1、命令行界面密码:Admin@123
2、web界面:默认 admin Admin@123
3、区域
默认区域:trust untrust dmz local
允许接口被ping :
配置安全策略:
4、向导配置
向导配置的参数:
① 区域规划
② 接口ip地址
③ 指向运营商的缺省路由
④ 基于源地址转换的NAT
⑤ 将默认的安全策略改为放行
③ 缺省路由器配置:
④ nat配置
⑤ 将默认的安全策略改为放行
5、防火墙转发原理
路由器:开启telnet
基于会话(状态)session 的转发。
首包 :建立会话的过程 去包
回包:基于会话回包
dis firewall session table 查看防火墙会话表
放行由trust到dmz的流量
更加精细化控制:
6、常见安全策略
7、源NAT 转换
8、端口映射(nat server)
将内网地址 172.16.1.2 的23端口 映射成公网地址202.1.1.1 的23端口。
注意:如果想检测由防火墙到服务器的连通性,需放行local到dmz的流量。
命令行:
9、SSH 远程管理防火墙
[FW]rsa local-key-pair create 产生用于加密的密钥对
防火墙需开启 ssh 服务并指定用户名和密码
客户端路由器: stelnet 192.168.1.1
首次登录必须重新更改密码,且要符合复杂度要求例如CCNPa1234 ,且不能使用历史密码。更改密码后会被踢出 然后重新登录。
注意 1 : ssh 只能使用用户名和密码的方式登录。
注意 2 :配置用户名和密码时千万不要加空格再回车。
10、允许防火墙对tracert 路径探测回显
tracert x.x.x.x 用于探测去往某目标经过的三层设备的个数。
tracert 原理:发送探测报文 ttl=1 (第一跳)ttl=2(第二跳)。。。依次类推 ,当中间的三
层设备收到ttl值等于1的报文时认为发生环路,报文无法继续转发。并回馈一个icmp 的报文通知源端。
探测报文
路由器回显报文:
注意:防火墙为了安全起见(不暴露自己的ip地址),默认情况下不处理ttl=1的探测报文,收到该报文后直接丢弃,且不会回应。因此tracert 时,会有 * * * 出现是多数是防火墙。
配置防火墙允许tracert 回显: icmp ttl-exceeded send
11、将防火墙配置成透明交换机
FW:
路由器 telnet 不认证登陆:
12、在防火墙上面配置vlan
将接口划分到不同的安全区域以实现精细化的管控:
例如 :只允许trust1<---->trust2 telnet 流量
13、将防火墙配置成三层核心交换机
然后可以基于svi1 和svi2 两个区域配置精细化的安全管控。
注意:如果想实现不同vlan的互访管控,可以将不同的三层svi接口加入到不同的安全区域,便于配置安全策略。
14、双机热备
基础配置:
配置完接口 ip
防火墙接口已规划区域
放行 local_to_any
防火墙接口都允许 ping
防火墙 vrrp 和路由器的不同:
防火墙 vrrp 需要解决的两个问题:
① 多个 vrrp 组同时切换 ( VGMP ,不需特殊配置自动加入 vgmp 组,多个 vrrp组 要切一起切)
② 安全策略配置和会话状态同步 (会话同步 HRP)
VRRP 配置:
FW1:
FW2:
HRP 配置:
FW1:
FW2:
注意:处于 standby 状态的设备不允许配置安全策略(可以其他的),只允许在主设备配置安全策略,且安全策略会自动同步到备设备上面。主设备 配置由 trust_to_untrust 放行策略+B 表示配置已经同步到备设备上面。
FW1 :
测试 1 : R1 ping R2 通信!! 可以做冗余性测试!!
测试 2 :去掉 HRP 看看配置安全策略是否还同步 (HRP 切换需要 1 分钟时间 有 standby-->master )
测试 3 : R1 telnet R2 查看两个 FW 的会话状态是否都有
注意:处于 standby 状态的设备不允许配置安全策略(可以其他的),只允许在主设备配置安全策略,且安全策略会自动同步到备设备上面。主设备 配置由 trust_to_untrust 放行策略+B 表示配置已经同步到备设备上面。
FW1 :
测试 1 : R1 ping R2 通信!! 可以做冗余性测试!!
测试 2 :去掉 HRP 看看配置安全策略是否还同步 (HRP 切换需要 1 分钟时间 有 standby-->master )
测试 3 : R1 telnet R2 查看两个 FW 的会话状态是否都有
15、双机热备web配置
努力学习,勤奋工作,让青春更加光彩
再长的路,一步步也能走完,再短的路,不迈开双脚也无法到达