Cisco PIX 防火墻安裝指南

2019-11-04 23:26:33

字體：大中小

來源：轉載

供稿：網友

　　1. 將PIX安放至機架，經檢測電源系統后接上電源，并加電主機。　
　　2. 將CONSOLE口連接到PC的串口上，運行HyperTerminal程序從CONSOLE口進入
　　PIX系統；此時系統提示pixfirewall>。
　　3. 輸入命令：enable,進入特權模式，此時系統提示為pixfirewall#。　
　　4. 輸入命令：configure terminal,對系統進行初始化設置。　
　　5. 配置以太口參數：
　　interface ethernet0 auto（auto選項表明系統自適應網卡類型）
　　interface ethernet1 auto
　　6. 配置內外網卡的ip地址：
　　ip address inside ip_address netmask
　　ip address outside ip_address netmask
　　7. 指定外部地址范圍：
　　global 1 ip_address-ip_address
　　8. 指定要進行要轉換的內部地址：
　　nat 1 ip_address netmask
　　9. 設置指向內部網和外部網的缺省路由
　　route inside 0 0 inside_default_router_ip_address　
　　route outside 0 0 outside_default_router_ip_address　
　　10. 配置靜態IP地址對映：
　　static outside ip_address　　inside ip_address 　
　　11. 設置某些控制選項：
　　conduit global_ip port[-port] PRotocol foreign_ip [netmask] 　
　　global_ip指的是要控制的地址　
　　port　指的是所作用的端口，其中0代表所有端口　
　　protocol　　指的是連接協議，比如：TCP、UDP等　
　　foreign_ip　表示可訪問global_ip的外部ip，其中表示所有的ip。　
　　12. 設置telnet選項：
　　telnet local_ip [netmask]
　　local_ip　　表示被答應通過telnet訪問到pix的ip地址（假如不設此項，
　　PIX的配
　　置只能由consle方式進行）。　
　　13. 將配置保存：
　　wr mem
　　14. 幾個常用的網絡測試命令：
　　#ping
　　#show interface查看端口狀態　
　　#show static　查看靜態地址映射　
　　
　　Cisco PIX 520 是一款性能良好的網絡安全產品，假如再加上Check Point 的軟件防火墻組成兩道防護，可以得到更加完善的安全防范。
　　
　　主要用于局域網的外連設備（如路由器、撥號訪問服務器等）與內部網絡之間，實現內部網絡的安全防范，避免來自外部的惡意攻擊。
　　
　　Cisco PIX 520的默認配置答應從內到外的所有信息請求，拒絕一切外來的主動訪問，只答應內部信息的反饋信息進入。當然也可以通過某些設置，例如：訪問表等，答應外部的訪問。因為，遠程用戶的訪問需要從外到內的訪問。另外，可以通過NAT地址轉換，實現公有地址和私有地址的轉換。
　　
　　簡單地講，PIX 520的主要功能有兩點：
　　
　　1.實現網絡安全
　　
　　2.實現地址轉換
　　
　　下面簡單列出PIX 520 的基本配置
　　
　　1.Configure without NAT
　　
　　nameif ethernet0 outside security0
　　
　　nameif ethernet1 inside security100
　　
　　interface ethernet0 auto
　　
　　interface ethernet1 auto
　　
　　ip address outside 202.109.77.1 255.255.255.0 (假設對外端口地址)
　　
　　ip address inside 10.1.0.9 255.255.255.0(假設內部網絡為:10.1.0.0)
　　
　　hostname bluegarden
　　
　　arp timeout 14400
　　
　　no failover
　　
　　names
　　
　　pager lines 24
　　
　　logging buffered debugging
　　
　　nat (inside) 0 0 0
　　
　　rip inside default no rip inside passive no rip outside default rip outside passive
　　
　　route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外連設備的內部端口地址)
　　
　　timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute
　　
　　no snmp-server location no snmp-server contact snmp-server community public
　　
　　mtu outside 1500 mtu inside 1500
　　
　　2.Configure with NAT
　　
　　nameif ethernet0 outside security0
　　
　　nameif ethernet1 inside security100
　　
　　interface ethernet0 auto
　　
　　interface ethernet1 auto
　　
　　ip address outside 202.109.77.1 255.255.255.0 (假設對外端口地址)
　　
　　ip address inside 10.1.0.9 255.255.255.0(假設內部網絡為:10.1.0.0)
　　
　　hostname bluegarden
　　
　　arp timeout 14400
　　
　　no failover
　　
　　names
　　
　　pager lines 24
　　
　　logging buffered debugging
　　
　　nat (inside) 1 0 0
　　
　　global (outside) 1 202.109.77.10-202.109.77.20 global (outside) 1 202.109.22.21
　　
　　no rip inside default no rip inside passive no rip outside default no rip outside passive
　　
　　conduit permit icmp any any
　　
　　route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外連設備的內部端口地址)
　　
　　timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute
　　
　　no snmp-server location no snmp-server contact snmp-server community public
　　
　　mtu outside 1500 mtu inside 1500
　　
　　Cisco PIX 的多點服務配置
　　
　　PIX 520
　　
　　Two Interface Multiple Server Configuration
　　
　　nameif ethernet0 outside security0
　　
　　nameif ethernet0 inside security100
　　
　　interface ethernet0 auto
　　
　　interface ethernet1 auto
　　
　　ip address inside 10.1.1.1 255.0.0.0
　　
　　ip address outside 204.31.17.10 255.255.255.0
　　
　　logging on
　　
　　logging host 10.1.1.11
　　
　　logging trap 7
　　
　　logging facility 20
　　
　　no logging console
　　
　　arp timeout 600
　　
　　nat (inside) 1 10.0.0.0 255.0.0.0
　　
　　nat (inside) 2 192.168.3.0 255.255.255.0
　　
　　global (outside) 1 204.31.1.25-204.31.17.27
　　
　　global (outside) 1 204.31.1.24
　　
　　global (outside) 2 192.159.1.1-192.159.1.254
　　
　　conduit permit icmp any any
　　
　　outbound 10 deny 192.168.3.3 255.255.255.255 1720
　　
　　outbound 10 deny 0 0 80
　　
　　outbound 10 permit 192.168.3.3 255.255.255.255 80
　　
　　outbound 10 deny 192.168.3.3 255.255.255.255 java
　　
　　outbound 10 permit 10.1.1.11 255.255.255.255 80
　　
　　apply (inside) 10 outgoing_src
　　
　　no rip outside passive
　　
　　no rip outside default
　　
　　rip inside passive
　　
　　rip inside default
　　
　　route outside 0 0 204.31.17.1.1
　　
　　tacacs-server host 10.1.1.12 lq2w3e
　　
　　aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 tacacs+
　　
　　aaa authentication any inside 192.168.3.0 255.255.255.0 0 0
　　
　　static (inside,outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0
　　
　　conduit permit tcp 204.31.19.0 255.255.255.0 eg h323 any
　　
　　static (inside,outside) 204.31.17.29 10.1.1.11
　　
　　conduit permit tcp host 204.31.17.29 eq 80 any
　　
　　conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17
　　
　　conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17
　　
　　static (inside.outside) 204.31.1.30 10.1.1.3 netmask 255.255.255.255 10 10
　　
　　conduit permit tcp host 204.31.1.30 eq smtp any
　　
　　conduit permit tcp host 204.31.1.30 eq 113 any
　　
　　snmp-server host 192.168.3.2
　　
　　snmp-server location building 42
　　
　　snmp-server contact polly hedra
　　
　　snmp-server community ohwhatakeyisthee
　　
　　telnet 10.1.1.11 255.255.255.255
　　
　　telnet 192.168.3.0 255.255.255.0
　　
　　CISCO PIX 防火墻配置實踐 ---- 介紹一個PIX防火墻實際配置案例，因為路由器的配置在安全性方面和PIX防火墻是相輔相成的，所以路由器的配置實例也一并列出。
　　
　　PIX 防火墻
　　
　　設置PIX防火墻的外部地址：
　　
　　ip address outside 131.1.23.2
　　
　　設置PIX防火墻的內部地址：
　　
　　ip address inside 10.10.254.1
　　
　　設置一個內部計算機與Internet上計算機進行通信時所需的全局地址池：
　　
　　global 1 131.1.23.10-131.1.23.254
　　
　　答應網絡地址為10.0.0.0 的網段地址被PIX 翻譯成外部地址：
　　
　　nat 1 10.0.0.0
　　
　　網管工作站固定使用的外部地址為131.1.23.11：
　　
　　static 131.1.23.11 10.14.8.50
　　
　　答應從RTRA發送到到網管工作站的系統日志包通過PIX防火墻：
　　
　　conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255
　　
　　答應從外部發起的對郵件服務器的連接（131.1.23.10）：
　　
　　mailhost 131.1.23.10 10.10.254.3
　　
　　答應網絡治理員通過遠程登錄治理IPX防火墻：
　　
　　telnet 10.14.8.50
　　
　　在位于網管工作站上的日志服務器上記錄所有事件日志：
　　
　　syslog facility 20.7
　　
　　syslog host 10.14.8.50
　　
　　路由器 RTRA
　　
　　----RTRA是外部防護路由器，它必須保護PIX防火墻免受直接攻擊，保護FTP/HTTP服務器，同時作為一個警報系統，假如有人攻入此路由器，治理可以立即被通知。
　　
　　阻止一些對路由器本身的攻擊：
　　
　　no service tcp small-servers
　　
　　強制路由器向系統日志服務器發送在此路由器發生的每一個事件，包括被存取列表拒絕的包和路由器配置的改變；這個動作可以作為對系統治理員的早期預警，預示有人在試圖攻擊路由器，或者已經攻入路由器，正在試圖攻擊防火墻：
　　
　　logging trap debugging
　　
　　此地址是網管工作站的外部地址，路由器將記錄所有事件到此主機上：
　　
　　logging 131.1.23.11
　　
　　保護PIX防火墻和HTTP/FTP服務器以及防衛欺騙攻擊（見存取列表）：
　　
　　enable secret xxxxxxxxxxx
　　
　　interface Ethernet 0
　　
　　ip address 131.1.23.1 255.255.255.0
　　
　　interface Serial 0
　　
　　ip unnumbered ethernet 0
　　
　　ip access-group 110 in
　　
　　禁止任何顯示為來源于路由器RTRA和PIX防火墻之間的信息包，這可以防止欺騙攻擊：
　　
　　access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
　　
　　防止對PIX防火墻外部接口的直接攻擊并記錄到系統日志服務器任何企圖連接PIX防火墻外部接口的事件：
　　
　　access-list 110 deny ip any host 131.1.23.2 log
　　
　　答應已經建立的TCP會話的信息包通過：
　　
　　access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
　　
　　答應和FTP/HTTP服務器的FTP連接：
　　
　　access-list 110 permit tcp any host 131.1.23.3 eq ftp
　　
　　答應和FTP/HTTP 服務器的FTP數據連接：
　　
　　access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
　　
　　答應和FTP/HTTP 服務器的HTTP連接：
　　
　　access-list 110 permit tcp any host 131.1.23.2 eq www
　　
　　禁止和FTP/HTTP服務器的別的連接并記錄到系統日志服務器任何企圖連接FTP/HTTP的事件：
　　
　　access-list 110 deny ip any host 131.1.23.2 log
　　
　　答應其他預定在PIX防火墻和路由器RTRA之間的流量：
　　
　　access-list 110 permit ip any 131.1.23.0 0.0.0.255
　　
　　限制可以遠程登錄到此路由器的IP地址：
　　
　　line vty 0 4
　　
　　login
　　
　　passWord xxxxxxxxxx
　　
　　access-class 10 in
　　
　　只答應網管工作站遠程登錄到此路由器，當你想從Internet治理此路由器時，應對此存取控制列表進行修改：
　　
　　access-list 10 permit ip 131.1.23.11
　　
　　路由器 RTRB
　　
　　----RTRB是內部網防護路由器，它是你的防火墻的最后一道防線，是進入內部網的入口。
　　
　　記錄此路由器上的所有活動到網管工作站上的日志服務器，包括配置的修改：
　　
　　logging trap debugging
　　
　　logging 10.14.8.50
　　
　　答應通向網管工作站的系統日志信息：
　　
　　interface Ethernet 0
　　
　　ip address 10.10.254.2 255.255.255.0
　　
　　no ip proxy-arp
　　
　　ip access-group 110 in
　　
　　
　　
　　access-list 110 permit udp host 10.10.254.0 0.0.0.255
　　
　　禁止所有別的從PIX防火墻發來的信息包：
　　
　　access-list 110 deny ip any host 10.10.254.2 log
　　
　　答應所有別的來源于PIX防火墻和路由器RTRB之間的流量：
　　
　　access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp
　　
　　禁止別的來源與郵件服務器的流量：
　　
　　access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255
　　
　　防止內部網絡的信任地址欺騙：
　　
　　access-list deny ip any 10.10.254.0 0.0.0.255
　　
　　答應所有別的來源于PIX防火墻和路由器RTRB之間的流量：
　　
　　access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255
　　
　　限制可以遠程登錄到此路由器上的IP地址：
　　
　　line vty 0 4
　　
　　login
　　
　　password xxxxxxxxxx
　　
　　access-class 10 in
　　
　　只答應網管工作站遠程登錄到此路由器，當你想從Internet治理此路由器時，應對此存取控制列表進行修改：
　　
　　access-list 10 permit ip 10.14.8.50
　　
　　----按以上設置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判定出內部任何一臺主機的IP地址，即使告訴了內部主機的IP地址，要想直接對它們進行Ping和連接也是不可能的。這樣就可以對整個內部網進行有效的保護。

上一篇：如何正確配置Cisco IOS防火墻

下一篇：CCIE 實驗：VPN Tunnel Network [PIX]