« Back
in 安全 思科 read.

防火墙基础(2)

基本命令行:

ctrl+z 退出防火墙设置向导

防火墙隐藏的用户:pix 密码:cisco,配置ssh后,可以直接用这个用户登录

show run all 查看所有配置(包含隐藏配置)

clear config all 清除running config

write erase 清除startup config

nameif为inside,security level为100;如果接口没有配置nameif,将不会做流量转发

接口配置IP:防火墙接口配置IP时,如果不加掩码,会自动追加掩码(根据IP主类);接口IP也可以通过DHCP获取

timeout xlate:默认3小时,防火墙上的转换项,相当于路由器上的show translation;如果对NAT做了任何更改,建议手工清一下xlate(clear xlate/clear local host   show xlate/show local host)
 

------------------timeout-----------------------

conn hh:mm:ss is 1 hour (1:0:0).

h225 hh:mm:ss is 1 hour (1:0:0).

h323 hh:mm:ss is 5 minutes (0:5:0).

half-closed hh:mm:ss is 10 minutes (0:10:0).

icmp hh:mm:ss is 2 seconds (0:0:2)

mgcp hh:mm:ss is 5 minutes (0:5:0).

mgcp-pat hh:mm:ss is 5 minutes (0:5:0).

rpc hh:mm:ss is 5 minutes (0:5:0).

sip hh:mm: is 30 minutes (0:30:0).

sip-disconnect hh:mm:ss is 2 minutes (0:2:0).

sip-invite hh:mm:ss is 3 minutes (0:3:0).

sip_media hh:mm:ss is 2 minutes (0:2:0).

sip-provisional-media hh:mm:ss is 2 minutes (0:2:0).

sunrpc hh:mm:ss is 10 minutes (0:10:0)

uauth hh:mm:ss is 5 minutes (00:5:00) absolute.

udp hh:mm:ss is 2 minutes (00:02:00).

xlate hh:mm:ss is 3 hours (03:00:00).


threat-detection:异常流量监测

class-map:匹配流量 policy-map:调用流量,定义动作 service policy:在什么地方调用策略

cryptochecksum:startup config的hash值;在保存firewall配置时,会自动生成;verify /md5:路由器上对文件做hash

regex:内容匹配;url;uri

failover:PIX默认关闭lan failover;ASA默认开启lan failover

no nat-control:6.3默认开启nat-control,流量必须要有NAT引导;7.0默认关闭nat-control

当开启nat-control后,inside至outside必须要有nat引导流量(从高到低为inside nat,从低到高为outside nat)

crypto ipsec security-association lifetime sec 28800:防火墙ipsec sa生存时间为28800s(8小时),路由器为3600s(1小时);在配置防火墙和路由器之间的VPN,需要注意 最好把时间调成一致。(防火墙第一阶段:默认加密为3DES)

 

TLS:TCP 443

DTLS:UDP 443

SVC:security vpn client

vpn-tunnel-protocol ipsec l2tp-ipsec webvpn 默认VPN策略

Defaul-group DefaultL2LGroup type ipsec-l2l  (DefaultL2LGroup做VPN点到多点相当于=0.0.0.0)

Remote VPN: 认证组策略默认是LOCAL

WEB VPN:认证组策略默认是AAA

Class-map:匹配三层列表 四层端口

Class-map type:匹配应用层协议

user-agent:申请服务时,向服务器提交的client信息

show命令:

show mode 查看security context模式

show firewall 查看防火墙是二层 还是三层

show ip add

show route

防火墙一个接口最多支持3条等价默认路由

 

在router和firewall上,用来发送告警信息的协议一般有log、snmp、post office(UDP 45000)