PIX防火墙配置小结

一,    基本配置说明.... 1
二,    DHCP配置.... 2
三,    NAT配置.... 3
四,    Outbound与apply的组合使用.... 3
五,    Static与Conduit的组合使用.... 3
六,    Access-list与access-group的组合使用.... 4
七,    附录.... 4


一, 基本配置说明
1,第三方工具
从Cisco公司的WWW或FTP站点上,我们可以获得PIX的最新软件,主要包括如下内容:
pix44n.exe――PIX防火墙的软件映像文件。
pfss44n.exe――PIX Firewall Syslog Server服务器软件,能够提供一个Windows NT服务,用来记录PIX的运行日志。
pfm432b.exe――图形化的PIX管理软件。
rawrite.exe――用于生成PIX的启动软盘。
2,基本配置
interface ethernet0 auto 设定端口0 速率为自动
interface ethernet1 100full 设定端口1 速率为100兆全双工
interface ethernet2 auto 设定端口2 速率为自动
nameif ethernet0 outside security0 设定端口0 名称为 outside 安全级别为0
nameif ethernet1 inside security100 设定端口1 名称为 inside 安全级别为100
nameif ethernet2 dmz security50 设定端口2 名称为 dmz 安全级别为50
enable password Dv0yXUGPM3Xt7xVs encrypted 特权密码
passwd 2KFQnbNIdI.2KYOU encrypted 登陆密码
hostname hhyy 设定防火墙名称
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
no fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙,防火墙默认启用了一些常见的端口,但对于ORACLE等专有端口,需要专门启用。
最后,我们定义接口的IP地址和掩码。
ip address inside 10.0.0.250 255.255.255.0       内网口IP地址
ip address outside 202.12.29.205 255.255.255.248 外网口IP地址


二, DHCP配置

配置DHCP服务器特性(Configuring the DHCP Server Feature)
确保在启动DHCP服务器特性前,使用ip address命令来配置IP地址和inside接口的子网掩模。
按照以下步骤来在给定PIX防火墙接口上启动DHCP服务器特性。(步骤1到6为必需)。
步骤1 使用dhcpd address命令指定一个DHCP地址池。PIX防火墙将向客户机分配此池中的地址之一并在给定长度的时间内使用。默认值为inside接口。
例如:dhcp address 10.0.1.101-10.0.1.110 inside
步骤2 (可选)指定客户机将使用的DNS服务器的IP地址。您最多可指定2个DNS服务器。
例如:dhcpd dns 209.165.201.2 209.165.202.129
步骤3 (可选)指定客户机将使用的WINS服务器的IP地址。您最多可指定2个WINS服务器。
例如:dhcpd wins 209.165.201.5
步骤4 指定授予客户机的租用时间长度。这相当于客户机在租用到期前可使用分配给它的IP地址的时间长度(以秒为单位)。默认值为3600秒。
例如:dhcpd lease 3000
步骤5 (可选)配置客户机将使用的域名。
例如:dhcpd domain example.com
步骤6 启动PIX防火墙中的DHCP端口监督程序,以接收启动接口上的DHCP客户机请求。现在您仅可在inside接口(默认值)上启动DHCP服务器特性。例如:dhcpd enable inside


三, NAT配置
nat (inside) 1 0 0  
---- global (outside) 1 202.12.29.206
----其中1为NAT ID,两个语句中的NAT ID应一样。前一句表示允许所有机器对外访问,第二句定义NAT使用的地址池,由于大部分情况下,合法的IP地址并不多,因此在此例中只设置了一个合法IP地址202.12.29.206用来做地址转换。

如果需要将映射的外网IP地址和外网口的IP地址相同,则需要使用
global (outside) 1 interface

四, Outbound与apply的组合使用
使用outbound和apply命令进行组合,可以控制内部网段的机器能否对外进行访问,举例说明如下。
outbound 10 deny 10.0.0.0 255.255.255.0 irc tcp
outbound 10 permit 10.0.0.204 255.255.255.255 irc tcp
apply (inside) 10 outgoing_src 如果不想让内部用户使用CHAT功能,可以采用第一条命令,禁止10.0.0.1~10.0.0.255的所有机器使用CHAT功能访问外部站点;第二条命令允许10.0.0.204这台机器通过irc协议访问外部站点;第三条命令将前面的命令应用在inside,也就是内部网段上。
outbound 20 deny 202.102.224.25 255.255.255.255 www tcp
apply (inside) 20 outgoing_dest
通过对以上2条命令的组合使用,我们可以禁止内部网段上的所有机器访问外部网络的WWW服务器202.102.224.25。

五, Static与Conduit的组合使用
缺省情况下,PIX拒绝所有来自外部网段的访问请求。当WWW服务器等设备放在防火墙的内部网段上时,为了使外部网络上的用户可以访问到,必须使用static和conduit命令来进行配置。
下面,我们给出允许外部网络访问内部网络上的WWW服务器的命令。
static (inside,outside) 202.12.29.204 10.0.0.204 netmask 255.255.255.255
conduit permit tcp host 202.12.29.204 eq www any
其中,第一个命令将在内部网段的WWW服务器10.0.0.204映射一个外部合法地址202.12.29.204;第二个命令允许所有外部主机通过tcp port 80访问202.12.29.204这台服务器。
接着,我们再给出一个允许外部网络访问内部网络上的邮件服务器10.0.0.203的命令。
static (inside,outside) 202.12.29.203 10.0.0.203 netmask 255.255.255.255
conduit permit tcp host 202.12.29.203 eq smtp any
六, Access-list与access-group的组合使用

七, 附录
Aaa 允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+或RADIUS用户认证、授权和帐户
Aaa-server指定一个AAA服务器
Access-group 将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口
Access-list创建一个访问列表
Alias管理双向NAT中的重叠地址
Arp改变或查看ARP缓存,设置超时值
Auth-prompt改变AAA的提示文本
Ca配置PIX防火墙和CA的交互
Clock设置PIX防火墙时钟以供PIX防火墙系统日志服务器和PKI协议使用
Conduit为向内连接添加、删除或显示通过防火墙的管道
Configure清除或融合当前配置与软盘或闪存中的配置。进入配置模式或查看当前配置
Crypto dynamic-map创建、查看或删除一个动态加密映射项。
Crypto ipsec创建、查看或删除与加密相关的全局值
Crypto map 创建、查看或删除一个动态加密映射项,也用来删除一个加密映射集
Debug通过PIX防火墙调试信息包或ICMP轨迹。
Disable退出特权模式并返回到非特权模式
Domain_name改变IPSec域名
Enable启动特权模式
Enable password设置特权模式的口令
Exit退出访问模式
Failover改变或查看到可选failover特性的访问
Filter允许或禁止向外的URL或HTML对像过滤
Fixup protocol改变、允许、禁止或列出一个PIX防火墙应用的特性
Flashfs清除闪存或显示闪存扇区大小
Floodguard允许或禁止洪泛(FLOOD)保护以防止洪泛攻击
Help显示帮助信息
Global从一个全局地址池中创建或删除项
Hostname改变PIX防火墙命令行提示中的主机名
Interface标示网络接口的速度和双工属性
Ip为本地池和网络接口标示地址
Ipsec配置IPSEC策略
Isakmp协商IPSEC策略联系并允许IPSEC安全通信
Kill终止一个TELNET会话
Logging允许或禁止系统日志和SNMP记录
Mtu为一个接口指定MTU(最大流量单元)
Name/names关联一个名称和一个IP地址
Nameif命名接口并分配安全等级
Nat联系一个网络和一个全局IP地址池
Outbound/apply创建一个访问列表用于控制因特网
Pager使能或禁止屏幕分页
Passwd为TELNET和PIX管理者访问防火墙控制台配置口令
Perfmon浏览性能信息
Ping决定在PIX防火墙上其他的IP地址是否可见
Quit退出配置或特权模式
Reload重新启动或重新加载配置
Rip改变RIP设置
Route为指定的接口输入一条静态或缺省的路由
Service复位向内连接
Session访问一个嵌入式的ACCESSPRO路由器控制台
Show查看命令信息
Show blocks/clear blocks显示系统缓冲区利用情况
Show checksum显示配置校验和
Show conn列出所有的活跃连接
Show history显示前面输入的行
Show interface显示接口配置
Show memory显示系统内存的使用情况
Show processes显示进程
Show tech-support查看帮助技术支持分析员诊断问题的信息
Show traffic显示接口的发送和接收活动
Show uauth未知(我没搞过,嘿嘿)
Show version浏览PIX防火墙操作信息
Show xlate查看地址转换信息
Snmp-server提供SNMP事件信息
Static将局部地址映射为全局地址
Sysopt改变PIX防火墙系统项
Terminal改变控制台终端设置
Timeout设置空闲时间的最大值
Uauth(clear and show)将一个用户的所有授权高速缓存删除
url-cache缓存响应URL过滤对WebSENSE服务器的请求
url-server为使用folter命令指派一个运行WebSENSE的服务器
virtual访问PIX防火墙虚拟服务器
who显示PIX防火墙上的活跃的TELNET管理会话
write存储、查看或删除当前的配置
xlate(clear and show)查看或清除转换槽信息

你可能感兴趣的:(职场,防火墙,休闲,PIX)