PIX 防火牆 詳
---恢復內容開始---
一 , PIX 防火牆的認識
PIX 是cisco 的硬體防火牆 硬體防火牆的工作速度快,使用方便.
PIX 有很多型號,併發連線數是PIX防火牆的重要引數 PIX 25是典型的裝置
PIX 防火牆常見的介面: console Faliover Ethernet USB
網路區域:
內部區域: inside
外部區域: outside
中間區域: 稱之為DMZ(停火區域) 放置對外開放的伺服器
二, 防火牆的配置規則
沒有連線的狀態(沒有握手或者握手不成功或者非法的資料包),任何資料包無法穿過防火牆.(內部發起的連線可ui會包,通過ACL 開放的服務區允許外部發起連線)
inside 可以訪問 outside 和 dmz
dmz 可以訪問 outside區域
inside 訪問dmz 需要配合static(靜態地址轉換).
outside訪問dmz 需要配合ACL (訪問控制列表)
三, PIX 防火牆的配置模式
PIX 防火牆 配置模式與路由器類似 ,有4中管理模式:
PIXfirewall> : 使用者模式
PIZfirewall # 特權模式
PIXfirewall(config)# : 配置模式
monitor> : ROM監視模式 開機按住{ESC}鍵或者大宋一個break字元,進入監視模式
四.PIX 基本配置命令
常用的命令:
nameif:
設定介面的名稱,並制定安全級別, 安全的級別取值範圍為1~100 ,數值越大級別越高.
:
ethernet0 命名為外部介面 outside 安全級別 0
ethernet1 命令為內部介面 inside, 安全級別是100
ethernet2 命名為DMZ 安全界別為50
命令配置:
PIX635(config)#nameif ethernet0 outside security 0 PIX635(config)#nameif ethernet1 outside security 100 PIX(config)#nameif ethernet2 outside security 50
interface:
配置乙太網介面工作狀態,常見的狀態有: auto 100full shutdown
aotu: 設定網絡卡工作再自適應狀態.
100full: 設定網絡卡工作再100mbit/s 全雙工狀態.
shutdown: 設定網絡卡介面關閉,否者為啟用
配置命令
interface ethernet0 auto
interface ethernet1 100full
interface ethernet1 100full shutdown
ip address:
配置網路介面的ip地址.例如:
PIX(config)#ip address outside 133.0.0.1 255.255.255.252 PIX(config)#ip address intside 192.168.0.1 255.255.255.252
###內網inside介面使用私有地址192.168.0.1 ,外網outside介面使用公網地址133.0.0.1 .
global
指定公網地址範圍: 定義地址次
GlaBal的命令語法
global (if _name) nat_id ip_adress-ip_address[netmark global_mask]
其中:
(if_name):表示外網介面名稱, 一般為outside
nat_id : 簡歷地址池標識(nat要應用)
ip_adress-ip_address :表示一個IP地址的範圍
[network global_mask] : 表示全域性ip地址的網路掩碼
例如:
PIX(config)#global (outside) 1 133.0.0.1-133.0.0.15
地址次1對應的ip是:133.0.0.1-133.0.0.15
PIX(config)#global (outside) 1 133.0.0.1
地址池只有一個ip
PIX(config)#noglobal (outside) 1133.0.0.1-133.0.0.15
刪除這個全域性表項
nat:
地址轉換命令,講內網的私有ip 轉換為外網公網ip
nat命令配置語法:nat( if_name) nat_id local_ip [network]
(if_name): 表示介面名稱, 一般為inside
nat_id 表示地址池,有global命令定義
local_ip:表示內網的ip地址。對於0.0.0.0表示內網所有主機。
[network]:表示內網ip地址的子網掩碼。
再試劑配製中nat命令總是與global命令配合使用。
一個指定外部網路,一個指定內部網路,通過net_id聯絡在一起。
例如:
PIX(config)#nat (inside) 100
表示內網的所有主機 (00) 都可以訪問由 global 指定的外網。
PIX(config)# nat (inside) 1 172.16.5.0 255.255.0.0
表示只有 172.16.5.0/16 網段的主機可以訪問 global 指定的外網。
router:
route 命令定義靜態路由。
語法:
route (if_name) 00 gateway_ip [metric]
其中:
(if_name) :表示介面名稱。
00:表示所有主機
Gateway_ip :表示閘道器路由器的 ip 地址或下一跳。
[metric] :路由花費。預設值是 1。
例如:
PIX(config)#route outside 00 133.0.0.11
設定預設路由從 outside 口送出,下一跳是 133.0.0.1 。 00 代表 0.0.0.00.0.0.0 ,表示任意網路。
PIX(config)#route inside10.1.0.0255.255.0.010.8.0.11 設定到 10.1.0.0 網路下一跳是 10.8.0.1 。最後的 “ 1” 市話費
state:
配置靜態 IP 地址翻譯,使內部地址與外部地址一一對應。
語法:
static (internal_if_name,external_if_name) outside_ip_addr inside_ip_address
其中:
internal_if_name 表示內部網路介面,安全級別較高,如 inside 。
external_if_name 表示外部網路介面,安全級別較低,如 outside 。 outside_ip_address 表示外部網路的公有 ip 地址。
inside_ip_address 表示內部網路的本地 ip 地址。
(括號內序順是先內後外,外邊的順序是先外後內 )
例如:
PIX(config)#static (inside ,outside) 133.0.0.1 192.168.0.8
表示內部 ip 地址 192.168.0.8 ,訪問外部時被翻譯成 133.0.0.1 全域性地址。 PIX(config)#static(dmz ,outside)133.0.0.1172.16.0.2
中間區域 ip 地址 172.16.0.2 ,訪問外部時被翻譯成 133.0.0.1 全域性地址
conduit
管道 conduit 命令用來設定允許資料從低安全級別的介面流向具有較高安全級別的介面。 例如允許從 outside 到 DMZ 或 inside 方向的會話 (作用同訪問控制列表 )。
語法:
conduit permit|deny protocol global_ip port [-port] foreign_ip [netmask]
其中:
global_ip 是一臺主機時前面加 host 引數,所有主機時用 any 表示。
foreign_ip 表示外部 ip。
[netmask] 表示可以是一臺主機或一個網路。
例如:
PIX(config)#static(inside ,outside)133.0.0.1192.168.0.3
PIX(config)#conduitpermittcphost133.0.0.1eqwwwany
這個例子說明 static 和 conduit 的關係。 192.168.0.3 是內網一臺 web 伺服器,
現在希望外網的使用者能夠通過 PIX 防火牆訪問 web 服務。
所以先做 static 靜態對映: 192.168.0.3 ->133.0.0.1
然後利用 conduit 命令允許任何外部主機對全域性地址 133.0.0.1 進行 http 訪問。
訪問控制列表 ACL
訪問控制列表的命令與 couduit 命令類似,
例:
PIX(config)#access-list 100 permit ip any host133.0.0.1eqwww
PIX(config)#access-list 100 deny ip any any
PIX(config)#access-group 100 in interface outside
偵聽命令 fixup
作用是啟用或禁止一個服務或協議,
通過指定埠設定 PIX 防火牆要偵聽 listen 服務的埠。
例:
PIX(config)#fixup prot ocol ftp 21
啟用 ftp 協議,並指定 ftp 的埠號為 21
PIX(config)#fixup prot ocol http 8080
PIX(config)#no fixup prot ocol http80
啟用 http 協議 8080 埠,禁止 80 埠。
telnet
當從外部介面要 telnet 到 PIX 防火牆時, telnet 資料流需要用 vpn 隧道 ipsec 提供保護或 在 PIX 上配置 SSH ,然後用 SSHclient 從外部到 PIX 防火牆。
例:
telnet local_ip [netmask]
local_ip 表示被授權可以通過 telnet 訪問到 PIX 的 ip 地址。
如果不設此項, PIX 的配置方式只能用 console 口接超級終端進行。
顯示命令:
show interface ;檢視埠狀態。 show static ;檢視靜態地址對映。 show ip ;檢視介面 ip 地址。 show config ;檢視配置資訊。 show run ;顯示當前配置資訊。 write terminal ;將當前配置資訊寫到終端。 show cpuusage ;顯示 CPU 利用率,排查故障時常用。 show traffic ;檢視流量。 show blocks ;顯示攔截的資料包。 show mem ;顯示記憶體
DHCP
PIX 具有 DHCP 服務功能。
例:
PIX(config)#ip address dhcp
PIX(config)#dhcp daddress 192.168.1.100-192.168.1.200 inside
PIX(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX(config)#dhcp domain abc.com.cn
PIX防火牆舉例
設: ethernet0 命名為外部介面 outside ,安全級別是 0。 ethernet1 被命名為內部介面 inside ,安全級別 100。 ethernet2 被命名為中間介面 dmz ,安全級別 50。 PIX#conft PIX(config)#nameif ethernet0 outside security 0 PIX(config)#nameif ethernet1 inside security 100 PIX(config)#nameif ethernet2 dmz security50 PIX(config)#interface ethernet0 auto PIX(config)#interface ethernet1 100full PIX(config)#interface ethernet2 100full PIX(config)#ip address outside 133.0.0.1 255.255.255.252; 設定介面 IP PIX(config)#ip address inside 10.66.1.200 255.255.0.0; 設定介面 IP PIX(config)#ip address dmz 10.65.1.200 255.255.0.0; 設定介面 IP PIX(config)#global (outside) 1 133.1.0.1-133.1.0.14; 定義的地址池 PIX(config)#nat (inside) 1 00 ;00 表示所有 PIX(config)#route outside 00 133.0.0.2; 設定預設路由 PIX(config)#static (dmz ,outside) 133.1.0.1 10.65.1.101; 靜態 NAT PIX(config)#static (dmz ,outside) 133.1.0.2 10.65.1.102; 靜態 NAT PIX(config)#static (inside ,dmz)10.66.1.20010.66.1.200; 靜態 NAT PIX(config)#access-list 101 permit ip any host 133.1.0.1 eq www; 設定 ACL PIX(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp; 設定 ACL PIX(config)#access-list 101 deny ip any any; 設定 ACL PIX(config)#access-group 101 ininterface outside; 將 ACL 應用在 outside 埠 當內部主機訪問外部主機時,通過 nat 轉換成公網 IP,訪問 internet 。 當內部主機訪問中間區域 dmz 時,將自己對映成自己訪問伺服器,否則內部主機將會 對映成地址池的 IP,到外部去找。 當外部主機訪問中間區域 dmz 時,對 133.0.0.1 對映成 10.65.1.101 , static 是雙向的。 PIX 的所有埠預設是關閉的,進入 PIX 要經過 acl 入口過濾。 靜態路由指示內部的主機和 dmz 的資料包從 outside 口出去。
---恢復內容結束---