怕自己做的笔记丢了,就贴出来了,有错欢迎指点,我想对学习的人还是有些些帮助的。
1.clear config all 清空所有配置不需要重启
2.可以选择多个系统
3.每个虚拟防火墙是独立的
4.show flash
5.boot system flash:/pix-701.bin 选择哪个系统启动
6.所有穿越流量都被状态化监控
状态化的东西不被访问控制列表控制
比如可以出去自然可以回来即使deny any any
访问控制列表只对初始化包起作用
7.默认情况下只能里面访问外面 in 》out
8.序列号扰乱默认开启的,这样可以提高安全性,但也会有影响bgp
9.DMZ非军事化区域 一般放置服务器用
10.安全级别0 - 100 ,默认outside 0 inside 100
11.默认:高安全级别到低安全级别允许,相同不允许
12.nameif 命名
inter e0.1进入子接口
接口下 security-level 50 安全级别
ip address dhcp 动态获得地址
speed 100 设置速率
duplex full 设置双工
management-only 不能转发任何数据,只被网管
nat-control 出去的流量必须转换
13.做nat
nat(inside) 1【大于等于1】 0.0.0.0 0.0.0.0 0 定义哪些地址需要转换
glob (outside)1 202.100.1.100-202.100.1.110
show user 查看登录的用户
show xlate 查看转换池 类似路由器 show ip translate
既然是状态化防火墙可以看到连接 show conn show conn detail
route outside 0 0 202.100.1.1 做默认路由
route inside 0 0 10.1.1.1 tunneled 这条路由只限加密查询 明文不管
name 10.0.0.11 insidehost 用名字替代ip地址
show route 是路由表 show run route 是路由器的配置
show run nat
show nameif
ping 不通是问号
防火墙log默认关闭 路由器是开启的
14.tcp 面向连接,可靠。
dns用udp 就是要快
tftp(停止等待协议)用udp
视频流用udp 允许丢包
udp支持广播和组播
15.nat
Dynamic translations 动态转换
nat (inside) 1 10.0.0.0 255.255.255.0
global (outside) 192.168.0.20-192.168.0.254 netmask 255.255.255.0
16.端口转换
地址不够复用
route (outside) 0.0.0.0 0.0.0.0 192.168.0.1
nat (inside) 1 10.0.0.0 255.255.0.0
global (outside) 1 192.168.0.3 netmask 255.255.255.255
更常用的是对接口 global (outside)1 interface
17.不转换 (自己转换自己)
nat (dmz) 0 192.168.0.9 255.255.255.255
用之前要清掉 否者还会用以前的转换 clea x
18.写一个访问控制列表
access-list nonat per ip 10.1.1.0 255.255.255.0 202.100.1.0 255.255.255.0
满足这个流量 不做转换 nat (inside) access-list nonat
18.static 内部有服务器,把内部地址固定转换成一个外部地址
static(dmz,outside)202.100.1.101 dmz.server 把dmz的地址转换成outside地址
19.访问控制列表时是转换后的地址
access-list out per tcp host 202.100.1.1 host 202.100.1.101 eq telnet
access group out in interface outside
20. icmp是非状态的(默认无监控) 要返回需要访问控制列表
21.只有一个公网ip但是有两个内部服务器,需要外部访问
static (dmz,outside) tcp interface 80 192.168.1.1 80
当外部浏览外部接口的80端口时 转换到内部地址的80
2.可以选择多个系统
3.每个虚拟防火墙是独立的
4.show flash
5.boot system flash:/pix-701.bin 选择哪个系统启动
6.所有穿越流量都被状态化监控
状态化的东西不被访问控制列表控制
比如可以出去自然可以回来即使deny any any
访问控制列表只对初始化包起作用
7.默认情况下只能里面访问外面 in 》out
8.序列号扰乱默认开启的,这样可以提高安全性,但也会有影响bgp
9.DMZ非军事化区域 一般放置服务器用
10.安全级别0 - 100 ,默认outside 0 inside 100
11.默认:高安全级别到低安全级别允许,相同不允许
12.nameif 命名
inter e0.1进入子接口
接口下 security-level 50 安全级别
ip address dhcp 动态获得地址
speed 100 设置速率
duplex full 设置双工
management-only 不能转发任何数据,只被网管
nat-control 出去的流量必须转换
13.做nat
nat(inside) 1【大于等于1】 0.0.0.0 0.0.0.0 0 定义哪些地址需要转换
glob (outside)1 202.100.1.100-202.100.1.110
show user 查看登录的用户
show xlate 查看转换池 类似路由器 show ip translate
既然是状态化防火墙可以看到连接 show conn show conn detail
route outside 0 0 202.100.1.1 做默认路由
route inside 0 0 10.1.1.1 tunneled 这条路由只限加密查询 明文不管
name 10.0.0.11 insidehost 用名字替代ip地址
show route 是路由表 show run route 是路由器的配置
show run nat
show nameif
ping 不通是问号
防火墙log默认关闭 路由器是开启的
14.tcp 面向连接,可靠。
dns用udp 就是要快
tftp(停止等待协议)用udp
视频流用udp 允许丢包
udp支持广播和组播
15.nat
Dynamic translations 动态转换
nat (inside) 1 10.0.0.0 255.255.255.0
global (outside) 192.168.0.20-192.168.0.254 netmask 255.255.255.0
16.端口转换
地址不够复用
route (outside) 0.0.0.0 0.0.0.0 192.168.0.1
nat (inside) 1 10.0.0.0 255.255.0.0
global (outside) 1 192.168.0.3 netmask 255.255.255.255
更常用的是对接口 global (outside)1 interface
17.不转换 (自己转换自己)
nat (dmz) 0 192.168.0.9 255.255.255.255
用之前要清掉 否者还会用以前的转换 clea x
18.写一个访问控制列表
access-list nonat per ip 10.1.1.0 255.255.255.0 202.100.1.0 255.255.255.0
满足这个流量 不做转换 nat (inside) access-list nonat
18.static 内部有服务器,把内部地址固定转换成一个外部地址
static(dmz,outside)202.100.1.101 dmz.server 把dmz的地址转换成outside地址
19.访问控制列表时是转换后的地址
access-list out per tcp host 202.100.1.1 host 202.100.1.101 eq telnet
access group out in interface outside
20. icmp是非状态的(默认无监控) 要返回需要访问控制列表
21.只有一个公网ip但是有两个内部服务器,需要外部访问
static (dmz,outside) tcp interface 80 192.168.1.1 80
当外部浏览外部接口的80端口时 转换到内部地址的80
转载于:https://blog.51cto.com/chenzhenkb/805952
3993
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
