防火墻CISCO-PIX525的配置基礎知識

2019-11-04 23:26:29

字體：大中小

來源：轉載

供稿：網友

　　現在，我們通過一個相對簡單的示例說明如何使用Cisco PIX對企業內部網絡進行治理。網絡拓撲圖如附圖所示。Cisco PIX安裝2個網絡接口，一個連接外部網段，另一個連接內部網段，在外部網段上運行的主要是DNS服務器，在內部網段上運行的有WWW服務器和電子郵件服務器，通過Cisco PIX，我們希望達到的效果是：對內部網絡的所有機器進行保護，WWW服務器對外只開放80端口，電子郵件服務器對外只開放25端口。具體*作步驟如下。
　　2．獲得最新PIX軟件
　　---- 從Cisco公司的WWW或FTP站點上，我們可以獲得PIX的最新軟件,主要包括如下內容。
　　
　　pix44n.exe——PIX防火墻的軟件映像文件。
　　pfss44n.exe——PIX Firewall Syslog Server服務器軟件,能夠提供一個Windows NT服務,用來記錄PIX的運行日志。
　　pfm432b.exe——圖形化的PIX治理軟件。
　　rawrite.exe——用于生成PIX的啟動軟盤。
　　3．配置網絡路由
　　---- 在使用防火墻的內部網段上，需要將每臺計算機的缺省網關指向防火墻，比如防火墻內部ip地址為10.0.0.250，則內部網段上的每臺計算機的缺省網關都要設置為10.0.0.250。具體設置在“控制面板”*“網絡”*“TCP/IP協議”中進行。
　　4．配置PIX
　　---- 在配置PIX之前，應該對網絡進行具體的規劃和設計，搜集需要的網絡配置信息。要獲得的信息如下。
　　
　　---- （1）每個PIX網絡接口的IP地址。
　　（2）假如要進行NAT,則要提供一個IP地址池供NAT使用。NAT是網絡地址轉換技術，它可以將使用保留地址的內部網段上的機器映射到一個合*的IP地址上以便進行Internet訪問
　　（3）外部網段的路由器地址。
　　
　　---- 進入PIX配置界面的方*是：連接好超級終端，打開電源，在出現啟動信息和出現提示符 pixfirewall>后輸入“enable”，并輸入密碼，進入特權模式；當提示符變為 pixfirewall#>后，輸入“configure terminal”，再進入配置界面。
　　
　　---- 在配置過程中，我們可以使用write terminal命令查看當前配置，使用write memory保存配置信息到Flash Memory。
　　5．配置網絡接口
　　---- PIX使用nameif和ip address命令進行網絡接口配置。
　　
　　---- 首先使用下面的語句定義內部網段和外部網段的網絡接口。
　　---- nameif ethernet0 outside security0
　　---- nameif ethernet1 inside security100 (外低內高)
　　
　　---- PIX防火墻使用Intel的10/100Mbps網卡，使用下面的命令定義接口配置為自適應。
　　---- interface ethernet0 auto
　　---- interface ethernet1 auto
　　
　　---- 最后，我們定義接口的IP地址和掩碼。
　　---- ip address inside 10.0.0.250 255.255.255.0
　　---- ip address outside 202.12.29.205 255.255.255.248
　　6．答應內部用戶訪問外部網段
　　---- 在前面，我們定義了內部網段安全值為100，外部網段安全值為0。用戶在安全值高的區域訪問安全值低的區域，需要使用nat和global命令；相反地，假如答應安全值低的區域的用戶訪問安全值高的區域的用戶，則需要使用static和conduit命令。
　　---- nat (inside) 1 0 0
　　---- global (outside) 1 202.12.29.206 netmask 255.255.255.248
　　
　　---- 其中1為NAT ID，兩個語句中的NAT ID應一樣。前一句表示答應所有機器對外訪問，第二句定義NAT使用的地址池，由于大部分情況下，合*的IP地址并不多，因此在此例中只設置了一個合*IP地址202.12.29.206用來做地址轉換。
　　7．定義外部路由
　　---- 對于外部網段，還需要定義外部路由，它是防火墻外部網段的缺省路由：route outside 0 0 202.12.29.202 1。其中0 0表示外部網段的缺省路由，1表示從防火墻到路由器只有一個hop。
　　7.1 廣播RIP
　　----rip outside passive
　　----rip inside passive
　　8．答應使用ping命令
　　---- conduit permit icmp any any 此命令答應在內部網段和外部網段使用ping命令進行網絡測試。因為ping命令使用的是ICMP協議，在設置和調試期間，一般開放此功能，當防火墻工作正常后，也可以關閉此項功能。
　　9．保存設置和重新啟動
　　---- 使用write memory命令將配置信息寫入flash memory。使用reload命令重新啟動防火墻。
　　
　　---- 10．增加telnet訪問控制
　　---- 在PIX中，我們可以定義只答應某些機器通過telnet訪問防火墻。需要注重的是，這里進行telnet訪問的機器必須在內部網段上，以增強安全性。
　　
　　---- telnet 10.0.0.204 255.255.255.255
　　
　　---- 即答應10.0.0.204這臺機器使用telnet訪問防火墻。
　　
　　---- telnet timeout 15
　　
　　---- 即將空閑時間設置為15分鐘，當訪問防火墻的機器15分鐘內沒有任何*作時，將自動斷開連接。
　　
　　---- telnet訪問的缺省口令是cisco，可以通過passwd命令來修改口令。
　　
　　---- 測試telnet時，我們可以使用命令debug icmp trace來獲得更多的信息。
　　
　　---- 11．增加服務器訪問控制
　　---- 缺省情況下，PIX拒絕所有來自外部網段的訪問請求。當WWW服務器等設備放在防火墻的內部網段上時，為了使外部網絡上的用戶可以訪問到，必須使用static和conduit命令來進行配置。
　　
　　---- 下面，我們給出答應外部網絡訪問內部網絡上的WWW服務器的命令。
　　---- static (inside,outside) 202.12.29.204(外部的) 10.0.0.204(內部的) netmask 255.255.255.255 (作映射)
　　---- conduit permit tcp host 202.12.29.204 eq www any
　　
　　---- 其中，第一個命令將在內部網段的WWW服務器10.0.0.204映射一個外部合*地址202.12.29.204；第二個命令答應所有外部主機通過tcp port 80訪問202.12.29.204這臺服務器。
　　
　　---- 接著，我們再給出一個答應外部網絡訪問內部網絡上的郵件服務器10.0.0.203的命令。
　　---- static (inside,outside) 202.12.29.203 10.0.0.203 netmask 255.255.255.255
　　---- conduit permit tcp host 202.12.29.203 eq smtp any
　　
　　---- 12．控制內部網段對外的訪問
　　---- 使用outbound和apply命令進行組合，可以控制內部網段的機器能否對外進行訪問，舉例說明如下。
　　---- outbound 10 deny 10.0.0.0 255.255.255.0 irc tcp
　　---- outbound 10 permit 10.0.0.204 255.255.255.255 irc tcp
　　
　　---- apply (inside) 10 outgoing_src 假如不想讓內部用戶使用CHAT功能，可以采用第一條命令，禁止10.0.0.1～10.0.0.255的所有機器使用CHAT功能訪問外部站點；第二條命令答應10.0.0.204這臺機器通過irc協議訪問外部站點;第三條命令將前面的命令應用在inside，也就是內部網段上。
　　---- outbound 20 deny 202.102.224.25 255.255.255.255 www tcp
　　---- apply (inside) 20 outgoing_dest
　　
　　---- 通過對以上2條命令的組合使用，我們可以禁止內部網段上的所有機器訪問外部網絡的WWW服務器202.102.224.25。
　　
　　---- 到此為止，我們已經介紹了在網絡治理中通常會使用到的一些設置命令，其實還有一些其他相關的設置命令，大家可以查閱PIX的文檔或者訪問Cisco公司的網站以獲取最新的資料。
　　
　　---- 總的來說，假如用戶希望得到一臺網絡性能較高但不需要廣泛的監視功能或應用程序過濾功能的企業級防火墻，Cisco PIX將會是一個不錯的選擇。

上一篇：CISCO PIX 防火墻配置實踐

下一篇：如何正確配置Cisco IOS防火墻