百科解釋
目錄·一、PIX防火墻的認(rèn)識(shí)·二、防火墻的配置規(guī)則·三、PIX防火墻的配置模式:·四、PIX基本配置命令·五、PIX防火墻舉例·PIX 防火墻應(yīng)用舉例 PIX防火墻特點(diǎn)與應(yīng)用 一、PIX防火墻的認(rèn)識(shí) PIX是Cisco的硬件防火墻,硬件防火墻有工作速度快,使用方便等特點(diǎn)。 PIX有很多型號(hào),并發(fā)連接數(shù)是PIX防火墻的重要參數(shù)。PIX25是典型的設(shè)備。 PIX防火墻常見(jiàn)接口有:console、Failover、Ethernet、USB。 網(wǎng)絡(luò)區(qū)域: 內(nèi)部網(wǎng)絡(luò):inside 外部網(wǎng)絡(luò):outside 中間區(qū)域:稱DMZ (;饏^(qū))。放置對(duì)外開(kāi)放的服務(wù)器。 二、防火墻的配置規(guī)則 沒(méi)有連接的狀態(tài)(沒(méi)有握手或握手不成功或非法的數(shù)據(jù)包),任何數(shù)據(jù)包無(wú)法穿過(guò)防火墻。 (內(nèi)部發(fā)起的連接可以回包。通過(guò)ACL開(kāi)放的服務(wù)器允許外部發(fā)起連接) inside可以訪問(wèn)任何outside和dmz區(qū)域。 dmz可以訪問(wèn)outside區(qū)域。 inside訪問(wèn)dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。 outside訪問(wèn)dmz需要配合acl(訪問(wèn)控制列表)。 三、PIX防火墻的配置模式: PIX防火墻的配置模式與路由器類(lèi)似,有4種管理模式: PIXfirewall>:用戶模式 PIXfirewall#:特權(quán)模式 PIXfirewall(config)#:配置模式 monitor>:ROM監(jiān)視模式,開(kāi)機(jī)按住[Esc]鍵或發(fā)送一個(gè)“Break”字符,進(jìn)入監(jiān)視模式。 四、PIX基本配置命令 常用命令有:nameif、interface、ip address、nat、global、route、static等。 1、nameif 設(shè)置接口名稱,并指定安全級(jí)別,安全級(jí)別取值范圍為1~100,數(shù)字越大安全級(jí)別越高。 例如要求設(shè)置: ethernet0命名為外部接口outside,安全級(jí)別是0。 ethernet1命名為內(nèi)部接口inside,安全級(jí)別是100。 ethernet2命名為中間接口dmz, 安裝級(jí)別為50。 使用命令: PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet1 inside security100 PIX525(config)#nameif ethernet2 dmz security50 2、interface 配置以太口工作狀態(tài),常見(jiàn)狀態(tài)有:auto、100full、shutdown。 auto:設(shè)置網(wǎng)卡工作在自適應(yīng)狀態(tài)。 100full:設(shè)置網(wǎng)卡工作在100Mbit/s,全雙工狀態(tài)。 shutdown:設(shè)置網(wǎng)卡接口關(guān)閉,否則為激活。 命令: PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 100full PIX525(config)#interface ethernet1 100full shutdown 3、ip address 配置網(wǎng)絡(luò)接口的IP地址,例如: PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 PIX525(config)#ip address inside 192.168.0.1 255.255.255.0 內(nèi)網(wǎng)inside接口使用私有地址192.168.0.1,外網(wǎng)outside接口使用公網(wǎng)地址133.0.0.1。 4、global 指定公網(wǎng)地址范圍:定義地址池。 Global命令的配置語(yǔ)法: global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中: (if_name):表示外網(wǎng)接口名稱,一般為outside。 nat_id:建立的地址池標(biāo)識(shí)(nat要引用)。 ip_address-ip_address:表示一段ip地址范圍。 [netmark global_mask]:表示全局ip地址的網(wǎng)絡(luò)掩碼。 例如: PIX525(config)#global (outside) 1 133.0.0.1-133.0.0.15 地址池1對(duì)應(yīng)的IP是:133.0.0.1-133.0.0.15 PIX525(config)#global (outside) 1 133.0.0.1 地址池1只有一個(gè)IP地址 133.0.0.1。 PIX525(config)#no global (outside) 1 133.0.0.1 表示刪除這個(gè)全局表項(xiàng)。 5、nat 地址轉(zhuǎn)換命令,將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)公網(wǎng)ip。 nat命令配置語(yǔ)法:nat (if_name) nat_id local_ip [netmark] 其中: (if_name):表示接口名稱,一般為inside. nat_id: 表示地址池,由global命令定義。 local_ip: 表示內(nèi)網(wǎng)的ip地址。對(duì)于0.0.0.0表示內(nèi)網(wǎng)所有主機(jī)。 [netmark]:表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。 在實(shí)際配置中nat命令總是與global命令配合使用。 一個(gè)指定外部網(wǎng)絡(luò),一個(gè)指定內(nèi)部網(wǎng)絡(luò),通過(guò)net_id聯(lián)系在一起。 例如: PIX525(config)#nat (inside) 1 0 0 表示內(nèi)網(wǎng)的所有主機(jī)(0 0)都可以訪問(wèn)由global指定的外網(wǎng)。 PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 表示只有172.16.5.0/16網(wǎng)段的主機(jī)可以訪問(wèn)global指定的外網(wǎng)。 6、route route命令定義靜態(tài)路由。 語(yǔ)法: route (if_name) 0 0 gateway_ip [metric] 其中: (if_name):表示接口名稱。 0 0 :表示所有主機(jī) Gateway_ip:表示網(wǎng)關(guān)路由器的ip地址或下一跳。 [metric]:路由花費(fèi)。缺省值是1。 例如: PIX525(config)#route outside 0 0 133.0.0.1 1 設(shè)置缺省路由從outside口送出,下一跳是133.0.0.1。 0 0 代表 0.0.0.0 0.0.0.0,表示任意網(wǎng)絡(luò)。 PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1 設(shè)置到10.1.0.0網(wǎng)絡(luò)下一跳是10.8.0.1。最后的“1”是花費(fèi)。 7、static 配置靜態(tài)IP地址翻譯,使內(nèi)部地址與外部地址一一對(duì)應(yīng)。 語(yǔ)法: static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中: internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口,安全級(jí)別較高,如inside。 external_if_name表示外部網(wǎng)絡(luò)接口,安全級(jí)別較低,如outside。 outside_ip_address表示外部網(wǎng)絡(luò)的公有ip地址。 inside_ ip_address表示內(nèi)部網(wǎng)絡(luò)的本地ip地址。 (括號(hào)內(nèi)序順是先內(nèi)后外,外邊的順序是先外后內(nèi)) 例如: PIX525(config)#static (inside,outside) 133.0.0.1 192.168.0.8 表示內(nèi)部ip地址192.168.0.8,訪問(wèn)外部時(shí)被翻譯成133.0.0.1全局地址。 PIX525(config)#static (dmz,outside) 133.0.0.1 172.16.0.2 中間區(qū)域ip地址172.16.0.2,訪問(wèn)外部時(shí)被翻譯成133.0.0.1全局地址。 8、conduit 管道conduit命令用來(lái)設(shè)置允許數(shù)據(jù)從低安全級(jí)別的接口流向具有較高安全級(jí)別的接口。 例如允許從outside到DMZ或inside方向的會(huì)話(作用同訪問(wèn)控制列表)。 語(yǔ)法: conduit permit|deny protocol global_ip port[-port] foreign_ip [netmask] 其中: global_ip是一臺(tái)主機(jī)時(shí)前面加host參數(shù),所有主機(jī)時(shí)用any表示。 foreign_ip 表示外部ip。 [netmask] 表示可以是一臺(tái)主機(jī)或一個(gè)網(wǎng)絡(luò)。 例如: PIX525(config)#static (inside,outside) 133.0.0.1 192.168.0.3 PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any 這個(gè)例子說(shuō)明static和conduit的關(guān)系。192.168.0.3是內(nèi)網(wǎng)一臺(tái)web服務(wù)器, 現(xiàn)在希望外網(wǎng)的用戶能夠通過(guò)PIX防火墻訪問(wèn)web服務(wù)。 所以先做static靜態(tài)映射:192.168.0.3->133.0.0.1 然后利用conduit命令允許任何外部主機(jī)對(duì)全局地址133.0.0.1進(jìn)行http訪問(wèn)。 9、訪問(wèn)控制列表ACL 訪問(wèn)控制列表的命令與couduit命令類(lèi)似, 例: PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside 10、偵聽(tīng)命令fixup 作用是啟用或禁止一個(gè)服務(wù)或協(xié)議, 通過(guò)指定端口設(shè)置PIX防火墻要偵聽(tīng)listen服務(wù)的端口。 例: PIX525(config)#fixup protocol ftp 21 啟用ftp協(xié)議,并指定ftp的端口號(hào)為21 PIX525(config)#fixup protocol http 8080 PIX525(config)#no fixup protocol http 80 啟用http協(xié)議8080端口,禁止80端口。 11、telnet 當(dāng)從外部接口要telnet到PIX防火墻時(shí),telnet數(shù)據(jù)流需要用vpn隧道ipsec提供保護(hù)或 在PIX上配置SSH,然后用SSH client從外部到PIX防火墻。 例: telnet local_ip [netmask] local_ip 表示被授權(quán)可以通過(guò)telnet訪問(wèn)到PIX的ip地址。 如果不設(shè)此項(xiàng),PIX的配置方式只能用console口接超級(jí)終端進(jìn)行。 12、顯示命令: show interface ;查看端口狀態(tài)。 show static ;查看靜態(tài)地址映射。 show ip ;查看接口ip地址。 show config ;查看配置信息。 show run ;顯示當(dāng)前配置信息。 write terminal ;將當(dāng)前配置信息寫(xiě)到終端。 show cpu usage ;顯示CPU利用率,排查故障時(shí)常用。 show traffic ;查看流量。 show connect count ;查看連接數(shù)。 show blocks ;顯示攔截的數(shù)據(jù)包。 show mem ;顯示內(nèi)存 13、DHCP 服務(wù) PIX具有DHCP服務(wù)功能。 例: PIX525(config)#ip address dhcp PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47 PIX525(config)#dhcp domain abc.com.cn 五、PIX防火墻舉例 設(shè): ethernet0命名為外部接口outside,安全級(jí)別是0。 ethernet1被命名為內(nèi)部接口inside,安全級(jí)別100。 ethernet2被命名為中間接口dmz,安全級(jí)別50。 PIX525#conf t PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet1 inside security100 PIX525(config)#nameif ethernet2 dmz security50 PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 100full PIX525(config)#interface ethernet2 100full PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;設(shè)置接口IP PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;設(shè)置接口IP PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;設(shè)置接口IP PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定義的地址池 PIX525(config)#nat (inside) 1 0 0 ;0 0表示所有 PIX525(config)#route outside 0 0 133.0.0.2 ;設(shè)置默認(rèn)路由 PIX525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;靜態(tài)NAT PIX525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;靜態(tài)NAT PIX525(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;靜態(tài)NAT PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設(shè)置ACL PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設(shè)置ACL PIX525(config)#access-list 101 deny ip any any ;設(shè)置ACL PIX525(config)#access-group 101 in interface outside ;將ACL應(yīng)用在outside端口 當(dāng)內(nèi)部主機(jī)訪問(wèn)外部主機(jī)時(shí),通過(guò)nat轉(zhuǎn)換成公網(wǎng)IP,訪問(wèn)internet。 當(dāng)內(nèi)部主機(jī)訪問(wèn)中間區(qū)域dmz時(shí),將自己映射成自己訪問(wèn)服務(wù)器,否則內(nèi)部主機(jī)將會(huì) 映射成地址池的IP,到外部去找。 當(dāng)外部主機(jī)訪問(wèn)中間區(qū)域dmz時(shí),對(duì)133.0.0.1映射成10.65.1.101, static是雙向的。 PIX的所有端口默認(rèn)是關(guān)閉的,進(jìn)入PIX要經(jīng)過(guò)acl入口過(guò)濾。 靜態(tài)路由指示內(nèi)部的主機(jī)和dmz的數(shù)據(jù)包從outside口出去。 PIX 防火墻應(yīng)用舉例設(shè): ethernet0命名為外部接口outside,安全級(jí)別是0。 ethernet1被命名為內(nèi)部接口inside,安全級(jí)別100。 ethernet2被命名為中間接口dmz,安全級(jí)別50。 參考配置: PIX525#conf t ;進(jìn)入配置模式 PIX525(config)#nameif ethernet0 outside security0 ;設(shè)置定全級(jí)0 PIX525(config)#nameif ethernet1 inside security100 ;設(shè)置定全級(jí)100 PIX525(config)#nameif ethernet2 dmz security50 ;設(shè)置定全級(jí)50 PIX525(config)#interface ethernet0 auto ;設(shè)置自動(dòng)方式 PIX525(config)#interface ethernet1 100full ;設(shè)置全雙工方式 PIX525(config)#interface ethernet2 100full ;設(shè)置全雙工方式 PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;設(shè)置接口IP PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;設(shè)置接口IP PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;設(shè)置接口IP PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定義的地址池 PIX525(config)#nat (inside) 1 0 0 ;0 0表示所有 PIX525(config)#route outside 0 0 133.0.0.2 ;設(shè)置默認(rèn)路由 PIX525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;靜態(tài)NAT PIX525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;靜態(tài)NAT PIX525(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;靜態(tài)NAT PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設(shè)置ACL PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設(shè)置ACL PIX525(config)#access-list 101 deny ip any any ;設(shè)置ACL PIX525(config)#access-group 101 in interface outside ;將ACL應(yīng)用在outside端口 當(dāng)內(nèi)部主機(jī)訪問(wèn)外部主機(jī)時(shí),通過(guò)nat轉(zhuǎn)換成公網(wǎng)IP,訪問(wèn)internet。 當(dāng)內(nèi)部主機(jī)訪問(wèn)中間區(qū)域dmz時(shí),將自己映射成自己訪問(wèn)服務(wù)器,否則內(nèi)部主機(jī)將會(huì) 映射成地址池的IP,到外部去找。 當(dāng)外部主機(jī)訪問(wèn)中間區(qū)域dmz時(shí),對(duì)133.0.0.1映射成10.65.1.101, static是雙向的。 PIX的所有端口默認(rèn)是關(guān)閉的,進(jìn)入PIX要經(jīng)過(guò)acl入口過(guò)濾。 靜態(tài)路由指示內(nèi)部的主機(jī)和dmz的數(shù)據(jù)包從outside口出去。
移動(dòng)通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團(tuán)隊(duì)博客 | 免責(zé)聲明 | 關(guān)于詞典 | 幫助