思科防火墙基本配置思路及命令

修改防火墙名称

config# hostname xxxx

配置特权密码

config# enable password xxxx

远程登陆密码

config# password xxxx

配置接口名称

config-if # nameif xxxx

配置接口安全级别

config-if # security-level xxxx(0-100)

访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是
《标准访问控制列表》
，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL。

它的具体格式：
access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]
access-list-number 为1-99 或者 1300-1999之间的数字，这个是访问列表号。

例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255
通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。

标准访问列表配置实例：
R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 10 permit any
R1(config)#int fa0/0.1
R1(config-subif)#ip access-group 10 out
上面配置的含义是阻止来自网段192.168.2.0的机器从int fa0/0.1端口出去，访问列表在配置好之后，要把它在端口上应用，否则配置了还是无效的。

    注意事项：
1、标准访问列表，一般来说配置尽量靠近目的端。
2、配置的第二条命令中的any相当于 0.0.0.0 255.255.255.255
3、一定要加pemint any，使其他的网络可通。
4、访问列表是从上到下一条一条进行匹配的，所以在设置访问列表的时候要注意顺序。如果从第一条匹配到最后一条还是不知道要怎么做，路由器就会丢弃这个数据包，也就是为什么上面的例子中上一定要加permit any。
5、如果只阻止一个主机，那可以用 host 192.168.1.12 或者 192.168.1.12 0.0.0.0，这两种配置是等价的。

删除已建立的标准ACL
R1(config)#no access-list +access-list number
对标准的ACL来说，不能删除单个acl语句，只能删除整个ACL

《扩展访问控制列表》
上面我们提到的标准访问控制列表是基于IP地址进行过滤的，是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务（例如WWW，FTP等）。扩展访问控制列表使用的ACL号为100到199。

扩展访问控制列表的格式：
access-list access-list number {permit/deny} protocol +源地址+反码 +目标地址+反码+operator operan(It小于，gt大于，eq等于，neq不等于.具体可？)+端口号
1、扩展访问控制列表号的范围是100-