Cisco PIX防火墙配置

纲要：正文报告了作家第一次亲手交战cisco pix风火墙，归纳了风火墙基础摆设十个上面的实质。  硬件风火墙，是搜集间的墙，提防不法侵占，过滤消息等，从构造上讲，大略地说是一种pc式的电脑长机加上闪存（flash）和风火墙操纵体例。它的硬件跟共控机差不离，都是属于能符合24钟点处事的，表面造型也是相一致。闪存基础上跟路由器一律，都是那中eeprom，操纵体例跟cisco ios一致,都是吩咐行（command）式。  我第一次亲手那到的风火墙是cisco firewall pix 525，是一种机架式规范（即能安置在规范的机柜里），有2u的莫大，反面看跟cisco 路由器一律，惟有少许引导灯，从背板看，有两个以太口（rj-45网卡）,一个摆设口（console）,2个usb,一个15针的failover口，再有三个pci扩充口。  怎样发端cisco firewall pix呢？我想该当是跟cisco 路由器运用差不离吧，所以用摆设线从电脑的com2连到pix 525的console口，加入pix操纵体例沿用windows体例里的“超等结尾”，通信参数树立为沉默。初始运用有一个初始化进程，重要树立：date(日子)、time(功夫)、hostname(长机称呼)、inside ip address(里面网卡ip地方)、domain(主域)等，即使之上树立精确，就能生存之上树立，也就创造了一个初始化树立了。  加入pix 525沿用超等用户(enable),沉默暗号为空，窜改暗号用passwd 吩咐。普遍情景下firewall摆设，咱们须要做些什么呢？其时第一次交战我也不领会该做些什么，随摆设一道来的有《硬件的安置》和《吩咐运用画册》。我开始看了吩咐的运用，用来几个钟点把几百面包车型的士英布告看结束，对吩咐的运用的领会了一点了，然而对怎样摆设pix仍旧不大领会该从何动手，我想此刻只能去找cisco了,所以在www.cisco.com载入了少许材料，边看边试验了pix。  风火墙是处搜集体例里，所以它跟搜集的构造出色关系，普遍会波及的有route(路由器)、搜集ip地方。再有必需领会规范的tcp[rfc793]和udp[rfc768]端口的设置。  底下我讲一下普遍用到的最基础摆设  1、 创造用户和窜改暗号  跟cisco ios路由器基础一律。  2、 激活以太端口  必需用enable加入，而后加入configure形式  pix525>enable  password:  pix525#config t  pix525(config)#interface ethernet0 auto  pix525(config)#interface ethernet1 auto  在沉默情景下ethernet0是属外部网卡outside, ethernet1是属里面网卡inside, inside在初始化摆设胜利的情景下仍旧被激活奏效了，然而outside必需吩咐摆设激活。  3、 定名端口与安定级别  沿用吩咐nameif  pix525(config)#nameif ethernet0 outside security0  pix525(config)#nameif ethernet0 outside security100  security0是外部端口outside的安定级别（0安定级别最高）  security100是里面端口inside的安定级别,即使中央再有以太口，则security10，security20之类定名，多个网卡构成多个搜集，普遍情景下减少一个以太口动作dmz(demilitarized zones非武装地区)。  4、 摆设以太端口ip 地方  沿用吩咐为：ip address  如：里面搜集为：192.168.1.0 255.255.255.0  外部搜集为：222.20.16.0 255.255.255.0  pix525(config)#ip address inside 192.168.1.1 255.255.255.0  pix525(config)#ip address outside 222.20.16.1 255.255.255.0  5、 摆设长途考察[telnet]  在沉默情景下，pix的以太端口是不承诺telnet的，这一点与路由器有辨别。inside端口不妨做telnet就能用了,但outside端口还跟少许安定摆设相关。  pix525(config)#telnet 192.168.1.1 255.255.255.0 inside  pix525(config)#telnet 222.20.16.1 255.255.255.0 outside  尝试telnet  在[发端]->[运转]  telnet 192.168.1.1  pix passwd:  输出暗号：cisco  6、 考察列表(access-list)  此功效与cisco ios基础上是一致的，也是firewall的重要局部，有permit和deny两个功效，搜集和议普遍有ip|tcp|udp|icmp之类，如：只承诺考察长机:222.20.16.254的www,端口为：80  pix525(config)#access-list 100 permit ip any host 222.20.16.254 eq www  pix525(config)#access-list 100 deny ip any any  pix525(config)#access-group 100 in interface outside  7、 地方变换（nat）和端口变换(pat)  nat跟路由器基础是一律的，  开始必需设置ip pool，供给给里面ip地方变换的地方段，接着设置里面网段。  pix525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0  pix525(config)#nat (outside) 1 192.168.0.0 255.255.255.0  即使是里面十足地方都不妨变换出去则：  pix525(config)#nat (outside) 1 0.0.0.0 0.0.0.0  则某些情景下，外部地方是很有限的，有些长机必需独立占用一个ip地方，必需处置的是公用一个外部ip(222.20.16.201),则必需多摆设一条吩咐，这种称为（pat），如许就能处置更多用户同声共享一个ip,有点像代劳效劳器一律的功效。摆设如次：  pix525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0  pix525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0  pix525(config)#nat (outside) 1 0.0.0.0 0.0.0.0  8、 dhcp server  在里面搜集，为了保护的会合处置和充溢运用有限ip地方，城市起用动静长机调配ip地方效劳器（dhcp server），cisco firewall pix都具备这种功效，底下大略摆设dhcp server,地方段为192.168.1.100—192.168.168.1.200  dns: 主202.96.128.68 备202.96.144.47  主域称呼：abc.com.cn  dhcp client 经过pix firewall  pix525(config)#ip address dhcp  dhcp server摆设  pix525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside  pix525(config)#dhcp dns 202.96.128.68 202.96.144.47  pix525(config)#dhcp domain abc.com.cn  9、 静态端口重定向(port redirection with statics)  在pix 本子6.0之上，减少了端口重定向的功效，承诺外部用户经过一个特出的ip地方/端口经过firewall pix 传输到里面指定的里面效劳器。这种功效也即是不妨颁布里面www、ftp、mail等效劳器了，这种办法并不是径直贯穿，而是经过端口重定向，使得里面效劳器很安定。  吩咐方法：  static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip  [netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]  static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip  [netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]  !----外部用户径直考察地方222.20.16.99 telnet端口，经过pix重定向到里面长机192.168.1.99的telnet端口（23）。  pix525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0  !----外部用户径直考察地方222.20.16.99 ftp，经过pix重定向到里面192.168.1.3的ftp server。  pix525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0  !----外部用户径直考察地方222.20.16.208 www(即80端口)，经过pix重定向到里面192.168.123的长机的www(即80端口)。  pix525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0  !----外部用户径直考察地方222.20.16.201 http(8080端口)，经过pix重定向到里面192.168.1.4的长机的www(即80端口)。  pix525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0  !----外部用户径直考察地方222.20.16.5 smtp(25端口)，经过pix重定向到里面192.168.1.5的邮件长机的smtp(即25端口)  pix525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0  10、表露与生存截止  沿用吩咐show config  生存沿用write memory