cisco防火牆配置

cisco防火牆配置

本文講述了作者第一次親手接觸Cisco PIX防火牆,總結了防火牆基本配置十個方面的內容。

基本信息

介紹

硬體防火牆,是網路間的牆,防止非法侵入,過濾信息等,從結構上講,簡單地說是一種PC式的電腦主機加上快閃記憶體(Flash)和防火牆作業系統。它的硬體跟工控機差不多,都是屬於能適合24小時工作的,外觀造型也是相類似。快閃記憶體基本上跟路由器一樣,都是那種EEPROM,作業系統跟Cisco IOS相似,都是命令行(Command)式,我第一次親手拿到的防火牆是Cisco Firewall Pix525,是一種機架式標準(即能安裝在標準的機櫃裡),有2U的高度,正面看跟Cisco路由器一樣,只有一些指示燈,從背板看,有兩個以太口(RJ-45網卡),一個配置口(console),2個USB,一個15針的Failover口,還有三個PCI擴展口。

如何配置

我想應該是跟Cisco路由器使用差不多吧,於是用配置線從電腦的COM2連到PIX 525的console口,進入PIX作業系統採用windows系統里的“超級終端”,通訊參數設定為默認。初始使用有一個初始化過程,主要設定:Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網卡IP位址)、domain(主域)等,如果以上設定正確,就能保存以上設定,也就建立了一個初始化設定了。

進入Pix 525採用超級用戶(enable),默然密碼為空,修改密碼用passwd命令。一般情況下Firewall配置,我們需要做些什麼呢?當時第一次接觸我也不知道該做些什麼,隨設備一起來的有《硬體的安裝》和《命令使用手冊》。我首先看了命令的使用,用於幾個小時把幾百面的英文書看完了,對命令的使用的知道了一點了,但是對如何配置PIX還是不大清楚該從何入手,我想現在只能去找cisco了,於是在官網下載了一些資料,邊看邊實踐了PIX。

防火牆是處網路系統里,因此它跟網路的結構密切相關,一般會涉及的有Router(路由器)、網路IP位址。還有必須清楚標準的TCP[RFC793]和UDP[RFC768]連線埠的定義。

基本配置

建立用戶

建立用戶和修改密碼跟。Cisco IOS路由器基本一樣

激活

激活以太連線埠必須用enable進入,然後進入configure模式

PIX525>enable

Password:

PIX525#config t

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 auto

在默認情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside,

inside在初始化配置成功的情況下已經被激活生效了,但是outside必須命令配置激活。

命名連線埠

採用命令nameif

PIX525(config)#nameif ethernet0 outside security0

security100

security0是外部連線埠outside的安全級別(100安全級別最高)

security100是內部連線埠inside的安全級別,如果中間還有以太口,則security10,security20等等命名,多個網卡組成多個網路,一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)。

配置地址

採用命令為:ip address

如:內部網路為:192.168.1.0 255.255.255.0

外部網路為:222.20.16.0 255.255.255.0

PIX525(config)#ip address inside 192.168.1.1 255.255.255.0

PIX525(config)#ip address outside 222.20.16.1 255.255.255.0

配置遠程

在默然情況下,PIX的以太連線埠是不允許telnet的,這一點與路由器有區別。Inside連線埠可以做telnet就能用了,但outside連線埠還跟一些安全配置有關。

PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside

PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside

測試telnet

在[開始]->[運行]

telnet 192.168.1.1

PIX passwd:

輸入密碼:cisco

訪問列表

此功能與Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny兩個功能,網路協定一般有IP|TCP|UDP|ICMP等等,如:只允許訪問主機:222.20.16.254的www,連線埠為:80

PIX525(config)#access-list 100permit ip any host 222.20.16.254 eq www

deny ip any any

PIX525(config)#access-group 100 in interface outside

地址轉換

NAT跟路由器基本是一樣的,

首先必須定義IP Pool,提供給內部IP位址轉換的地址段,接著定義內部網段。

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#nat (inside) 1 192.168.0.0 255.255.255.0

如果是內部全部地址都可以轉換出去則:

PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0

則某些情況下,外部地址是很有限的,有些主機必須單獨占用一個IP位址,必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令,這種稱為(PAT),這樣就能解決更多用戶同時共享一個IP,有點像代理伺服器一樣的功能。配置如下:

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#global (outside) 1 222.20.16.201 netmask

255.255.255.0

PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0

DHCP

在內部網路,為了維護的集中管理和充分利用有限IP位址,都會啟用動態主機分配IP位址伺服器(DHCP Server),Cisco Firewall PIX都具有這種功能,下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.1.200

DNS: 主202.96.128.68 備202.96.144.47

主域名稱:

DHCP Client 通過PIX Firewall

PIX525(config)#ip address dhcp

DHCP Server配置

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200

inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

PIX525(config)#dhcp domain

靜態連線埠

靜態連線埠重定向(Port Redirection with Statics)

在PIX 版本6.0以上,增加了連線埠重定向的功能,允許外部用戶通過一個特殊的IP位址/連線埠通過Firewall PIX

傳輸到內部指定的內部伺服器。這種功能也就是可以發布內部WWW、FTP、Mail等伺服器了,這種方式並不是直接連線,而是通過連線埠重定向,使得內部伺服器很安全。

命令格式:

static

[(internal_if_name,external_if_name)]{global_ip|interface}

local_ip

[netmask

mask][max_cons[max_cons[emb_limit[norandomseq]]]

static

[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}

local_ip

[netmask

mask][max_cons[max_cons[emb_limit[norandomseq]]]

!----外部用戶直接訪問地址222.20.16.99

telnet連線埠,通過PIX重定向到內部主機192.168.1.99的telnet連線埠(23)。

PIX525(config)#static (inside,outside) tcp 222.20.16.99

telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.99

FTP,通過PIX重定向到內部192.168.1.3的FTP Server。

PIX525(config)#static (inside,outside) tcp 222.20.16.99

ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.208

www(即80連線埠),通過PIX重定向到內部192.168.123的主機的www(即80連線埠)。

www 192.168.1.2 www netmask 255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.201

HTTP(8080連線埠),通過PIX重定向到內部192.168.1.4的主機的www(即80連線埠)。

8080 192.168.1.4 www netmask 255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.5

smtp(25連線埠),通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25連線埠)

smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0

顯示保存

顯示命令show config

保存命令write memory

相關詞條

相關搜尋

熱門詞條

聯絡我們