PIX防火牆特色與應用

時間 2020-01-23

標籤 pix 防火牆特色應用简体版

原文原文鏈接

1、PIX防火牆的認識

PIX是Cisco的硬件防火牆，硬件防火牆有工做速度快，使用方便等特色。

PIX有不少型號，併發鏈接數是PIX防火牆的重要參數。PIX25是典型的設備。

PIX防火牆常見接口有：console、Failover、Ethernet、USB。

網絡區域：

內部網絡：inside

外部網絡：outside

中間區域：稱DMZ (停火區)。放置對外開放的服務器。

2、防火牆的配置規則

沒有鏈接的狀態(沒有握手或握手不成功或非法的數據包)，任何數據包沒法穿過防火牆。

(內部發起的鏈接能夠回包。經過ACL開放的服務器容許外部發起鏈接)

inside能夠訪問任何outside和dmz區域。

dmz能夠訪問outside區域。

inside訪問dmz須要配合static(靜態地址轉換)。

outside訪問dmz須要配合acl(訪問控制列表)。

3、PIX防火牆的配置模式：

PIX防火牆的配置模式與路由器相似，有4種管理模式：

PIXfirewall>：用戶模式

PIXfirewall#：特權模式

PIXfirewall(config)#：配置模式

monitor>：ROM監視模式，開機按住[Esc]鍵或發送一個「Break」字符，進入監視模式。

4、PIX基本配置命令

經常使用命令有：nameif、interface、ip address、nat、global、route、static等。

一、nameif

設置接口名稱，並指定安全級別，安全級別取值範圍爲1～100，數字越大安全級別越高。

例如要求設置：

ethernet0命名爲外部接口outside，安全級別是0。

ethernet1命名爲內部接口inside，安全級別是100。

ethernet2命名爲中間接口dmz, 安裝級別爲50。

使用命令：

PIX525(config)#nameif ethernet0 outside security0

PIX525(config)#nameif ethernet1 inside security100

PIX525(config)#nameif ethernet2 dmz security50

二、interface

配置以太口工做狀態，常見狀態有：auto、100full、shutdown。

auto：設置網卡工做在自適應狀態。

100full：設置網卡工做在100Mbit/s，全雙工狀態。

shutdown：設置網卡接口關閉，不然爲激活。

命令：

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 100full

PIX525(config)#interface ethernet1 100full shutdown

三、ip address

配置網絡接口的IP地址，例如：

PIX525(config)#ip address outside 133.0.0.1 255.255.255.252

PIX525(config)#ip address inside 192.168.0.1 255.255.255.0

內網inside接口使用私有地址192.168.0.1，外網outside接口使用公網地址133.0.0.1。

四、global

指定公網地址範圍：定義地址池。

Global命令的配置語法：

global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中：

(if_name)：表示外網接口名稱，通常爲outside。

nat_id：創建的地址池標識(nat要引用)。

ip_address-ip_address：表示一段ip地址範圍。

[netmark global_mask]：表示全局ip地址的網絡掩碼。

例如：

PIX525(config)#global (outside) 1 133.0.0.1-133.0.0.15

地址池1對應的IP是：133.0.0.1-133.0.0.15

PIX525(config)#global (outside) 1 133.0.0.1

地址池1只有一個IP地址 133.0.0.1。

PIX525(config)#no global (outside) 1 133.0.0.1

表示刪除這個全局表項。

五、nat

地址轉換命令，將內網的私有ip轉換爲外網公網ip。

nat命令配置語法：nat (if_name) nat_id local_ip [netmark]

其中：

(if_name)：表示接口名稱，通常爲inside.

nat_id：表示地址池，由global命令定義。

local_ip：表示內網的ip地址。對於0.0.0.0表示內網全部主機。

[netmark]：表示內網ip地址的子網掩碼。

在實際配置中nat命令老是與global命令配合使用。

一個指定外部網絡，一個指定內部網絡，經過net_id聯繫在一塊兒。

例如：

PIX525(config)#nat (inside) 1 0 0

表示內網的全部主機(0 0)均可以訪問由global指定的外網。

PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0/16網段的主機能夠訪問global指定的外網。

六、route

route命令定義靜態路由。

語法：

route (if_name) 0 0 gateway_ip [metric]

其中：

(if_name)：表示接口名稱。

0 0 ：表示全部主機

Gateway_ip：表示網關路由器的ip地址或下一跳。

[metric]：路由花費。缺省值是1。

例如：

PIX525(config)#route outside 0 0 133.0.0.1 1

設置缺省路由從outside口送出，下一跳是133.0.0.1。

0 0 表明 0.0.0.0 0.0.0.0，表示任意網絡。

PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1

設置到10.1.0.0網絡下一跳是10.8.0.1。最後的「1」是花費。

七、static

配置靜態IP地址翻譯，使內部地址與外部地址一一對應。

語法：

static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address

其中：

internal_if_name表示內部網絡接口，安全級別較高，如inside。

external_if_name表示外部網絡接口，安全級別較低，如outside。

outside_ip_address表示外部網絡的公有ip地址。

inside_ ip_address表示內部網絡的本地ip地址。

(括號內序順是先內後外，外邊的順序是先外後內)

例如：

PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.8

表示內部ip地址192.168.0.8，訪問外部時被翻譯成133.0.0.1全局地址。

PIX525(config)#static (dmz，outside) 133.0.0.1 172.16.0.2

中間區域ip地址172.16.0.2，訪問外部時被翻譯成133.0.0.1全局地址。

八、conduit

管道conduit命令用來設置容許數據從低安全級別的接口流向具備較高安全級別的接口。

例如容許從outside到DMZ或inside方向的會話(做用同訪問控制列表)。

語法：

conduit permit|deny protocol global_ip port[-port] foreign_ip [netmask]

其中：

global_ip是一臺主機時前面加host參數，全部主機時用any表示。

foreign_ip 表示外部ip。

[netmask] 表示能夠是一臺主機或一個網絡。

例如：

PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.3

PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any

這個例子說明static和conduit的關係。192.168.0.3是內網一臺web服務器，

如今但願外網的用戶可以經過PIX防火牆訪問web服務。

因此先作static靜態映射：192.168.0.3－>133.0.0.1

而後利用conduit命令容許任何外部主機對全局地址133.0.0.1進行http訪問。

九、訪問控制列表ACL

訪問控制列表的命令與couduit命令相似，

例：

PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www

PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 in interface outside

十、偵聽命令fixup

做用是啓用或禁止一個服務或協議，

經過指定端口設置PIX防火牆要偵聽listen服務的端口。

例：

PIX525(config)#fixup protocol ftp 21

啓用ftp協議，並指定ftp的端口號爲21

PIX525(config)#fixup protocol http 8080

PIX525(config)#no fixup protocol http 80

啓用http協議8080端口，禁止80端口。

十一、telnet

當從外部接口要telnet到PIX防火牆時，telnet數據流須要用***隧道ipsec提供保護或

在PIX上配置SSH，而後用SSH client從外部到PIX防火牆。

例：

telnet local_ip [netmask]

local_ip 表示被受權能夠經過telnet訪問到PIX的ip地址。

若是不設此項，PIX的配置方式只能用console口接超級終端進行。

十二、顯示命令：

show interface　；查看端口狀態。

show static　　；查看靜態地址映射。

show ip　　　　；查看接口ip地址。

show config　　；查看配置信息。

show run ；顯示當前配置信息。

write terminal　　；將當前配置信息寫到終端。

show cpu usage ；顯示CPU利用率，排查故障時經常使用。

show traffic ；查看流量。

show connect count ；查看鏈接數。

show blocks ；顯示攔截的數據包。

show mem ；顯示內存

1三、DHCP 服務

PIX具備DHCP服務功能。

例：

PIX525(config)#ip address dhcp

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

PIX525(config)#dhcp domain abc.com.cn

5、PIX防火牆舉例

設：

ethernet0命名爲外部接口outside，安全級別是0。

ethernet1被命名爲內部接口inside，安全級別100。

ethernet2被命名爲中間接口dmz，安全級別50。

PIX525#conf t

PIX525(config)#nameif ethernet0 outside security0

PIX525(config)#nameif ethernet1 inside security100

PIX525(config)#nameif ethernet2 dmz security50

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 100full

PIX525(config)#interface ethernet2 100full

PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;設置接口IP

PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;設置接口IP

PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;設置接口IP

PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定義的地址池

PIX525(config)#nat (inside) 1 0 0 ;0 0表示全部

PIX525(config)#route outside 0 0 133.0.0.2 ;設置默認路由

PIX525(config)#static (dmz，outside) 133.1.0.1 10.65.1.101 ;靜態NAT

PIX525(config)#static (dmz，outside) 133.1.0.2 10.65.1.102 ;靜態NAT

PIX525(config)#static (inside，dmz) 10.66.1.200 10.66.1.200 ;靜態NAT

PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設置ACL

PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設置ACL

PIX525(config)#access-list 101 deny ip any any ;設置ACL

PIX525(config)#access-group 101 in interface outside ;將ACL應用在outside端口

當內部主機訪問外部主機時，經過nat轉換成公網IP，訪問internet。

當內部主機訪問中間區域dmz時，將本身映射成本身訪問服務器，不然內部主機將會

映射成地址池的IP，到外部去找。

當外部主機訪問中間區域dmz時，對133.0.0.1映射成10.65.1.101， static是雙向的。

PIX的全部端口默認是關閉的，進入PIX要通過acl入口過濾。

靜態路由指示內部的主機和dmz的數據包從outside口出去。

例子：

PIX 防火牆應用舉例

設：

ethernet0命名爲外部接口 outside，安全級別是0。

ethernet1被命名爲內部接口 inside，安全級別100。

ethernet2被命名爲中間接口 dmz，安全級別50。

參考配置：

PIX525#conf t ;進入配置模式

PIX525(config)#nameif ethernet0 outside security0 ;設置定全級 0

PIX525(config)#nameif ethernet1 inside security100 ;設置定全級 100

PIX525(config)#nameif ethernet2 dmz security50 ;設置定全級 50

PIX525(config)#interface ethernet0 auto ;設置自動方式

PIX525(config)#interface ethernet1 100full ;設置全雙工方式

PIX525(config)#interface ethernet2 100full ;設置全雙工方式

PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;設置接口 IP

PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;設置接口 IP

PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;設置接口 IP

PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定義的地址池

PIX525(config)#nat (inside) 1 0 0 ;0 0表示全部

PIX525(config)#route outside 0 0 133.0.0.2 ;設置默認路由

PIX525(config)#static (dmz， outside) 133.1.0.1 10.65.1.101;靜態NAT

PIX525(config)#static (dmz， outside) 133.1.0.2 10.65.1.102 ;靜態NAT

PIX525(config)#static (inside， dmz) 10.66.1.200 10.66.1.200 ;靜態NAT

PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設置 ACL

PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設置 ACL

PIX525(config)#access-list 101 deny ip any any ;設置 ACL

PIX525(config)#access-group 101 in interface outside ;將 ACL應用在outside端口

當內部主機訪問外部主機時，經過 nat轉換成公網IP，訪問internet。

當內部主機訪問中間區域 dmz時，將本身映射成本身訪問服務器，不然內部主機將會

映射成地址池的 IP，到外部去找。

當外部主機訪問中間區域 dmz時，對133.0.0.1映射成10.65.1.101， static是雙向的。

PIX的全部端口默認是關閉的，進入 PIX要通過acl入口過濾。

靜態路由指示內部的主機和 dmz的數據包從outside口出去。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。