CISCO PIX命令介绍
PIX1(config)# password cisco #设置登陆密码
PIX1(config)# enable password cisco #管理员模式密码
PIX1(config)# hostname PIX1 #设置防火墙名
PIX1(config)# write terminal #查看当前配置
PIX1(config)# write memory #保存配置
Write erase #清除flash上的配置信息
Show memory #显示物理内存情况
Show cpu usage #显示cpu使用率
Write net #将当前配置保存到TFTP上
mtu outside 1500
mtu inside 1500 ##以太网标准的MTU长度为1500字节
1. 配置防火墙接口的名字,并指定安全级别(nameif)
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif ethernat2 dmz security50 (缺省EO为外部接口,E1为内部接口)
2. 配置以太口参数(interface)
Pix525(config)#interface ethernet0 auto(auto选项表明系统自适应网卡类型)
Pix525(config)#interface ethernet1 100full(表示100Mbit/s以太网全双工通信 )
3. 配置内外中立区网卡的IP地址(ip address)
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
pix525(config)#ip address dmz 192.168.1.1 255.255.255.0
4. 指定要进行转换的内部地址(nat)
Pix525(config)#nat (inside) 1 192.168.0.0 255.255.255.0 (1 0 0代表所有内部主机)
括号里的为接口的名字,1代表相应的地址池与global想匹配。后面为要转换的内部地址
5. 指定外部地址范围(global)
Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 netmask number (若为PAT则只需要一个IP地址)
在使用防火墙的内部网段上,需要将每台计算机的缺省网关指向防火墙,
6. 设置指向内网和外网的静态路由(route)
Pix525(config)#route outside 0 0 61.144.51.168 1
---表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由,1为到达网关的跳数。
Pix525(config)#route inside 10.1.1 .0 255.255.255.0 172.16.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
---如果内部网络只有一个网段,设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网
络 10.1.1 .0的静态路由,静态路由的下一条路由器ip地址是172.16.0.1
缺省情况下,PIX拒绝所有来自外部网段的访问请求。如果允许安全值低的区域的用户访问安全值高的区域的用户,则需要使用static和conduit命令。
7. 配置静态IP地址翻译(static)
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
---创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以
进入到具有较高安全级别的指定接口。
---如果某个全局地址被用于PAT,则此IP不可以再被用于静态NAT。
Static (dmz,outside) 192.168.0.11 172.16.0.2
8. 访问列表(access-list)
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安
全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口
Static (dmz,outside) 192.168.0.11 172.16.0.2
Access-list acl_dmz permit tcp any host 192.168.0.22 eq www
Access-list acl_dmz deny ip any any
Access-group acl_dmz in interface outside #允许外网访问DMZ区的www服务器
9. 配置fixup协议:fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务
Pix525(config)#fixup protocol ftp 21 ##启用ftp协议,并指定ftp的端口号为21
Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 #为http协议指定80和1080两个端口。
Pix525(config)#no fixup protocol smtp 80 #禁用smtp协议。
10.配置远程访问(telnet)
在默然情况下,pix的以太端口是不允许telnet的,这一点与路由器有区别。inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
pix515e(config)# telnet 192.168.1.1 255.255.255.255 inside #允许此主机telnet
pix515e(config)# telnat timeout 15 ##空闲设置为15分钟
11.静态端口重定向
pix515e(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
---外部用户直接访问地址222.20.16.99 telnet端口,通过pix重定向到内部主机192.168.1.99的telnet端口(23)。
pix515e(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
---外部用户直接访问地址222.20.16.99 ftp,通过pix重定向到内部192.168.1.3的ftp server。
控制内部网络对外网发访问,使用outbound和apply命令进行组合。(这个是老命令,应该改为使用access-list)
二、举例
Pix525(config)#nat (inside) 1 10.0.0 .0 255.255.255.0
Pix525(config)#nat (dmz) 1 172.16.0.0 255.255.255.0
Pix525(config)#global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0
Pix525(config)#global (dmz) 1 172.16.0.20-172.16.0.254 netmask 255.255.255.0
--内网访问DMZ时源IP地址被转换为172.16.0.2-254这个地址池中的地址。
--内网访问外部网络时,源地址被转换为192.168.0.20-192.1680.254
--DMZ中的主机访问外网时,总被转换为192.168.1.20-192.168.0.254
--命令global(dmz)使得内部用户可以访问DMZ接口上的Web服务器
--命令nat(dmz)允许DMZ服务访问外网 (开启了nat服务)