介紹
硬體防火牆,是網路間的牆,防止非法侵入,過濾信息等,從結構上講,簡單地說是一種PC式的電腦主機加上快閃記憶體(Flash)和防火牆作業系統。它的硬體跟工控機差不多,都是屬於能適合24小時工作的,外觀造型也是相類似。快閃記憶體基本上跟路由器一樣,都是那種EEPROM,作業系統跟Cisco IOS相似,都是命令行(Command)式,我第一次親手拿到的防火牆是Cisco Firewall Pix525,是一種機架式標準(即能安裝在標準的機櫃裡),有2U的高度,正面看跟Cisco路由器一樣,只有一些指示燈,從背板看,有兩個以太口(RJ-45網卡),一個配置口(console),2個USB,一個15針的Failover口,還有三個PCI擴展口。
如何配置
我想應該是跟Cisco路由器使用差不多吧,於是用配置線從電腦的COM2連到PIX 525的console口,進入PIX作業系統採用windows系統里的“超級終端”,通訊參數設定為默認。初始使用有一個初始化過程,主要設定:Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網卡IP位址)、domain(主域)等,如果以上設定正確,就能保存以上設定,也就建立了一個初始化設定了。
進入Pix 525採用超級用戶(enable),默然密碼為空,修改密碼用passwd命令。一般情況下Firewall配置,我們需要做些什麼呢?當時第一次接觸我也不知道該做些什麼,隨設備一起來的有《硬體的安裝》和《命令使用手冊》。我首先看了命令的使用,用於幾個小時把幾百面的英文書看完了,對命令的使用的知道了一點了,但是對如何配置PIX還是不大清楚該從何入手,我想現在只能去找cisco了,於是在官網下載了一些資料,邊看邊實踐了PIX。
防火牆是處網路系統里,因此它跟網路的結構密切相關,一般會涉及的有Router(路由器)、網路IP位址。還有必須清楚標準的TCP[RFC793]和UDP[RFC768]連線埠的定義。
基本配置
建立用戶
建立用戶和修改密碼跟。Cisco IOS路由器基本一樣
激活
激活以太連線埠必須用enable進入,然後進入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默認情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside,
inside在初始化配置成功的情況下已經被激活生效了,但是outside必須命令配置激活。
命名連線埠
採用命令nameif
PIX525(config)#nameif ethernet0 outside security0
security100
security0是外部連線埠outside的安全級別(100安全級別最高)
security100是內部連線埠inside的安全級別,如果中間還有以太口,則security10,security20等等命名,多個網卡組成多個網路,一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)。
配置地址
採用命令為:ip address
如:內部網路為:192.168.1.0 255.255.255.0
外部網路為:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
配置遠程
在默然情況下,PIX的以太連線埠是不允許telnet的,這一點與路由器有區別。Inside連線埠可以做telnet就能用了,但outside連線埠還跟一些安全配置有關。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
測試telnet
在[開始]->[運行]
telnet 192.168.1.1
PIX passwd:
輸入密碼:cisco
訪問列表
此功能與Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny兩個功能,網路協定一般有IP|TCP|UDP|ICMP等等,如:只允許訪問主機:222.20.16.254的www,連線埠為:80
PIX525(config)#access-list 100permit ip any host 222.20.16.254 eq www
deny ip any any
PIX525(config)#access-group 100 in interface outside
地址轉換
NAT跟路由器基本是一樣的,
首先必須定義IP Pool,提供給內部IP位址轉換的地址段,接著定義內部網段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (inside) 1 192.168.0.0 255.255.255.0
如果是內部全部地址都可以轉換出去則:
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0
則某些情況下,外部地址是很有限的,有些主機必須單獨占用一個IP位址,必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令,這種稱為(PAT),這樣就能解決更多用戶同時共享一個IP,有點像代理伺服器一樣的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask
255.255.255.0
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0
DHCP
在內部網路,為了維護的集中管理和充分利用有限IP位址,都會啟用動態主機分配IP位址伺服器(DHCP Server),Cisco Firewall PIX都具有這種功能,下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.1.200
DNS: 主202.96.128.68 備202.96.144.47
主域名稱:
DHCP Client 通過PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain
靜態連線埠
靜態連線埠重定向(Port Redirection with Statics)
在PIX 版本6.0以上,增加了連線埠重定向的功能,允許外部用戶通過一個特殊的IP位址/連線埠通過Firewall PIX
傳輸到內部指定的內部伺服器。這種功能也就是可以發布內部WWW、FTP、Mail等伺服器了,這種方式並不是直接連線,而是通過連線埠重定向,使得內部伺服器很安全。
命令格式:
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用戶直接訪問地址222.20.16.99
telnet連線埠,通過PIX重定向到內部主機192.168.1.99的telnet連線埠(23)。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.99
FTP,通過PIX重定向到內部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.208
www(即80連線埠),通過PIX重定向到內部192.168.123的主機的www(即80連線埠)。
www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.201
HTTP(8080連線埠),通過PIX重定向到內部192.168.1.4的主機的www(即80連線埠)。
8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.5
smtp(25連線埠),通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25連線埠)
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
顯示保存
顯示命令show config
保存命令write memory