防火墙配置
第一次配置防火墙是
Cisco Firewall Pix525
下面我讲一下一般用到的最基本配置
1
、
建立用户和修改密码跟
Cisco IOS
路由器基本一样。
2
、
激活以太端口必须用
enable
进入,然后进入
configure
模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默然情况下
ethernet0
是属外部网卡
outside, ethernet1
是属内部网卡
inside,
inside
在初始化配置成功的情况下已经被激活生效了,但是
outside
必须命令配置激活。
3
、
命名端口与安全级别
采用命令
nameif
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet0 outside security100
security0
是外部端口
outside
的安全级别(
0
安全级别最高)
security100
是内部端口
inside
的安全级别
,
如果中间还有以太口,则
security10
,
security20
等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为
DMZ(Demilitarized Zones
非武装区域
)
。
4
、
配置以太端口
IP
地址
采用命令为:
ip address
如:内部网络为:
192.168.1.0 255.255.255.0
外部网络为:
222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
5
、
配置远程访问
[telnet]
在默然情况下,
PIX
的以太端口是不允许
telnet
的,这一点与路由器有区别。
Inside
端口可以做
telnet
就能用了
,
但
outside
端口还跟一些安全配置有关。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
测试
telnet
在
[
开始
]->[
运行
]
telnet 192.168.1.1
PIX passwd:
输入密码:
cisco
6
、
访问列表
(access-list)
此功能与
Cisco
IOS
基本上是相似的,也是
Firewall
的主要部分,有
permit
和
deny
两个功能,网络协议一般有
IP|TCP|UDP|ICMP
等等,如:只允许访问主机
:222.20.16.254
的
www,
端口为:
80
PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
7
、
地址转换(
NAT
)和端口转换
(PAT)
NAT
跟路由器基本是一样的,
首先必须定义
IP Pool
,提供给内部
IP
地址转换的地址段,接着定义内部网段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个
IP
地址,必须解决的是公用一个外部
IP(222.20.16.201),
则必须多配置一条命令,这种称为(
PAT
),这样就能解决更多用户同时共享一个
IP,
有点像代理服务器一样的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask
255.255.255.0
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
8
、
DHCP Server
在内部网络,为了维护的集中管理和充分利用有限
IP
地址,都会启用动态主机分配
IP
地址服务器(
DHCP Server
),
Cisco Firewall PIX
都具有这种功能,下面简单配置
DHCP Server,
地址段为
192.168.1.100―192.168.168.1.200
DNS:
主
202.96.128.68
备
202.96.144.47
主域名称:
abc.com.cn
DHCP Client
通过
PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server
配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain abc.com.cn
9
、
静态端口重定向
(Port Redirection with Statics)
在
PIX
版本
6.0
以上,增加了端口重定向的功能,允许外部用户通过一个特殊的
IP
地址
/
端口通过
Firewall PIX
传输到内部指定的内部服务器。这种功能也就是可以发布内部
WWW
、
FTP
、
Mail
等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----
外部用户直接访问地址
222.20.16.99
telnet
端口,通过
PIX
重定向到内部主机
192.168.1.99
的
telnet
端口(
23
)。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----
外部用户直接访问地址
222.20.16.99
FTP
,通过
PIX
重定向到内部
192.168.1.3
的
FTP Server
。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----
外部用户直接访问地址
222.20.16.208
www(
即
80
端口
)
,通过
PIX
重定向到内部
192.168.123
的主机的
www(
即
80
端口
)
。
PIX525(config)#static (inside,outside) tcp 222.20.16.208
www 192.168.1.2 www netmask 255.255.255.255 0 0
!----
外部用户直接访问地址
222.20.16.201
HTTP(8080
端口
)
,通过
PIX
重定向到内部
192.168.1.4
的主机的
www(
即
80
端口
)
。
PIX525(config)#static (inside,outside) tcp 222.20.16.208
8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----
外部用户直接访问地址
222.20.16.5
smtp(25
端口
)
,通过
PIX
重定向到内部
192.168.1.5
的邮件主机的
smtp(
即
25
端口
)
PIX525(config)#static (inside,outside) tcp 222.20.16.208
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
10
、显示与保存结果
采用命令
show config
保存采用
write memory