配置PIX525
最近配了一台PIX525,下面来说说配置应用的过程。
不过,先来说说如果一个企业要布置防火墙,要注意些什么东东。。。用防火墙的话,无非是想把企业网的安全做起来,但加了台防火墙的话,此时就至少产生了3个网络:
1、内网:也就是trust区域,指的是企业内部网络或者是内部网络的一部分啦。
2、外网:也就是untrust区域,指的是Internet或者企业内部网络以外的区域。
3、DMZ: 叫做demilitarized zone,中文名可以叫做隔离区、停火区或者非军事区域。一般是放置WEB、mail、ftp等服务器需要对外公布的主机。
2、外网:也就是untrust区域,指的是Internet或者企业内部网络以外的区域。
3、DMZ: 叫做demilitarized zone,中文名可以叫做隔离区、停火区或者非军事区域。一般是放置WEB、mail、ftp等服务器需要对外公布的主机。
基本上配置PIX防火墙要用的几个命令是:nameif, ip address, interface,nat ,global, route.
1.nameif 是指配置防火墙接口的名字,并且指定安全级别,这里要特别注意一下安全级别,outside的安全级别是0,inside的安全级别是100。安全级别取值范围为1~99,数字越大安全级别越高。
例如我的配置是:
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
2.用ip address来配置接口地址:
Pix525(config)#ip address outside 202.78.130.186 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显,Pix525此时外网的ip地址是202.78.130.186,内网ip地址是192.168.0.1。
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显,Pix525此时外网的ip地址是202.78.130.186,内网ip地址是192.168.0.1。
3.interface 来配置以太网的双工模式:
Pix525(config)#interface ethernet0 auto(auto表明系统自适应网卡类型 )
Pix525(config)#interface ethernet1 100full(100full 表示全双工通信 )
Pix525(config)#interface ethernet1 100full(100full 表示全双工通信 )
以前经常碰到破pix505常常自己学到10M半双工,蛮头痛的,所以这个命令也是常用的哦。
4,nat 这个要好好的来说说了,nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
nat命令配置语法是这样的:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside,outside。nat_id用来标识全局地址池,使它与其相应的global命令相匹配,
local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
nat命令配置语法是这样的:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside,outside。nat_id用来标识全局地址池,使它与其相应的global命令相匹配,
local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例如:Pix525(config)#nat (inside) 1 0 0 表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
再例如:Pix525(config)#nat (inside) 1 192.168.99.0 255.255.255.0 表示只有192.168.99.0这个网段内的主机可以访问外网。
5. global命令是把内网的ip地址翻译成外网的ip地址或一段地址范围。
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外网接口名字,例如outside.。nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,
ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
例如: Pix525(config)#global (outside) 1 202.78.130.186-202.78.130.190 表示内网的主机通过pix要访问外网时,pix将使用202.78.130.186-202.78.130.190这段ip地址池为要访问外网的主机分配一个外网ip地址。
再例如: Pix525(config)#global (outside) 1 202.78.130.186
表示内网要访问外网时,pix将为访问外网的所有主机统一使用202.78.130.186这一个ip地址。
表示内网要访问外网时,pix将为访问外网的所有主机统一使用202.78.130.186这一个ip地址。
再再例如: Pix525(config)#no global (outside) 1 202.78.130.186 就可以删除这条global命令。(PS:貌似废话了。。。)
6. 设置指向内网和外网的静态路由(route)
定义一条静态路由。route命令配置语法:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1哦,注意一下下。 可以根据内网的需求调整metric。
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1哦,注意一下下。 可以根据内网的需求调整metric。
例如: Pix525(config)#route outside 0 0 202.78.130.186 1 表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
再例如: Pix525(config)#route inside 10.1.1.0 255.255.255.0 192.168.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 192.168.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 192.168.0.1 1
如果内部网络只有一个网段,按照第一个例子那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面例子表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一跳路由是192.168.0.1。另外一个网段10.2.0.0也是下一跳路由是192.168.0.1。
好吧,打累了,今天就写这些基本的命令,有空再来说说一些高级点的应用命令。。。