思科 ASA 和 PIX 防火墙配置手册
根据互联网资料整理
By Mast
2007 年 11 月 9 日
思科 ASA 和 PIX 防火墙配置手册
目 录
第一章 配置基础............................................................................................................1
1.1 用户接口 ................................................................................................................................1
1.2 防火墙许可介绍 ....................................................................................................................2
1.3 初始配置 ................................................................................................................................2
第二章 配置连接性........................................................................................................3
2.1 配置接口 ................................................................................................................................3
2.2 配置路由 ................................................................................................................................5
2.3 DHCP.......................................................................................................................................6
2.4 组播的支持 ............................................................................................................................7
第三章 防火墙的管理....................................................................................................8
3.1 使用Security Context建立虚拟防火墙(7.x特性).............................................................8
3.2 管理Flash文件系统................................................................................................................9
3.3 管理配置文件 ......................................................................................................................10
3.4 管理管理会话 ......................................................................................................................10
3.5 系统重启和崩溃 ..................................................................................................................11
3.6 SNMP支持 ............................................................................................................................12
第四章 用户管理..........................................................................................................13
4.1 一般用户管理 ......................................................................................................................13
4.2 本地数据库管理用户 ..........................................................................................................13
4.3 使用AAA服务器来管理用户..............................................................................................14
4.4 配置AAA管理用户..............................................................................................................14
4.5 配置AAA支持用户Cut-Through代理 .................................................................................15
4.6 密码恢复 ..............................................................................................................................15
第五章 防火墙的访问控制..........................................................................................16
5.1 防火墙的透明模式 ..............................................................................................................16
思科 ASA 和 PIX 防火墙配置手册
5.2 防火墙的路由模式和地址翻译...........................................................................................17
5.3 使用ACL进行访问控制 ......................................................................................................20
第六章 配置Failover增加可用性 ................................................................................23
6.1 配置Failover.........................................................................................................................23
6.2 管理Failover.........................................................................................................................25
6.3 升级Failover模式防火墙的OS镜像 ....................................................................................25
第七章 配置负载均衡..................................................................................................26
7.1 配置软件实现 (只在 6500 native ios模式下).....................................................................26
7.2 配置硬件实现 ......................................................................................................................27
7.3 配置CSS实现 .......................................................................................................................29
第八章 日志管理..........................................................................................................30
8.1 时钟管理 ..............................................................................................................................30
8.2 日志配置 ..............................................................................................................................30
8.3 日志消息输出的微调 ..........................................................................................................32
8.4 日志分析 ..............................................................................................................................33
第九章 防火墙工作状态验证......................................................................................34
9.1 防火墙健康检查 ..................................................................................................................34
9.2 流经防火墙数据的监控 ......................................................................................................34
9.3 验证防火墙的连接性 ..........................................................................................................35
思科 ASA 和 PIX 防火墙配置手册
第一章 配置基础
1.1 用户接口
思科防火墙支持下列用户配置方式:
Console,Telnet,SSH(1.x 或者 2.0,2.0 为 7.x 新特性,PDM 的 http 方式(7.x
以后称为 ASDM)和 VMS 的 Firewall Management Center。
支持进入 Rom Monitor 模式,权限分为用户模式和特权模式,支持 Help,History
和命令输出的搜索和过滤。
注:Catalyst6500 的 FWSM(防火墙服务模块 Firewall Service Module)没有物理
接口接入,通过下面 CLI 命令进入:
Switch# session slot slot processor 1 (FWSM 所在 slot 号)
用户模式:
Firewall> 为用户模式,输入 enable 进入特权模式 Firewall#。特权模式下可以进
入配置模式,在 6.x 所有的配置都在一个全局模式下进行,7.x 以后改成和 IOS 类似的
全局配置模式和相应的子模式。通过 exit,ctrl-z 退回上级模式。
配置特性:
在原有命令前加 no 可以取消该命令。Show running-config 或者 write terminal 显
示当前配置,7.x 后可以对 show run 的命令输出进行搜索和过滤。Show running-config
all 显示所有配置,包含缺省配置。Tab 可以用于命令补全,ctrl-l 可以用于重新显示输
入的命令(适用于还没有输入完命令被系统输出打乱的情况),help 和 history 相同于
IOS 命令集。
Show 命令支持 begin,include,exclude,grep 加正则表达式的方式对输出进行
过滤和搜索。
Terminal width 命令用于修改终端屏幕显示宽度,缺省为 80 个字符,pager 命令
用于修改终端显示屏幕显示行数,缺省为 24 行,pager lines 0
命令什么效果可以自己试试。
第 1 页
思科 ASA 和 PIX 防火墙配置手册
1.2 防火墙许可介绍
防火墙具有下列几种许可形式,通过使用 show version 命令可以看设备所支持的
特性:
Unrestricted (UR) 所有的限制仅限于设备自身的性能,也支持 Failover
Restricted (R) 防火墙的内存和允许使用的最多端口数有限制,不支持 Failover
Failover (FO) 不能单独使用的防火墙,只能用于 Failover
Failover-Active/Active (FO-AA) 只能和 UR 类型的防火墙一起使用,支持
active/active failover
注:FWSM 内置 UR 许可。
activation-key 命令用于升级设备的许可,该许可和设备的 serial number 有关
(show version 输出可以看到),6.x 为 16 字节,7.x 为 20 字节。
1.3 初始配置
跟路由器一样可以使用 setup 进行对话式的基本配置。
第 2 页