思科防火墙配置命令详解

小蓝 • 2024-12-26 13:15 • 编程

一、基本配置

1、设置主机名：

firewall# configure terminal
firewall(config)# hostname myfirewall

2、设置域名：

firewall(config)# domain-name mycompany.com

3、设置密码：

firewall(config)# enable password mypassword

4、设置管理IP地址：

firewall(config)# interface management 0/0
firewall(config-if)# ip address 192.168.1.1 255.255.255.0

5、保存配置：

firewall# copy running-config startup-config

二、网络配置

1、设置IP地址和子网掩码：

firewall(config)# interface gigabitethernet 0/0
firewall(config-if)# ip address 192.168.0.1 255.255.255.0
firewall(config-if)# no shutdown

2、设置VLAN：

firewall(config)# interface gigabitethernet 0/0
firewall(config-if)# no shutdown
firewall(config-if)# switchport mode access
firewall(config-if)# switchport access vlan 10

3、设置防火墙地址：

firewall(config)# object-group network mynetworks
firewall(config-network)# network-object 192.168.0.0 255.255.255.0

三、防火墙策略

1、设置ACL：

firewall(config)# access-list outside-in permit tcp any host 192.168.0.1 eq www
firewall(config)# access-list outside-in permit tcp any host 192.168.0.1 eq smtp

2、设置NAT：

firewall(config)# global (outside) 1 interface
firewall(config)# nat (inside) 1 0.0.0.0 0.0.0.0

3、设置静态NAT：

firewall(config)# object network myserver
firewall(config-network)# host 192.168.0.2
firewall(config-network)# nat (inside,outside) static 1.2.3.4

4、设置动态NAT：

firewall(config)# object network mynetwork
firewall(config-network)# subnet 192.168.0.0 255.255.255.0
firewall(config-network)# nat (inside,outside) dynamic interface

四、VPN配置

1、设置IKE策略：

firewall(config)# crypto ikev2 policy 10
firewall(config-ikev2-policy)# encryption aes
firewall(config-ikev2-policy)# integrity sha256

2、设置IPSec策略：

firewall(config)# crypto ipsec ikev2 ipsec-proposal myproposal
firewall(config-ipsec-proposal)# protocol esp
firewall(config-ipsec-proposal)# encryption aes
firewall(config-ipsec-proposal)# integrity sha-256

3、设置VPN地址池：

firewall(config)# crypto ipsec ikev2 proposal myproposal
firewall(config-ikev2-proposal)# pool vpn-pool
firewall(config-ikev2-proposal)# network 192.168.10.0 255.255.255.0

4、设置VPN用户和密码：

firewall(config)# username vpnuser password vpnpass

五、日志和监控

1、启用日志：

firewall(config)# logging enable
firewall(config)# logging buffered 10000

2、设置SNMP：

firewall(config)# snmp-server community mycommunity RO

3、查看日志：

firewall# show logging

六、系统维护

1、升级：

firewall# copy tftp://192.168.0.10/asdf.bin disk0:
firewall# reload

2、恢复出厂设置：

firewall# write erase
firewall# reload

3、备份配置：

firewall# copy running-config tftp://192.168.0.10/config.cfg

七、其他配置

1、设置时区：

firewall(config)# clock timezone EST -5

2、设置DNS：

firewall(config)# dns domain-lookup inside
firewall(config)# dns server-group DefaultDNS
firewall(config-dns-sg)# name-server 8.8.8.8

3、设置邮件通知：

firewall(config)# mail-server 192.168.0.10
firewall(config)# mail-from firewall@mycompany.com
firewall(config)# mail-to admin@mycompany.com

原创文章，作者：小蓝，如若转载，请注明出处：https://www.506064.com/n/294058.html