思科防火牆配置命令詳解

一、基本配置

1、設置主機名：

firewall# configure terminal
firewall(config)# hostname myfirewall

2、設置域名：

firewall(config)# domain-name mycompany.com

3、設置密碼：

firewall(config)# enable password mypassword

4、設置管理IP地址：

firewall(config)# interface management 0/0
firewall(config-if)# ip address 192.168.1.1 255.255.255.0

5、保存配置：

firewall# copy running-config startup-config

二、網路配置

1、設置IP地址和子網掩碼：

firewall(config)# interface gigabitethernet 0/0
firewall(config-if)# ip address 192.168.0.1 255.255.255.0
firewall(config-if)# no shutdown

2、設置VLAN：

firewall(config)# interface gigabitethernet 0/0
firewall(config-if)# no shutdown
firewall(config-if)# switchport mode access
firewall(config-if)# switchport access vlan 10

3、設置防火牆地址：

firewall(config)# object-group network mynetworks
firewall(config-network)# network-object 192.168.0.0 255.255.255.0

三、防火牆策略

1、設置ACL：

firewall(config)# access-list outside-in permit tcp any host 192.168.0.1 eq www
firewall(config)# access-list outside-in permit tcp any host 192.168.0.1 eq smtp

2、設置NAT：

firewall(config)# global (outside) 1 interface
firewall(config)# nat (inside) 1 0.0.0.0 0.0.0.0

3、設置靜態NAT：

firewall(config)# object network myserver
firewall(config-network)# host 192.168.0.2
firewall(config-network)# nat (inside,outside) static 1.2.3.4

4、設置動態NAT：

firewall(config)# object network mynetwork
firewall(config-network)# subnet 192.168.0.0 255.255.255.0
firewall(config-network)# nat (inside,outside) dynamic interface

四、VPN配置

1、設置IKE策略：

firewall(config)# crypto ikev2 policy 10
firewall(config-ikev2-policy)# encryption aes
firewall(config-ikev2-policy)# integrity sha256

2、設置IPSec策略：

firewall(config)# crypto ipsec ikev2 ipsec-proposal myproposal
firewall(config-ipsec-proposal)# protocol esp
firewall(config-ipsec-proposal)# encryption aes
firewall(config-ipsec-proposal)# integrity sha-256

3、設置VPN地址池：

firewall(config)# crypto ipsec ikev2 proposal myproposal
firewall(config-ikev2-proposal)# pool vpn-pool
firewall(config-ikev2-proposal)# network 192.168.10.0 255.255.255.0

4、設置VPN用戶和密碼：

firewall(config)# username vpnuser password vpnpass

五、日誌和監控

1、啟用日誌：

firewall(config)# logging enable
firewall(config)# logging buffered 10000

2、設置SNMP：

firewall(config)# snmp-server community mycommunity RO

3、查看日誌：

firewall# show logging

六、系統維護

1、升級：

firewall# copy tftp://192.168.0.10/asdf.bin disk0:
firewall# reload

2、恢復出廠設置：

firewall# write erase
firewall# reload

3、備份配置：

firewall# copy running-config tftp://192.168.0.10/config.cfg

七、其他配置

1、設置時區：

firewall(config)# clock timezone EST -5

2、設置DNS：

firewall(config)# dns domain-lookup inside
firewall(config)# dns server-group DefaultDNS
firewall(config-dns-sg)# name-server 8.8.8.8

3、設置郵件通知：

firewall(config)# mail-server 192.168.0.10
firewall(config)# mail-from firewall@mycompany.com
firewall(config)# mail-to admin@mycompany.com