總結了防火墻基本配置十個方面的內容。
硬件防火墻,是網絡間的墻,防止非法侵入,過濾信息等,從結構上講,簡單地說是一種pc式的電腦主機加上閃存(Flash)和防火墻操作系統。它的硬件跟共控機差不多,都是屬于能適合24小時工作的,外觀造型也是相類似。閃存基本上跟路由器一樣,都是那中eePRom,操作系統跟cisco ios相似,都是命令行(command)式。
防火墻是cisco firewall pix 515e,是一種機架式標準(即能安裝在標準的機柜里),有1u的高度,正面看跟cisco 路由器一樣,只有一些指示燈,從背板看,有三個以太口(rj-45網卡),一個配置口(console),2個usb,一個15針的failover口,還有pci擴展口。
如何開始cisco firewall pix呢?應該是跟cisco 路由器使用差不多吧,于是用配置線從電腦的com2連到pix 515e的console口,進入pix操作系統采用windows系統里的“超級終端”,通訊參數設置為默然。初始使用有一個初始化過程,主要設置:date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網卡ip地址)、domain(主域)等,假如以上設置正確,就能保存以上設置,也就建立了一個初始化設置了。
進入pix 515e采用超級用戶(enable),默然密碼為空,修改密碼用passwd 命令。一般情況下firewall配置
下面講一下一般用到的最基本配置
1、 建立用戶和修改密碼
跟cisco ios路由器基本一樣。
2、 激活以太端口
必須用enable進入,然后進入configure模式
pix515e>enable
passWord:
pix515e#config t
pix515e(config)#interface ethernet0 auto
pix515e(config)#interface ethernet1 auto
在默然情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside, inside在初始化配置成功的情況下已經被激活生效了,但是outside必須命令配置激活。
3、 命名端口與安全級別
采用命令nameif
pix515e(config)#nameif ethernet0 outside security0
pix515e(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全級別(0安全級別最高)
security100是內部端口inside的安全級別,假如中間還有以太口,則security10,security20等等命名,多個網卡組成多個網絡,一般情況下增加一個以太口作為dmz(demilitarized zones非武裝區域)。
4、 配置以太端口ip 地址
采用命令為:ip address
如:內部網絡為:192.168.1.0 255.255.255.0
外部網絡為:222.20.16.0 255.255.255.0
pix515e(config)#ip address inside 192.168.1.1 255.255.255.0
pix515e(config)#ip address outside 222.20.16.1 255.255.255.0
5、 配置遠程訪問[telnet]
在默然情況下,pix的以太端口是不答應telnet的,這一點與路由器有區別。inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關。
pix515e(config)#telnet 192.168.1.1 255.255.255.0 inside
pix515e(config)#telnet 222.20.16.1 255.255.255.0 outside
測試telnet
在[開始]->[運行]
telnet 192.168.1.1
pix passwd:
輸入密碼:cisco
6、 訪問列表(access-list)
此功能與cisco ios基本上是相似的,也是firewall的主要部分,有permit和deny兩個功能,網絡協議一般有iptcpudpicmp等等,如:只答應訪問主機:222.20.16.254的www,端口為:80
pix515e(config)#access-list 100 permit ip any host 222.20.16.254 eq www
pix515e(config)#access-list 100 deny ip any any
pix515e(config)#access-group 100 in interface outside
7、 地址轉換(nat)和端口轉換(pat)
nat跟路由器基本是一樣的,
首先必須定義ip pool,提供給內部ip地址轉換的地址段,接著定義內部網段。
pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix515e(config)#nat (outside) 1 192.168.0.0 255.255.255.0
假如是內部全部地址都可以轉換出去則:
pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0
則某些情況下,外部地址是很有限的,有些主機必須單獨占用一個ip地址,必須解決的是公用一個外部ip(222.20.16.201),則必須多配置一條命令,這種稱為(pat),這樣就能解決更多用戶同時共享一個ip,有點像代理服務器一樣的功能。配置如下:
pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix515e(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0
8、 dhcp server
在內部網絡,為了維護的集中治理和充分利用有限ip地址,都會啟用動態主機分配ip地址服務器(dhcp server),cisco firewall pix都具有這種功能,下面簡單配置dhcp server,地址段為192.168.1.100—192.168.168.1.200
dns: 主202.96.128.68 備202.96.144.47
主域名稱:abc.com.cn
dhcp client 通過pix firewall
pix515e(config)#ip address dhcp
dhcp server配置
pix515e(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
pix515e(config)#dhcp dns 202.96.128.68 202.96.144.47
pix515e(config)#dhcp domain abc.com.cn
9、 靜態端口重定向(port redirection with statics)
在pix 版本6.0以上,增加了端口重定向的功能,答應外部用戶通過一個非凡的ip地址/端口通過firewall pix 傳輸到內部指定的內部服務器。這種功能也就是可以發布內部www、FTP、mail等服務器了,這種方式并不是直接連接,而是通過端口重定向,使得內部服務器很安全。
命令格式:
static [(internal_if_name,external_if_name)]{global_ipinterface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcpudp}{global_ipinterface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用戶直接訪問地址222.20.16.99 telnet端口,通過pix重定向到內部主機192.168.1.99的telnet端口(23)。
pix515e(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.99 ftp,通過pix重定向到內部192.168.1.3的ftp server。
pix515e(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.208 www(即80端口),通過pix重定向到內部192.168.123的主機的www(即80端口)。
pix515e(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.201 http(8080端口),通過pix重定向到內部192.168.1.4的主機的www(即80端口)。
pix515e(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.5 smtp(25端口),通過pix重定向到內部192.168.1.5的郵件主機的smtp(即25端口)
pix515e(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
10、顯示與保存結果
采用命令show config
保存采用write memory
新聞熱點
疑難解答
