PIX 防火牆 詳解
一 , PIX 防火牆的認識
PIX 是cisco 的硬體防火牆 硬體防火牆的工作速度快,使用方便.
PIX 有很多型號,併發連線數是PIX防火牆的重要引數 PIX 25是典型的裝置
PIX 防火牆常見的介面: console Faliover Ethernet USB
網路區域:
內部區域: inside
外部區域: outside
中間區域: 稱之為DMZ(停火區域) 放置對外開放的伺服器
二, 防火牆的配置規則
沒有連線的狀態(沒有握手或者握手不成功或者非法的資料包),任何資料包無法穿過防火牆.(內部發起的連線可ui會包,通過ACL 開放的服務區允許外部發起連線)
inside 可以訪問 outside 和 dmz
dmz 可以訪問 outside區域
inside 訪問dmz 需要配合static(靜態地址轉換).
outside訪問dmz 需要配合ACL (訪問控制列表)
三, PIX 防火牆的配置模式
PIX 防火牆 配置模式與路由器類似 ,有4中管理模式:
PIXfirewall> : 使用者模式
PIZfirewall # 特權模式
PIXfirewall(config)# : 配置模式
monitor> : ROM監視模式 開機按住{ESC}鍵或者大宋一個break字元,進入監視模式
四.PIX 基本配置命令
常用的命令:
nameif:
設定介面的名稱,並制定安全級別, 安全的級別取值範圍為1~100 ,數值越大級別越高.
:
ethernet0 命名為外部介面 outside 安全級別 0
ethernet1 命令為內部介面 inside, 安全級別是100
ethernet2 命名為DMZ 安全界別為50
命令配置:
PIX625(config)#nameif ethernet0 outside security 0 PIX625(config)#nameif ethernet1 outside security 100 PIX625(config)#nameif ethernet2 outside security 50
interface:
配置乙太網介面工作狀態,常見的狀態有: auto 100full shutdown
aotu: 設定網絡卡工作再自適應狀態.
100full: 設定網絡卡工作再100mbit/s 全雙工狀態.
shutdown: 設定網絡卡介面關閉,否者為啟用
配置命令
interface ethernet0 auto
interface ethernet1 100full
interface ethernet1 100full shutdown
ipaddress:
配置網路介面的ip地址.例如:
PIX625(config)#ipaddress outside 133.0.0.1 255.255.255.252 PIX625(config)#ipaddress intside 192.168.0.1 255.255.255.252
###內網inside介面使用私有地址192.168.0.1 ,外網outside介面使用公網地址133.0.0.1 .
global
指定公網地址範圍: 定義地址次
GlaBal的命令語法
global (if _name) nat_id ip_adress-ip_address[netmark global_mask]
其中:
(if_name):表示外網介面名稱, 一般為outside
nat_id : 簡歷地址池標識(nat要應用)
ip_adress-ip_address :表示一個IP地址的範圍
[network global_mask] : 表示全域性ip地址的網路掩碼
例如:
PIX625(config)#global (outside) 1 133.0.0.1-133.0.0.15
地址次1對應的ip是:133.0.0.1-133.0.0.15
PIX625(config)#global (outside) 1 133.0.0.1
地址池只有一個ip
PIX625(config)#noglobal (outside) 1133.0.0.1-133.0.0.15
刪除這個全域性表項
nat: