时间: 2021-07-31 作者:daque
纲要:正文报告了作家第一次亲手交战cisco pix风火墙,归纳了风火墙基础摆设十个上面的实质。 硬件风火墙,是搜集间的墙,提防不法侵占,过滤消息等,从构造上讲,大略地说是一种pc式的电脑长机加上闪存(flash)和风火墙操纵体例。它的硬件跟共控机差不离,都是属于能符合24钟点处事的,表面造型也是相一致。闪存基础上跟路由器一律,都是那中eeprom,操纵体例跟cisco ios一致,都是吩咐行(command)式。 我第一次亲手那到的风火墙是cisco firewall pix 525,是一种机架式规范(即能安置在规范的机柜里),有2u的莫大,反面看跟cisco 路由器一律,惟有少许引导灯,从背板看,有两个以太口(rj-45网卡),一个摆设口(console),2个usb,一个15针的failover口,再有三个pci扩充口。 怎样发端cisco firewall pix呢?我想该当是跟cisco 路由器运用差不离吧,所以用摆设线从电脑的com2连到pix 525的console口,加入pix操纵体例沿用windows体例里的“超等结尾”,通信参数树立为沉默。初始运用有一个初始化进程,重要树立:date(日子)、time(功夫)、hostname(长机称呼)、inside ip address(里面网卡ip地方)、domain(主域)等,即使之上树立精确,就能生存之上树立,也就创造了一个初始化树立了。 加入pix 525沿用超等用户(enable),沉默暗号为空,窜改暗号用passwd 吩咐。普遍情景下firewall摆设,咱们须要做些什么呢?其时第一次交战我也不领会该做些什么,随摆设一道来的有《硬件的安置》和《吩咐运用画册》。我开始看了吩咐的运用,用来几个钟点把几百面包车型的士英布告看结束,对吩咐的运用的领会了一点了,然而对怎样摆设pix仍旧不大领会该从何动手,我想此刻只能去找cisco了,所以在www.cisco.com载入了少许材料,边看边试验了pix。 风火墙是处搜集体例里,所以它跟搜集的构造出色关系,普遍会波及的有route(路由器)、搜集ip地方。再有必需领会规范的tcp[rfc793]和udp[rfc768]端口的设置。 底下我讲一下普遍用到的最基础摆设 1、 创造用户和窜改暗号 跟cisco ios路由器基础一律。 2、 激活以太端口 必需用enable加入,而后加入configure形式 pix525>enable password: pix525#config t pix525(config)#interface ethernet0 auto pix525(config)#interface ethernet1 auto 在沉默情景下ethernet0是属外部网卡outside, ethernet1是属里面网卡inside, inside在初始化摆设胜利的情景下仍旧被激活奏效了,然而outside必需吩咐摆设激活。 3、 定名端口与安定级别 沿用吩咐nameif pix525(config)#nameif ethernet0 outside security0 pix525(config)#nameif ethernet0 outside security100 security0是外部端口outside的安定级别(0安定级别最高) security100是里面端口inside的安定级别,即使中央再有以太口,则security10,security20之类定名,多个网卡构成多个搜集,普遍情景下减少一个以太口动作dmz(demilitarized zones非武装地区)。 4、 摆设以太端口ip 地方 沿用吩咐为:ip address 如:里面搜集为:192.168.1.0 255.255.255.0 外部搜集为:222.20.16.0 255.255.255.0 pix525(config)#ip address inside 192.168.1.1 255.255.255.0 pix525(config)#ip address outside 222.20.16.1 255.255.255.0 5、 摆设长途考察[telnet] 在沉默情景下,pix的以太端口是不承诺telnet的,这一点与路由器有辨别。inside端口不妨做telnet就能用了,但outside端口还跟少许安定摆设相关。 pix525(config)#telnet 192.168.1.1 255.255.255.0 inside pix525(config)#telnet 222.20.16.1 255.255.255.0 outside 尝试telnet 在[发端]->[运转] telnet 192.168.1.1 pix passwd: 输出暗号:cisco 6、 考察列表(access-list) 此功效与cisco ios基础上是一致的,也是firewall的重要局部,有permit和deny两个功效,搜集和议普遍有ip|tcp|udp|icmp之类,如:只承诺考察长机:222.20.16.254的www,端口为:80 pix525(config)#access-list 100 permit ip any host 222.20.16.254 eq www pix525(config)#access-list 100 deny ip any any pix525(config)#access-group 100 in interface outside 7、 地方变换(nat)和端口变换(pat) nat跟路由器基础是一律的, 开始必需设置ip pool,供给给里面ip地方变换的地方段,接着设置里面网段。 pix525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 pix525(config)#nat (outside) 1 192.168.0.0 255.255.255.0 即使是里面十足地方都不妨变换出去则: pix525(config)#nat (outside) 1 0.0.0.0 0.0.0.0 则某些情景下,外部地方是很有限的,有些长机必需独立占用一个ip地方,必需处置的是公用一个外部ip(222.20.16.201),则必需多摆设一条吩咐,这种称为(pat),如许就能处置更多用户同声共享一个ip,有点像代劳效劳器一律的功效。摆设如次: pix525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 pix525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0 pix525(config)#nat (outside) 1 0.0.0.0 0.0.0.0 8、 dhcp server 在里面搜集,为了保护的会合处置和充溢运用有限ip地方,城市起用动静长机调配ip地方效劳器(dhcp server),cisco firewall pix都具备这种功效,底下大略摆设dhcp server,地方段为192.168.1.100—192.168.168.1.200 dns: 主202.96.128.68 备202.96.144.47 主域称呼:abc.com.cn dhcp client 经过pix firewall pix525(config)#ip address dhcp dhcp server摆设 pix525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside pix525(config)#dhcp dns 202.96.128.68 202.96.144.47 pix525(config)#dhcp domain abc.com.cn 9、 静态端口重定向(port redirection with statics) 在pix 本子6.0之上,减少了端口重定向的功效,承诺外部用户经过一个特出的ip地方/端口经过firewall pix 传输到里面指定的里面效劳器。这种功效也即是不妨颁布里面www、ftp、mail等效劳器了,这种办法并不是径直贯穿,而是经过端口重定向,使得里面效劳器很安定。 吩咐方法: static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip [netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip [netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] !----外部用户径直考察地方222.20.16.99 telnet端口,经过pix重定向到里面长机192.168.1.99的telnet端口(23)。 pix525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0 !----外部用户径直考察地方222.20.16.99 ftp,经过pix重定向到里面192.168.1.3的ftp server。 pix525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0 !----外部用户径直考察地方222.20.16.208 www(即80端口),经过pix重定向到里面192.168.123的长机的www(即80端口)。 pix525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0 !----外部用户径直考察地方222.20.16.201 http(8080端口),经过pix重定向到里面192.168.1.4的长机的www(即80端口)。 pix525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0 !----外部用户径直考察地方222.20.16.5 smtp(25端口),经过pix重定向到里面192.168.1.5的邮件长机的smtp(即25端口) pix525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0 10、表露与生存截止 沿用吩咐show config 生存沿用write memory