1、命令行界面密码：Admin@123

 [  ]web-manager enable  开启web 界面管理

2、web界面：默认 admin   Admin@123

3、区域

默认区域：trust   untrust  dmz   local

firewall zone trustadd   int   gi  1/0/0  将接口加入trust 区域

允许接口被ping ：

int  gi 1/0/0service-manage ping  permit

配置安全策略：

local_anysecurity-policy rule name local_any  source-zone local  destination-zone  any  action permit

4、向导配置

向导配置的参数：

① 区域规划

② 接口ip地址

③ 指向运营商的缺省路由

④ 基于源地址转换的NAT

⑤ 将默认的安全策略改为放行

③ 缺省路由器配置：

ip   route-s    0.0.0.0   0   202.1.1.2

④ nat配置

nat-policy rule name trust_ISP  source-zone trust  egress-interface GigabitEthernet1/0/2  action nat easy-ip

⑤ 将默认的安全策略改为放行

security-policydefault action permit

5、防火墙转发原理

路由器：开启telnet

user-interface vty 0  4   authentication-mode  password   user privilege level 3   set authentication password simple 123

基于会话(状态)session 的转发。

首包 ：建立会话的过程  去包

回包：基于会话回包

dis  firewall session  table 查看防火墙会话表

放行由trust到dmz的流量

security-policy rule name trust_dmz  source-zone trust  destination-zone dmz  action permit

更加精细化控制：

security-policy rule name trust_dmz  source-zone trust  destination-zone dmz  source-address 192.168.1.0 24  destination-address 172.16.1.2 32  service telnet  service icmp  action permit

6、常见安全策略

7、源NAT 转换

8、端口映射(nat server)

将内网地址 172.16.1.2 的23端口 映射成公网地址202.1.1.1 的23端口。

注意：如果想检测由防火墙到服务器的连通性，需放行local到dmz的流量。

命令行：

nat server   aa  0 zone untrustprotocol tcp global 202.1.1.1  23  inside172.16.1.2   23  no-reverse

9、SSH 远程管理防火墙

[FW]rsa local-key-pair create  产生用于加密的密钥对

int gi 1/0/0    service-manage  ssh  permituser-interface vty 0 4 authentication-mode aaa protocol inbound sshaaa   manager-user xiaoge   password cipher Xiaoge123   service-type ssh   level 15

防火墙需开启 ssh  服务并指定用户名和密码

stelnet server enablessh user xiaogessh user xiaoge authentication-typepasswordssh user xiaoge service-type stelnet

客户端路由器： stelnet 192.168.1.1

首次登录必须重新更改密码，且要符合复杂度要求例如CCNPa1234 ，且不能使用历史密码。更改密码后会被踢出 然后重新登录。

注意 1 ： ssh  只能使用用户名和密码的方式登录。

注意 2 ：配置用户名和密码时千万不要加空格再回车。

10、允许防火墙对tracert 路径探测回显

tracert   x.x.x.x  用于探测去往某目标经过的三层设备的个数。

tracert 原理：发送探测报文 ttl=1 (第一跳)ttl=2(第二跳)。。。依次类推 ，当中间的三

层设备收到ttl值等于1的报文时认为发生环路，报文无法继续转发。并回馈一个icmp 的报文通知源端。

探测报文

路由器回显报文：

注意：防火墙为了安全起见(不暴露自己的ip地址)，默认情况下不处理ttl=1的探测报文，收到该报文后直接丢弃，且不会回应。因此tracert  时，会有 *   *   *  出现是多数是防火墙。

配置防火墙允许tracert 回显： icmp ttl-exceeded  send

11、将防火墙配置成透明交换机

FW:

int gi 1/0/0     portswitch   将防火墙接口配置为交换机接口     port link-type access

路由器 telnet 不认证登陆：

user-interface vty 0 4 authentication-mode none user privilege level 3

12、在防火墙上面配置vlan

vlan 10int gi 1/0/0     portswitch   将防火墙接口配置为交换机接口     port   link-type access     port   default  vlan  10

将接口划分到不同的安全区域以实现精细化的管控：

例如 ：只允许trust1trust2  telnet 流量

13、将防火墙配置成三层核心交换机

然后可以基于svi1 和svi2 两个区域配置精细化的安全管控。

注意：如果想实现不同vlan的互访管控，可以将不同的三层svi接口加入到不同的安全区域，便于配置安全策略。

14、双机热备 

基础配置：

配置完接口 ip

防火墙接口已规划区域

放行 local_to_any

防火墙接口都允许 ping

防火墙 vrrp  和路由器的不同：

防火墙 vrrp  需要解决的两个问题：

① 多个 vrrp 组同时切换 ( VGMP ，不需特殊配置自动加入 vgmp 组，多个 vrrp组 要切一起切)

② 安全策略配置和会话状态同步 (会话同步 HRP)

VRRP 配置：

FW1:

int gi1/0/0vrrp vrid 1 virtual-ip 192.168.1.1 activeint gi 1/0/1vrrp vrid 2 virtual-ip 202.1.1.1 active

FW2:

int gi 1/0/0vrrp vrid 1 virtual-ip 192.168.1.1 standbyint gi 1/0/1vrrp vrid 2 vritual-ip 202.1.1.1 standby

HRP 配置：

FW1:

hrp enablehrp interface gi1/0/6 remote 172.16.1.253

FW2:

hrp enablehrp standby-devicehrp int gi 1/0/6 remote 172.16.1.254

注意：处于 standby  状态的设备不允许配置安全策略(可以其他的)，只允许在主设备配置安全策略，且安全策略会自动同步到备设备上面。主设备 配置由 trust_to_untrust  放行策略+B  表示配置已经同步到备设备上面。

FW1 ：

security-policyrule name trust_to_untrustsource-zone trustdestination-zone untrustaction permit

测试 1 ： R1 ping R2 通信！！ 可以做冗余性测试！！

测试 2 ：去掉 HRP  看看配置安全策略是否还同步 (HRP 切换需要 1 分钟时间 有 standby-->master )

测试 3 ： R1 telnet R2 查看两个 FW 的会话状态是否都有

注意：处于 standby  状态的设备不允许配置安全策略(可以其他的)，只允许在主设备配置安全策略，且安全策略会自动同步到备设备上面。主设备 配置由 trust_to_untrust  放行策略+B  表示配置已经同步到备设备上面。

FW1 ：

security-policyrule name trust_to_untrustsource-zone trustdestination-zone untrustaction permit

测试 1 ： R1 ping R2 通信！！ 可以做冗余性测试！！

测试 2 ：去掉 HRP  看看配置安全策略是否还同步 (HRP 切换需要 1 分钟时间 有 standby-->master )

测试 3 ： R1 telnet R2 查看两个 FW 的会话状态是否都有

15、双机热备web配置

努力学习，勤奋工作，让青春更加光彩

再长的路，一步步也能走完，再短的路，不迈开双脚也无法到达