CiscoPIX防火墻配置.doc

Cisco PIX防火墻配置摘要：本文講述了作者第一次親手接觸Cisco PIX防火墻，總結(jié)了防火墻基本配置十個(gè)方面的內(nèi)容。 硬件防火墻，是網(wǎng)絡(luò)間的墻，防止非法侵入，過(guò)濾信息等，從結(jié)構(gòu)上講，簡(jiǎn)單地說(shuō)是一種PC式的電腦主機(jī)加上閃存（Flash）和防火墻操作系統(tǒng)。它的硬件跟共控機(jī)差不多，都是屬于能適合24小時(shí)工作的，外觀造型也是相類(lèi)似。閃存基本上跟路由器一樣，都是那中EEPROM，操作系統(tǒng)跟Cisco IOS相似,都是命令行（Command）式。 我第一次親手那到的防火墻是Cisco Firewall Pix 525，是一種機(jī)架式標(biāo)準(zhǔn)（即能安裝在標(biāo)準(zhǔn)的機(jī)柜里），有2U的高度，正面看跟Cisco 路由器一樣，只有一些指示燈，從背板看，有兩個(gè)以太口（RJ-45網(wǎng)卡）,一個(gè)配置口（console）,2個(gè)USB,一個(gè)15針的Failover口，還有三個(gè)PCI擴(kuò)展口。 如何開(kāi)始Cisco Firewall Pix呢？我想應(yīng)該是跟Cisco 路由器使用差不多吧，于是用配置線(xiàn)從電腦的COM2連到PIX 525的console口，進(jìn)入PIX操作系統(tǒng)采用windows系統(tǒng)里的“超級(jí)終端”，通訊參數(shù)設(shè)置為默然。初始使用有一個(gè)初始化過(guò)程，主要設(shè)置：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱(chēng))、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，如果以上設(shè)置正確，就能保存以上設(shè)置，也就建立了一個(gè)初始化設(shè)置了。 進(jìn)入Pix 525采用超級(jí)用戶(hù)(enable),默然密碼為空，修改密碼用passwd 命令。一般情況下Firewall配置，我們需要做些什么呢？當(dāng)時(shí)第一次接觸我也不知道該做些什么，隨設(shè)備一起來(lái)的有硬件的安裝和命令使用手冊(cè)。我首先看了命令的使用，用于幾個(gè)小時(shí)把幾百面的英文書(shū)看完了，對(duì)命令的使用的知道了一點(diǎn)了，但是對(duì)如何配置PIX還是不大清楚該從何入手，我想現(xiàn)在只能去找cisco了,于是在下載了一些資料，邊看邊實(shí)踐了PIX。 防火墻是處網(wǎng)絡(luò)系統(tǒng)里，因此它跟網(wǎng)絡(luò)的結(jié)構(gòu)密切相關(guān)，一般會(huì)涉及的有Route(路由器)、網(wǎng)絡(luò)IP地址。還有必須清楚標(biāo)準(zhǔn)的TCPRFC793和UDPRFC768端口的定義。 下面我講一下一般用到的最基本配置 1、 建立用戶(hù)和修改密碼 跟Cisco IOS路由器基本一樣。 2、 激活以太端口 必須用enable進(jìn)入，然后進(jìn)入configure模式 PIX525enable Password: PIX525#config t PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 auto 在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。 3、 命名端口與安全級(jí)別 采用命令nameif PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet0 outside security100 security0是外部端口outside的安全級(jí)別（0安全級(jí)別最高） security100是內(nèi)部端口inside的安全級(jí)別,如果中間還有以太口，則security10，security20等等命名，多個(gè)網(wǎng)卡組成多個(gè)網(wǎng)絡(luò)，一般情況下增加一個(gè)以太口作為DMZ(Demilitarized Zones非武裝區(qū)域)。 4、 配置以太端口IP 地址 采用命令為：ip address 如：內(nèi)部網(wǎng)絡(luò)為： 外部網(wǎng)絡(luò)為： PIX525(config)#ip address inside PIX525(config)#ip address outside 5、 配置遠(yuǎn)程訪(fǎng)問(wèn)telnet 在默然情況下，PIX的以太端口是不允許telnet的，這一點(diǎn)與路由器有區(qū)別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關(guān)。 PIX525(config)#telnet inside PIX525(config)#telnet outside 測(cè)試telnet 在開(kāi)始-運(yùn)行 telnet PIX passwd: 輸入密碼：cisco 6、 訪(fǎng)問(wèn)列表(access-list) 此功能與Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個(gè)功能，網(wǎng)絡(luò)協(xié)議一般有IP|TCP|UDP|ICMP等等，如：只允許訪(fǎng)問(wèn)主機(jī):54的www,端口為：80 PIX525(config)#access-list 100 permit ip any host 54 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside 7、 地址轉(zhuǎn)換（NAT）和端口轉(zhuǎn)換(PAT) NAT跟路由器基本是一樣的， 首先必須定義IP Pool，提供給內(nèi)部IP地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。 PIX525(config)#global (outside) 1 00-00 netmask PIX525(config)#nat (outside) 1 如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則： PIX525(config)#nat (outside) 1 則某些情況下，外部地址是很有限的，有些主機(jī)必須單獨(dú)占用一個(gè)IP地址，必須解決的是公用一個(gè)外部IP(01),則必須多配置一條命令，這種稱(chēng)為（PAT），這樣就能解決更多用戶(hù)同時(shí)共享一個(gè)IP,有點(diǎn)像代理服務(wù)器一樣的功能。配置如下： PIX525(config)#global (outside) 1 00-00 netmask PIX525(config)#global (outside) 1 01 netmask PIX525(config)#nat (outside) 1 8、 DHCP Server 在內(nèi)部網(wǎng)絡(luò)，為了維護(hù)的集中管理和充分利用有限IP地址，都會(huì)啟用動(dòng)態(tài)主機(jī)分配IP地址服務(wù)器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡(jiǎn)單配置DHCP Server,地址段為00.200 DNS: 主8 備7 主域名稱(chēng)： DHCP Client 通過(guò)PIX Firewall PIX525(config)#ip address dhcp DHCP Server配置 PIX525(config)#dhcpd address 00-00 inside PIX525(config)#dhcp dns 8 7 PIX525(config)#dhcp domain 9、 靜態(tài)端口重定向(Port Redirection with Statics) 在PIX 版本6.0以上，增加了端口重定向的功能，允許外部用戶(hù)通過(guò)一個(gè)特殊的IP地址/端口通過(guò)Firewall PIX 傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器了，這種方式并不是直接連接，而是通過(guò)端口重定向，使得內(nèi)部服務(wù)器很安全。 命令格式： static (internal_if_name,external_if_name)global_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq static (internal_if_name,external_if_name)tcp|udpglobal_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq !-外部用戶(hù)直接訪(fǎng)問(wèn)地址9 telnet端口，通過(guò)PIX重定向到內(nèi)部主機(jī)9的telnet端口（23）。 PIX525(config)#static (inside,outside) tcp 9 telnet 9 telnet netmask 55 0 0 !-外部用戶(hù)直接訪(fǎng)問(wèn)地址9 FTP，通過(guò)PIX重定向到內(nèi)部的FTP Server。 PIX525(config)#static (inside,outside) tcp 9 ftp ftp netmask 55 0 0 !-外部用戶(hù)直接訪(fǎng)問(wèn)地址08 www(即80端口)，通過(guò)PIX重定向到內(nèi)部192.168.123的主機(jī)的www(即80端口)。 PIX525(config)#static (inside,outside) tcp 08 www www netmask 55 0 0 !-外部用戶(hù)直接訪(fǎng)問(wèn)地址01 HTTP(8080端口)，通過(guò)PIX重定向到內(nèi)部的主機(jī)的www(即80端口)。 PIX525(config)#static (inside,outside) tcp 08 8080 www netmask 55 0 0 !-外部用戶(hù)直接訪(fǎng)問(wèn)地址 smtp(25端口)，通過(guò)PIX重定向到內(nèi)部的郵件主機(jī)的smtp(即25端口) PIX525(config)#static (inside,outside) tcp 08 smtp 192