PIX防火墙
三、
Cisco PIX
防火墙的基本配置
1. 同样是用一条串行电缆从电脑的 COM 口连到 Cisco PIX 525 防火墙的 console 口;
2. 开启所连电脑和防火墙的电源,进入 Windows 系统自带的 " 超级终端 " ,通讯参数可按系统默然。进入防火墙初始化配置,在其中主要设置有: Date( 日期 ) 、 time( 时间 ) 、 hostname( 主机名称 ) 、 inside ip address( 内部网卡 IP 地址 ) 、 domain( 主域 ) 等,完成后也就建立了一个初始化设置了。此时的提示符为: pix255> 。
3. 输入 enable 命令,进入 Pix 525 特权用户模式 , 默然密码为空。
如果要修改此特权用户模式密码,则可用 enable password 命令,命令格式为: enable password password [encrypted] ,这个密码必须大于 16 位。 Encrypted 选项是确定所加密码是否需要加密。
4 、 定义以太端口:先必须用 enable 命令进入特权用户模式,然后输入 configure terminal (可简称为 config t ) , 进入全局配置模式模式。具体配置
pix525>enable
Password:
pix525#config t
pix525 (config)#interface ethernet0 auto
pix525 (config)#interface ethernet1 auto
在默然情况下 ethernet0 是属外部网卡 outside, ethernet1 是属内部网卡 inside, inside 在初始化配置成功的情况下已经被激活生效了,但是 outside 必须命令配置激活。
5. clock
配置时钟,这也非常重要,这主要是为防火墙的日志记录而资金积累的,如果日志记录时间和日期都不准确,也就无法正确分析记录中的信息。这须在全局配置模式下进行。
时钟设置命令格式有两种,主要是日期格式不同,分别为:
clock set hh:mm:ss month day month year 和 clock set hh:mm:ss day month year
前一种格式为:小时:分钟:秒 月 日 年;而后一种格式为:小时:分钟:秒 日 月 年,主要在日、月份的前后顺序不同。在时间上如果为 0 ,可以为一位,如: 21:0:0 。
6. 指定接口的安全级别
指定接口安全级别的命令为 nameif ,分别为内、外部网络接口指定一个适当的安全级别。在此要注意,防火墙是用来保护内部网络的,外部网络是通过外部接口对内部网络构成威胁的,所以要从根本上保障内部网络的安全,需要对外部网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主要是因为内部网络通信频繁、可信度高。在 Cisco PIX 系列防火墙中,安全级别的定义是由 security ()这个参数决定的,数字越小安全级别越高,所以 security0 是最高的,随后通常是以 10 的倍数递增,安全级别也相应降低。如下例:
pix525(config)#nameif ethernet0 outside security0 # outside 是指外部接口
pix525(config)#nameif ethernet1 inside security100 # inside 是指内部接口
1. 同样是用一条串行电缆从电脑的 COM 口连到 Cisco PIX 525 防火墙的 console 口;
2. 开启所连电脑和防火墙的电源,进入 Windows 系统自带的 " 超级终端 " ,通讯参数可按系统默然。进入防火墙初始化配置,在其中主要设置有: Date( 日期 ) 、 time( 时间 ) 、 hostname( 主机名称 ) 、 inside ip address( 内部网卡 IP 地址 ) 、 domain( 主域 ) 等,完成后也就建立了一个初始化设置了。此时的提示符为: pix255> 。
3. 输入 enable 命令,进入 Pix 525 特权用户模式 , 默然密码为空。
如果要修改此特权用户模式密码,则可用 enable password 命令,命令格式为: enable password password [encrypted] ,这个密码必须大于 16 位。 Encrypted 选项是确定所加密码是否需要加密。
4 、 定义以太端口:先必须用 enable 命令进入特权用户模式,然后输入 configure terminal (可简称为 config t ) , 进入全局配置模式模式。具体配置
pix525>enable
Password:
pix525#config t
pix525 (config)#interface ethernet0 auto
pix525 (config)#interface ethernet1 auto
在默然情况下 ethernet0 是属外部网卡 outside, ethernet1 是属内部网卡 inside, inside 在初始化配置成功的情况下已经被激活生效了,但是 outside 必须命令配置激活。
5. clock
配置时钟,这也非常重要,这主要是为防火墙的日志记录而资金积累的,如果日志记录时间和日期都不准确,也就无法正确分析记录中的信息。这须在全局配置模式下进行。
时钟设置命令格式有两种,主要是日期格式不同,分别为:
clock set hh:mm:ss month day month year 和 clock set hh:mm:ss day month year
前一种格式为:小时:分钟:秒 月 日 年;而后一种格式为:小时:分钟:秒 日 月 年,主要在日、月份的前后顺序不同。在时间上如果为 0 ,可以为一位,如: 21:0:0 。
6. 指定接口的安全级别
指定接口安全级别的命令为 nameif ,分别为内、外部网络接口指定一个适当的安全级别。在此要注意,防火墙是用来保护内部网络的,外部网络是通过外部接口对内部网络构成威胁的,所以要从根本上保障内部网络的安全,需要对外部网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主要是因为内部网络通信频繁、可信度高。在 Cisco PIX 系列防火墙中,安全级别的定义是由 security ()这个参数决定的,数字越小安全级别越高,所以 security0 是最高的,随后通常是以 10 的倍数递增,安全级别也相应降低。如下例:
pix525(config)#nameif ethernet0 outside security0 # outside 是指外部接口
pix525(config)#nameif ethernet1 inside security100 # inside 是指内部接口
7.
配置以太网接口
IP
地址
所用命令为: ip address ,如要配置防火墙上的内部网接口 IP 地址为: 192.168.1.0 255.255.255.0 ;外部网接口 IP 地址为: 220.154.20.0 255.255.255.0 。 配置方法如下:
pix525(config)#ip address inside 192.168.1.0 255.255.255.0
pix525(config)#ip address outside 220.154.20.0 255.255.255.0
8. access-group
这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为: access-group acl_ID in interface interface_name ,其中的 "acl_ID" 是指访问控制列表名称, interface_name 为网络接口名称。如:
access-group acl_out in interface outside ,在外部网络接口上绑定名称为 "acl_out" 的访问控制列表。
clear access-group :清除所有绑定的访问控制绑定设置。
no access-group acl_ID in interface interface_name :清除指定的访问控制绑定设置。
show access-group acl_ID in interface interface_name :显示指定的访问控制绑定设置。
9 .配置访问列表
所用配置命令为: access-list ,合格格式比较复杂,如下:
标准规则的创建命令: access-list [ normal special ] listnumber1 { permit deny } source-addr [ source-mask ]
扩展规则的创建命令: access-list [ normal special ] listnumber2 { permit deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] icmp-type [ icmp-code ] ] [ log ]
它是防火墙的主要配置部分,上述格式中带 "[]" 部分是可选项, listnumber 参数是规则号,标准规则号( listnumber1 )是 1~99 之间的整数,而扩展规则号( listnumber2 )是 100~199 之间的整数。它主要是通过访问权限 "permit" 和 "deny" 来指定的,网络协议一般有 IP TCP UDP ICMP 等等。如只允许访问通过防火墙对主机 :220.154.20.254 进行 www 访问,则可按以下配置:
pix525(config)#access-list 100 permit 220.154.20.254 eq www
其中的 100 表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。关于这个命令还将在下面的高级配置命令中详细介绍。
所用命令为: ip address ,如要配置防火墙上的内部网接口 IP 地址为: 192.168.1.0 255.255.255.0 ;外部网接口 IP 地址为: 220.154.20.0 255.255.255.0 。 配置方法如下:
pix525(config)#ip address inside 192.168.1.0 255.255.255.0
pix525(config)#ip address outside 220.154.20.0 255.255.255.0
8. access-group
这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为: access-group acl_ID in interface interface_name ,其中的 "acl_ID" 是指访问控制列表名称, interface_name 为网络接口名称。如:
access-group acl_out in interface outside ,在外部网络接口上绑定名称为 "acl_out" 的访问控制列表。
clear access-group :清除所有绑定的访问控制绑定设置。
no access-group acl_ID in interface interface_name :清除指定的访问控制绑定设置。
show access-group acl_ID in interface interface_name :显示指定的访问控制绑定设置。
9 .配置访问列表
所用配置命令为: access-list ,合格格式比较复杂,如下:
标准规则的创建命令: access-list [ normal special ] listnumber1 { permit deny } source-addr [ source-mask ]
扩展规则的创建命令: access-list [ normal special ] listnumber2 { permit deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] icmp-type [ icmp-code ] ] [ log ]
它是防火墙的主要配置部分,上述格式中带 "[]" 部分是可选项, listnumber 参数是规则号,标准规则号( listnumber1 )是 1~99 之间的整数,而扩展规则号( listnumber2 )是 100~199 之间的整数。它主要是通过访问权限 "permit" 和 "deny" 来指定的,网络协议一般有 IP TCP UDP ICMP 等等。如只允许访问通过防火墙对主机 :220.154.20.254 进行 www 访问,则可按以下配置:
pix525(config)#access-list 100 permit 220.154.20.254 eq www
其中的 100 表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。关于这个命令还将在下面的高级配置命令中详细介绍。
10.
地址转换(
NAT
)
防火墙的 NAT 配置与路由器的 NAT 配置基本一样,首先也必须定义供 NAT 转换的内部 IP 地址组,接着定义内部网段。
定义供 NAT 转换的内部地址组的命令是 nat ,它的格式为: nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]] ,其中 if_name 为接口名; nat_id 参数代表内部地址组号;而 local_ip 为本地网络地址; netmask 为子网掩码; max_conns 为此接口上所允许的最大 TCP 连接数,默认为 "0" ,表示不限制连接; em_limit 为允许从此端口发出的连接数,默认也为 "0" ,即不限制。如:
nat (inside) 1 10.1.6 .0 255.255.255.0
表示把所有网络地址为 10.1.6.0 ,子网掩码为 255.255.255.0 的主机地址定义为 1 号 NAT 地址组。
随后再定义内部地址转换后可用的外部地址池,它所用的命令为 global, 基本命令格式为:
global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ,各参数解释同上。如:
global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0
将上述 nat 命令所定的内部 IP 地址组转换成 175.1.1.3~175.1.1.64 的外部地址池中的外部 IP 地址,其子网掩耳盗铃码为 255.255.255.0 。
11. Port Redirection with Statics
这是静态端口重定向命令。在 Cisco PIX 版本 6.0 以上,增加了端口重定向的功能,允许外部用户通过一个特殊的 IP 地址 / 端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口( PAT ),或者是共享的外部端口。这种功能也就是可以发布内部 WWW 、 FTP 、 Mail 等服务器,这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。
命令格式有两种,分别适用于 TCP/UDP 通信和非 TCP/UDP 通信:
(1). static[(internal_if_name, external_if_name)]{global_ip interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]
( 2 ) . static [(internal_if_name, external_if_name)] {tcp udp}{global_ip interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]
此命令中的以上各参数解释如下:
internal_if_name :内部接口名称; external_if_name :外部接口名称; {tcp udp} :选择通信协议类型; {global_ip interface} :重定向后的外部 IP 地址或共享端口; local_ip :本地 IP 地址; [netmask mask] :本地子网掩码; max_conns :允许的最大 TCP 连接数,默认为 "0" ,即不限制; emb_limit :允许从此端口发起的连接数,默认也为 "0" ,即不限制; norandomseq :不对数据包排序,此参数通常不用选。
防火墙的 NAT 配置与路由器的 NAT 配置基本一样,首先也必须定义供 NAT 转换的内部 IP 地址组,接着定义内部网段。
定义供 NAT 转换的内部地址组的命令是 nat ,它的格式为: nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]] ,其中 if_name 为接口名; nat_id 参数代表内部地址组号;而 local_ip 为本地网络地址; netmask 为子网掩码; max_conns 为此接口上所允许的最大 TCP 连接数,默认为 "0" ,表示不限制连接; em_limit 为允许从此端口发出的连接数,默认也为 "0" ,即不限制。如:
nat (inside) 1 10.1.6 .0 255.255.255.0
表示把所有网络地址为 10.1.6.0 ,子网掩码为 255.255.255.0 的主机地址定义为 1 号 NAT 地址组。
随后再定义内部地址转换后可用的外部地址池,它所用的命令为 global, 基本命令格式为:
global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ,各参数解释同上。如:
global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0
将上述 nat 命令所定的内部 IP 地址组转换成 175.1.1.3~175.1.1.64 的外部地址池中的外部 IP 地址,其子网掩耳盗铃码为 255.255.255.0 。
11. Port Redirection with Statics
这是静态端口重定向命令。在 Cisco PIX 版本 6.0 以上,增加了端口重定向的功能,允许外部用户通过一个特殊的 IP 地址 / 端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口( PAT ),或者是共享的外部端口。这种功能也就是可以发布内部 WWW 、 FTP 、 Mail 等服务器,这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。
命令格式有两种,分别适用于 TCP/UDP 通信和非 TCP/UDP 通信:
(1). static[(internal_if_name, external_if_name)]{global_ip interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]
( 2 ) . static [(internal_if_name, external_if_name)] {tcp udp}{global_ip interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]
此命令中的以上各参数解释如下:
internal_if_name :内部接口名称; external_if_name :外部接口名称; {tcp udp} :选择通信协议类型; {global_ip interface} :重定向后的外部 IP 地址或共享端口; local_ip :本地 IP 地址; [netmask mask] :本地子网掩码; max_conns :允许的最大 TCP 连接数,默认为 "0" ,即不限制; emb_limit :允许从此端口发起的连接数,默认也为 "0" ,即不限制; norandomseq :不对数据包排序,此参数通常不用选。