一、PIX防火墙的认识

PIXCisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。

PIX
有很多型号,并发连接数PIX防火墙的重要参数。PIX25是典型的设备。

PIX
防火墙常见接口有:consoleFailoverEthernetUSB<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />


网络区域:

内部网络: inside

外部网络: outside

中间区域:称DMZ(停火区)。放置对外开放的服务器

二、防火墙的配置规则

没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。

(
内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接 )

inside
可以访问任何outsidedmz区域。

dmz
可以访问outside区域。

inside
访问dmz需要配合static(静态地址转换)

outside
访问dmz需要配合acl(访问控制列表)

三、PIX防火墙的配置模式

PIX
防火墙的配置模式与路由器类似,有4种管理模式:

PIXfirewall>
:用户模式

PIXfirewall#
:特权模式

PIXfirewall(config)#
:配置模式

monitor>
ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。

四、PIX基本配置命令

常用命令有:nameifinterfaceipaddressnatglobalroutestatic等。

1nameif

设置接口名称,并指定安全级别,安全级别取值范围为1100,数字越大安全级别越高。

例如要求设置:

ethernet0
命名为外部接口outside,安全级别是0

ethernet1
命名为内部接口inside,安全级别是100

ethernet2
命名为中间接口dmz,安装级别为50

使用命令:

PIX525(config)#nameifethernet0outsidesecurity0

PIX525(config)#nameifethernet1insidesecurity100

PIX525(config)#nameifethernet2dmzsecurity50

2interface

配置以太口工作状态,常见状态有:auto100fullshutdown

auto
:设置网卡工作在自适应状态。

100full
:设置网卡工作在100Mbit/s,全双工状态。

shutdown
:设置网卡接口关闭,否则为激活。

命令:

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#interfaceethernet1100fullshutdown

3ipaddress

配置网络接口的IP地址,例如:

PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252

PIX525(config)#ipaddressinside192.168.0.1255.255.255.0

内网inside接口使用私有地址192.168.0.1,外网outside接口使用公网地址133.0.0.1

4global

指定公网地址范围:定义地址池。

Global
命令的配置语法:

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中:

(if_name)
:表示外网接口名称,一般为outside

nat_id
:建立的地址池标识(nat要引用)

ip_address-ip_address
:表示一段ip地址范围。

[netmarkglobal_mask]
:表示全局ip地址的网络掩码。

例如:

PIX525(config)#global(outside)1133.0.0.1-133.0.0.15

地址池1对应的IP是: 133.0.0.1-133.0.0.15

PIX525(config)#global(outside)1133.0.0.1

地址池1只有一个IP地址133.0.0.1

PIX525(config)#noglobal(outside)1133.0.0.1

表示删除这个全局表项。

5nat

地址转换命令,将内网的私有ip转换为外网公网ip

nat
命令配置语法: nat(if_name)nat_idlocal_ip[netmark]

其中:

(if_name)
:表示接口名称,一般为 inside.

nat_id
:表示地址池,由global命令定义。

local_ip
:表示内网的ip地址。对于<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.0表示内网所有主机。

[netmark]
:表示内网ip地址的子网掩码

在实际配置中nat命令总是与global命令配合使用。

一个指定外部网络,一个指定内部网络,通过net_id联系在一起。

例如:

PIX525(config)#nat(inside)100

表示内网的所有主机(00)都可以访问由global指定的外网。

PIX525(config)#nat(inside)1172.16.5.0255.255.0.0

表示只有172.16.5.0/16网段的主机可以访问global指定的外网。

6route

route命令定义静态路由

语法:

route(if_name)00gateway_ip[metric]

其中:

(if_name)
:表示接口名称。

00
:表示所有主机

Gateway_ip
:表示网关路由器的ip地址或下一跳。

[metric]
:路由花费。缺省值是1

例如:

PIX525(config)#routeoutside00133.0.0.11

设置缺省路由outside口送出,下一跳是133.0.0.1

00
代表0.0.0.00.0.0.0,表示任意网络。

PIX525(config)#routeinside10.1.0.0255.255.0.010.8.0.11

设置到10.1.0.0网络下一跳是10.8.0.1。最后的“1”是花费。

7static

配置静态IP地址翻译,使内部地址与外部地址一一对应。

语法:

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address

其中:

internal_if_name
表示内部网络接口,安全级别较高,如inside

external_if_name
表示外部网络接口,安全级别较低,如outside

outside_ip_address
表示外部网络的公有ip地址。

inside_ip_address
表示内部网络的本地ip地址。

(
括号内序顺是先内后外,外边的顺序是先外后内 )

例如:

PIX525(config)#static(inside
outside)133.0.0.1192.168.0.8

表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。

PIX525(config)#static(dmz
outside)133.0.0.1172.16.0.2

中间区域ip地址172.16.0.2,访问外部时被翻译成133.0.0.1全局地址。

8conduit

管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。

例如允许从outsideDMZinside方向的会话(作用同访问控制列表)

语法:

conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

其中:

global_ip
是一台主机时前面加host参数,所有主机时用any表示。

foreign_ip
表示外部ip

[netmask]
表示可以是一台主机或一个网络。

例如:

PIX525(config)#static(inside
outside)133.0.0.1192.168.0.3

PIX525(config)#conduitpermittcphost133.0.0.1eqwwwany

这个例子说明staticconduit的关系。192.168.0.3是内网一台web服务器

现在希望外网的用户能够通过PIX防火墙访问web服务。

所以先做static静态映射:192.168.0.3 >133.0.0.1

然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。

9、访问控制列表ACL

访问控制列表的命令与couduit命令类似,

例:

PIX525(config)#access-list100permitipanyhost133.0.0.1eqwww

PIX525(config)#access-list100denyipanyany

PIX525(config)#access-group100ininterfaceoutside

10、侦听命令fixup

作用是启用或禁止一个服务或协议

通过指定端口设置PIX防火墙要侦听listen服务的端口。

例:

PIX525(config)#fixupprotocolftp21

启用ftp协议,并指定ftp的端口号为 21

PIX525(config)#fixupprotocolhttp8080

PIX525(config)#nofixupprotocolhttp80

启用http协议8080端口,禁止80端口。

11telnet

当从外部接口要telnetPIX防火墙时,telnet数据流需要用***隧道ipsec提供保护或

PIX上配置SSH,然后用SSHclient从外部到PIX防火墙。

例:

telnetlocal_ip[netmask]

local_ip
表示被授权可以通过telnet访问到PIXip地址。

如果不设此项,PIX的配置方式只能用console口接超级终端进行。

12、显示命令:

showinterface
 ;查看端口状态。

showstatic
;查看静态地址映射

showip
;查看接口ip地址。

showconfig
;查看配置信息。

showrun
;显示当前配置信息。

writeterminal
;将当前配置信息写到终端。

showcpuusage
;显示CPU利用率,排查故障时常用。

showtraffic
;查看流量。

showblocks
;显示拦截的数据包。

showmem
;显示内存

13DHCP服务

PIX
具有DHCP服务功能。

例:

PIX525(config)#ipaddressdhcp

PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside

PIX525(config)#dhcpdns202.96.128.68202.96.144.47

PIX525(config)#dhcpdomainabc.com.cn

五、PIX防火墙举例

设:

ethernet0
命名为外部接口outside,安全级别是0

ethernet1
被命名为内部接口inside,安全级别100

ethernet2
被命名为中间接口dmz,安全级别50

PIX525#conft

PIX525(config)#nameifethernet0outsidesecurity0

PIX525(config)#nameifethernet1insidesecurity100

PIX525(config)#nameifethernet2dmzsecurity50

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#interfaceethernet2100full

PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;
设置接口 IP

PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;
设置接口 IP

PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;
设置接口 IP

PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;
定义的地址池

PIX525(config)#nat(inside)100;00
表示所有

PIX525(config)#routeoutside00133.0.0.2;
设置默认路由

PIX525(config)#static(dmz
outside)133.1.0.110.65.1.101;静态 NAT

PIX525(config)#static(dmz
outside)133.1.0.210.65.1.102;静态 NAT

PIX525(config)#static(inside
dmz)10.66.1.20010.66.1.200;静态 NAT

PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;
设置 ACL

PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;
设置 ACL

PIX525(config)#access-list101denyipanyany;
设置 ACL

PIX525(config)#access-group101ininterfaceoutside;
ACL应用在outside端口

当内部主机访问外部主机时,通过nat转换成公网IP,访问internet

当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会

映射成地址池的IP,到外部去找。

当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101static是双向的。

PIX
的所有端口默认是关闭的,进入PIX要经过acl入口过滤。

静态路由指示内部的主机和dmz的数据包从outside口出去。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> 更多内容请看Cisco IOS技术手册  Cisco防火墙安装配置  CISCO防火墙产品专题,或进入讨论组讨论。