.0.0 255.255.255.0
如果是內部全部地址都可以轉換出去則：
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0
則某些情況下，外部地址是很有限的，有些主機必須單獨佔用一個IP地址，必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時共享一個IP,有點像代理伺服器一樣的功能。配置如下：
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask
255.255.255.0
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 在內部網路，為了維護的集中管理和充分利用有限IP地址，都會啟用動態主機分配IP地址伺服器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.1.200
DNS: 主202.96.128.68 備202.96.144.47
主域名稱：
DHCP Client 通過PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain 靜態埠重定向(Port Redirection with Statics)
在PIX 版本6.0以上，增加了埠重定向的功能，允許外部用戶通過一個特殊的IP地址/埠通過Firewall PIX
傳輸到內部指定的內部伺服器。這種功能也就是可以發布內部WWW、FTP、Mail等伺服器了，這種方式並不是直接連接，而是通過埠重定向，使得內部伺服器很安全。
命令格式：
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用戶直接訪問地址222.20.16.99
telnet埠，通過PIX重定向到內部主機192.168.1.99的telnet埠（23）。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.99
FTP，通過PIX重定向到內部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.208
www(即80埠)，通過PIX重定向到內部192.168.123的主機的www(即80埠)。
www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.201
HTTP(8080埠)，通過PIX重定向到內部192.168.1.4的主機的www(即80埠)。
8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.5
smtp(25埠)，通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25埠)
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0 顯示命令show config
保存命令write memory

Ⅵ CISCO ASA5510防火牆 如何配置指定內部IP上外網，我是新手，請舉例最好

首先你要配置一下全局的NAT，然後配置策略，方向是inside->outside，源是any，目標是any，最後別忘了在核心交換機和防火牆上各加一個默認路由指向外網，防火牆具體命令你可以度娘，流程就是上面這樣。

Ⅶ cisco asa5512防火牆埠映射，求配置方法，我是小白，最好詳細點！

這個要注意幾點：1、IOS版本號不同命令不同；2、定義好介面安全級別（一般內網inside，外網outside，對多伺服器在DMZ區，下面配置是以伺服器在inside為例）；3、做完映射後是外網訪問內網，即安全級別是0-100，默認不通，要放行安全策略。

object network server
host 192.168.100.101
nat(inside,outside) static 180.166.250.234 service tcp 80
nst(inside,outside) static 180.166.250.234 service tcp 1433 1433
access-list out rule 10 permit tcp any host 192.168.100.101 eq 80
access-list out rule 20 permit tcp any host 192.168.100.101 eq 1433
將ACL out應用在外網介面上inbound方向。