透明防火墙
路由防火墙基于ip地址
透明防火墙基于mac地址
两个接口属于不同vlan,相同vlan.
透明防火墙好处
1.不需要ip地址变化
2.不需要nat配置
3.不需要路由
透明防火墙特点
1.3层流量要明确的放行,双向放行
2.每一个直连的网络必须同一个子网.只支持两个接口
3.管理的ip是必须的.需要和接口属于同一个网段
4.管理ip不能设置成为网关,
5.两个接口需要连接不通的vlan.
透明防火墙不支持
1.nat
2.动态路由协议
3.ipv6
4.dhcp relay
5.qos
6.mulicast
7.vpn终结
启动防火墙透明模式
fw1#show firewall(查看模式)
当从路由模式转换到透明模式所有路由模式下的配置全部清空.必须重启.
fw1(config)#firewall transparent转换为透明防火墙
fw1#ip address 10.0.1.1 255.255.255.0
fw1#showip address
透明防火墙基本实验:
switch:
vlan data
vlan 10
vlan 20
int range f0/3 , f0/20
sw mo acc
sw acc vlan 10
int ran f0/5 , f0/21
sw mo acc
sw acc vlan 20
r3:
int e0/0
ip add 10.1.1.3 255.255.255.0
no sh
r5:
int e0/0
ip add 10.1.1.5 255.255.255.0
no sh
pix:
firewall transparent
ip add 10.1.1.1 255.255.255.0
int e0
nameif outside
no sh
int e1
nameif inside
no sh
r3:
line vty 0 4
no login
r5:
router ospf 1
router-id 5.5.5.5
network 10.1.1.0 0.0.0.255 area 0
r3:
router ospf 1
router-id 3.3.3.3
network 10.1.1.0 0.0.0.255 area 0
pix:
access-list out permit ospf any any
access-group out in int outside
access-list in permit ospf any any
access-group in in inter inside
ethertype acls
fw1(config)#access-list ether ethertype permit ipx
fw1(config)#access-group ether in interface inside
fw1(config)#access-group ether in interface outside
pix:
access-list etherout ethertype permit ip
access-group etherout in interface outside
access-list etherin ethertype permit ipx
access-group etherin in inter inside
arp inspection
fw1(config)#arp outside 10.0.1.1 0009.7cbe.2100
fw1(config)#arp-inspection outside enable
pix:
show arp
arp outside 10.1.1.3 0004.4d86.b200
arp inside 10.1.1.5 0003.6b31.6140
arp-inspection inside enable[flood|no-flood允许泛红,默认泛红]
arp-inspection outside enable
透明防火墙监控
pix:
show mac-address-table
fw1(config)#mac-learn outside disable(禁用mac地址学习)
fw1(config)#mac-address-table static inside 0010.7cbe.6101
pix:
mac-learn outside disable
mac-learn inside disable
mac-address-table static outside0004.4d86.b200
mac-address-table static inside 0003.6b31.6140
show mac-address-table
fw1#debug arp-inspection
fw1#debug mac-address-table
pix:
access-list out permit tcp any any eq 23
虚拟防火墙
每一个虚拟防火墙有自己的配置文件,防火墙有系统的配置文件system config.虚拟防火墙的配置文件
包的分类
每个包抵达防火墙,防火墙应该知道包去往那个防火墙,源接口和目的地址,通过vlan,你能共享vlan接口一样的ip地址到vlan独立,你能重复ip地址一样的vlan.
配置多模防火墙
两类防火墙配置文件系统配置文件和虚拟防火墙配置文件,他会把原始的配置文件备份为old_running.cfg.
管理防火墙
多模防火墙必须有一个管理的防火墙,用于做网管,可以对整个防火墙网管,主防火墙主要用来划分虚拟防火墙,主防火墙是没有ip地址的,划分接口,网管防火墙改变系统配置,当用户登陆到管理防火墙可以进入系统防火墙和虚拟防火墙,当进入虚拟防火墙不能进入其他防火墙.管理防火墙可以作为正常防火墙使用.默认支持2个虚拟防火墙,说的是非管理的,一个防火墙模拟3个防火墙的效果.
fw1(config)#show mode(查看防火墙模式)
fw1(config)#mode multiple(需要重启)
实验:
pix:
mode multiple
no firewall transparent
admin-context admin
dir
delete flash:c1.cfg
delete flash:c2.cfg
delete flash:admin.cfg
admin-context admin
context admin
config-url flash:/admin.cfg
changeto context admin
changteto system
int e0
no sh
int e1
no sh
int e0.2
vlan 2
int e0.4
vlan 4
int e0.5
vlan 5
int e0.6
vlan 6
context admin
allocate-interface e1
allocate-interface e0.4-e0.5
context vir
config-url flash:/vir.cfg
allocate-interface e0.6
allocate-interface e1
context fw
config-url flash:/fw.cfg
allocate-interface e1
allocate-interface e0.2
changeto context admin
int e1
nameif outside
ip add 218.18.100.251 255.255.255.0
int e0.4
nameif dmz
security-level 50
ip add 192.168.4.251 255.255.255.0
int e0.5
nameif inside
ip add 192.168.5.251 255.255.255.0
change context admin
wr(保存后flash的配置文件才会出现)
changeto context vir
int e0.6
nameif inside
ip add 192.168.6.252 255.255.255.0
int e1
nameif outside
ip add 218.18.100.252 255.255.255.0
changeto context fw
int e0.2
nameif outside
ip add 202.100.2.253 255.255.255.0
int e1
nameif inside
ip add 218.18.100.253 255.255.255.0
changeto system
show context detail(查看详细接口关联)
show context count(查看防火墙数量)
changeto context admin
nat (inside) 1 192.168.5.0 255.255.255.0
global (outside) 1 218.18.100.101
admin.inR5:
ip route 0.0.0.0 0.0.0.0 192.168.5.251
OutR3:
line vty 0 15
no login
privilege level 15
pix:
static (dmz,outside) 218.18.100.102 192.168.4.4
Admin.dmzR4:
line vty 0 15
no login
privilege level 15
pix:
access-list out permit tcp any host 218.18.100.102 eq 23
access-group out in interface outside
Admin.dmzR4
ip route 0.0.0.0 0.0.0.0 192.168.4.251
changeto context vir
Vir.inR6:
ip route 0.0.0.0 0.0.0.0 192.168.6.252
OutR3:
ip route 192.168.6.0 255.255.255.0 218.18.100.252
share 接口解决方法:
1.做global或者static
pix:
global (outside) 100(任意一个值) 192.168.6.6(没有nat)
静态转换
changeto context fw
OutR3:
ip route 202.100.2.0 255.255.255.0 218.18.100.253
InternetR2:
ip route 0.0.0.0 0.0.0.0 202.100.2.253
pix:
global (inside) 100 202.100.2.2
2.改mac地址
changeto context admin
int e1
mac-address 0050.1111.1111
changeto context vir
int e1
mac-address 0050.2222.2222
changeto context fw
mac-address 0050.3333.3333
clear configure global
changeto context vir
clear configure global
3.auto mac
网管
telnet 0 0 inside(默认登录密码cisco)
changeto context admin
telnet 0 0 inside
passwd smoke
failover高可用性
hardware普通的failover
1.链接项丢失
2.client应用必须重链接
3.提供硬件冗余
4.通过串行lan-based故障切换
状态化的failover
1.tcp链接是保存的
2.client应用不需要重新链接
3.提供冗余有状态连接
4.提供有状态连接
active/standby
active/active
failover要求
1.同样的型号和软件
2.一样软件版本
3.一样的des和3des licensing
4.一样的内存和ram
5.适当的licensing
6.版本最少7.0,软件版本没必要完全相同
failover接口
测试网络接口本身up/down
网络活动测试
arp测试
广播ping测试
failover链路类型
cable-based(专门的cable线)
lan-based
stateful
cable线配置步骤
1.物理连接
2.连接cable线,cable线一端写primary,一段写secondary.primary插到主防火墙,secondary插到备防火墙.
3.配置主防火墙保存配置
4.然后再开机secondary防火墙
配置:
fw2(config)#failover
fw2(config)#int e0
fw2(config-if)#ip add 192.168.2.2 255.255.255.0 standby 192.168.2.7
fw2(config)#int e1
fw2(config-if)#ip add 10.0.2.1 255.255.255.0 standby 10.0.2.7
fw2(config)#failover polltime unit 10
fw2#show failover
fw2#wr standby(保存备份防火墙配置)
fw2#failover active(抢占主防火墙)
lan-based failover
1.通过网线连接支持远距离
2.使用一个以太网线缆而不是failover cabler
3.需要一个专门的局域网接口,但相同的接口可以用于有状态的故障转移.
4.需要专门的交换机,hub,连接这两个接口,或者vlan.
5.使用消息加密和身份验证以确保故障转移传输.
lan-based failover配置步骤
1.安装一个lan-based failover连接之间主防火墙和备防火墙.
2.配置这个主防火墙
3.配置这个主防火墙状态failover,
4.保存主防火墙
5.开启备用防火墙开关
6.配置备用防火墙.
7.保存备用防火墙配置到flash
8.连接备用lan failover接口道网络
9.重启备用防火墙
fw1(config)#int e0
fw1(config-if)#ip add 192.168.2.2 255.255.255.0 standby 192.168.2.7
fw1(config)#int e1
fw1(config-if)#ip add 10.0.21 255.255.255.0 standby 10.0.2.7
fw1(config)#int e2
fw1(config-if)#ip add 172.16.2.1 255.255.255.0 standby 172.16.2.7
fw2(config)#int e3
fw2(config-if)#no shut
fw2(config)#failover lan int lanfail eth 3
fw2(config)#failover int ip lanfail 172.17.2.1 255.255.255.0 standby 172.17.2.7
fw2(config)#failover lan enable
fw2(config)#failover lan unit primary
fw2(config)#failover key 1234567
fw2(config)#failover
fw1(config)#int e3
fw1(config-if)#no sh
fw1(config)#failover lan interface lanpail e3
fw1(config)#failover int ip lanfail 172.17.2.1 255.255.255.0 standby 172.17.2.7
fw1(config)#failover lan unit secondary
fw1(config)#failover lan key 1234567
fw1(config)#failover lan enable
fw1(config)#failover
fw1(config)#show failover
fw2(config)#failover mac address ethernet0 00a0.c989.e481 00a0.c969.c7f1
fw2(config)#failover mac address ethernet1 00a0.c976.cde5 00a0.c922.9176
active/active failover
要使用多模式
ctx1在a为active,在b为standby
ctx2在a为standby,在b为active
fw2(config)#int e2
fw2(config-if)#no sh
fw2(config)#failover lan interface lanfail eth2
fw2(config)#failover interface ip lanfail 172.17.1.1 255.255.255.0 standby 172.17.1.7
fw2(config)#failover lan enable
fw2(config)#failover link lanfail eth2
fw2(config)#failover lan key 1234567
fw2(config)#failover group 1
fw2(config-fover-group)#primary
fw2(config)#failover group 2
fw2(config-fover-group)#secondary
fw2(config)#context ctx1
fw2(config-ctx)#allocate-interface e0
fw2(config-ctx)#allocate-interface e1
fw2(config-ctx)#config-url flash:/ctx1.cfg
fw2(config-ctx)#join-failover-group 1
fw2(config)#context ctx2
fw2(config-ctx)#allocate-interface e3
fw2(config-ctx)#allocate-interface e4
fw2(config-ctx)#config-url flash:/ctx2.cfg
fw2(config-ctx)#join-failover-group 2
fw2(config)#changeto context ctx1
fw2/ctx1(config)#int e0
fw2/ctx1(config-if)#ip add 192.168.1.2 255.255.255.0 standby 192.168.1.7
fw2/ctx1(config-if)#nameif outside
fw2/ctx1(config-if)#exit
fw2/ctx1(config)#int e1
fw2/ctx1(config-if)#ip add 10.0.1.1 255.255.255.0 standby 10.0.17
fw2/ctx1(config-if)#nameif inside
fw2/ctx1(config-if)#exit
fw2#show faliover
fw2(config)#failover active group2
device manager(adsm网管)
基于https,端口号tcp 443
需要java支持
需要浏览器支持ssl
原来叫pdm
最大支持5个sessions(单模)
最大支持32个sessions(多模)
asdm不支持版本5.0的501,506
需要支持des或者3des
pix(config)#copy tftp:1.1.1.1/asdm-522.bin flash:
pix(config)#asdm image flash:/admin-522.bin
pix(config)#show version
pix(config)#http server enable
pix(config)#crypto key generate rsa general-keys
pix(config)#http 0 0 inside
pix(config)#aaa authentication http console LOCAL
pix(config)#username cisco password cisco privilege 15
fw1(config)#telnet 10.0.0.11 255.255.255.255 inside
fw1(config)#telnet timeout 15
fw1(config)#passwd telnetpass