一、PIX防火墻的認(rèn)識(shí)
PIX是Cisco的硬件防火墻,硬件防火墻有工作速度快,使用方便等特點(diǎn)。
PIX有很多型號(hào),并發(fā)連接數(shù)是PIX防火墻的重要參數(shù)。PIX25是典型的設(shè)備。
PIX防火墻常見接口有:console、Failover、Ethernet、USB。
網(wǎng)絡(luò)區(qū)域:
內(nèi)部網(wǎng)絡(luò):inside
外部網(wǎng)絡(luò):outside
中間區(qū)域:稱DMZ(停火區(qū))。放置對(duì)外開放的服務(wù)器。
二、防火墻的配置規(guī)則
沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包),任何數(shù)據(jù)包無法穿過防火墻。
(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務(wù)器允許外部發(fā)起連接)
inside可以訪問任何outside和dmz區(qū)域。
dmz可以訪問outside區(qū)域。
inside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。
outside訪問dmz需要配合acl(訪問控制列表)。
三、PIX防火墻的配置模式
PIX防火墻的配置模式與路由器類似,有4種管理模式:
PIXfirewall>:用戶模式
PIXfirewall#:特權(quán)模式
PIXfirewall(config)#:配置模式
monitor>:ROM監(jiān)視模式,開機(jī)按住[Esc]鍵或發(fā)送一個(gè)“Break”字符,進(jìn)入監(jiān)視模式。
四、PIX基本配置命令
常用命令有:nameif、interface、ipaddress、nat、global、route、static等。
1、nameif
設(shè)置接口名稱,并指定安全級(jí)別,安全級(jí)別取值范圍為1~100,數(shù)字越大安全級(jí)別越高。
例如要求設(shè)置:
ethernet0命名為外部接口outside,安全級(jí)別是0。
ethernet1命名為內(nèi)部接口inside,安全級(jí)別是100。
ethernet2命名為中間接口dmz,安裝級(jí)別為50。
使用命令:
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作狀態(tài),常見狀態(tài)有:auto、100full、shutdown。
auto:設(shè)置網(wǎng)卡工作在自適應(yīng)狀態(tài)。
100full:設(shè)置網(wǎng)卡工作在100Mbit/s,全雙工狀態(tài)。
shutdown:設(shè)置網(wǎng)卡接口關(guān)閉,否則為激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet1100fullshutdown
3、ipaddress
配置網(wǎng)絡(luò)接口的IP地址,例如:
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252
PIX525(config)#ipaddressinside192.168.0.1255.255.255.0
內(nèi)網(wǎng)inside接口使用私有地址192.168.0.1,外網(wǎng)outside接口使用公網(wǎng)地址133.0.0.1。
4、global
指定公網(wǎng)地址范圍:定義地址池。
Global命令的配置語法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外網(wǎng)接口名稱,一般為outside。
nat_id:建立的地址池標(biāo)識(shí)(nat要引用)。
ip_address-ip_address:表示一段ip地址范圍。
[netmarkglobal_mask]:表示全局ip地址的網(wǎng)絡(luò)掩碼。
例如:
PIX525(config)#global(outside)1133.0.0.1-133.0.0.15
地址池1對(duì)應(yīng)的IP是:133.0.0.1-133.0.0.15
PIX525(config)#global(outside)1133.0.0.1
地址池1只有一個(gè)IP地址133.0.0.1。
PIX525(config)#noglobal(outside)1133.0.0.1
表示刪除這個(gè)全局表項(xiàng)。
5、nat
地址轉(zhuǎn)換命令,將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)公網(wǎng)ip。
nat命令配置語法:nat(if_name)nat_idlocal_ip[netmark]
其中:
(if_name):表示接口名稱,一般為inside.
nat_id:表示地址池,由global命令定義。
local_ip:表示內(nèi)網(wǎng)的ip地址。對(duì)于0.0.0.0表示內(nèi)網(wǎng)所有主機(jī)。
[netmark]:表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。
在實(shí)際配置中nat命令總是與global命令配合使用。
一個(gè)指定外部網(wǎng)絡(luò),一個(gè)指定內(nèi)部網(wǎng)絡(luò),通過net_id聯(lián)系在一起。
例如:
PIX525(config)#nat(inside)100
表示內(nèi)網(wǎng)的所有主機(jī)(00)都可以訪問由global指定的外網(wǎng)。
PIX525(config)#nat(inside)1172.16.5.0255.255.0.0
表示只有172.16.5.0/16網(wǎng)段的主機(jī)可以訪問global指定的外網(wǎng)。
6、route
route命令定義靜態(tài)路由。
語法:
route(if_name)00gateway_ip[metric]
其中:
(if_name):表示接口名稱。
00:表示所有主機(jī)
Gateway_ip:表示網(wǎng)關(guān)路由器的ip地址或下一跳。
[metric]:路由花費(fèi)。缺省值是1。
例如:
PIX525(config)#routeoutside00133.0.0.11
設(shè)置缺省路由從outside口送出,下一跳是133.0.0.1。
00代表0.0.0.00.0.0.0,表示任意網(wǎng)絡(luò)。
PIX525(config)#routeinside10.1.0.0255.255.0.010.8.0.11
設(shè)置到10.1.0.0網(wǎng)絡(luò)下一跳是10.8.0.1。最后的“1”是花費(fèi)。
7、static
配置靜態(tài)IP地址翻譯,使內(nèi)部地址與外部地址一一對(duì)應(yīng)。
語法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
其中:
internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口,安全級(jí)別較高,如inside。
external_if_name表示外部網(wǎng)絡(luò)接口,安全級(jí)別較低,如outside。
outside_ip_address表示外部網(wǎng)絡(luò)的公有ip地址。
inside_ip_address表示內(nèi)部網(wǎng)絡(luò)的本地ip地址。
(括號(hào)內(nèi)序順是先內(nèi)后外,外邊的順序是先外后內(nèi))
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.8
表示內(nèi)部ip地址192.168.0.8,訪問外部時(shí)被翻譯成133.0.0.1全局地址。
PIX525(config)#static(dmz,outside)133.0.0.1172.16.0.2
中間區(qū)域ip地址172.16.0.2,訪問外部時(shí)被翻譯成133.0.0.1全局地址。
8、conduit
管道conduit命令用來設(shè)置允許數(shù)據(jù)從低安全級(jí)別的接口流向具有較高安全級(jí)別的接口。
例如允許從outside到DMZ或inside方向的會(huì)話(作用同訪問控制列表)。
語法:
conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
其中:
global_ip是一臺(tái)主機(jī)時(shí)前面加host參數(shù),所有主機(jī)時(shí)用any表示。
foreign_ip表示外部ip。
[netmask]表示可以是一臺(tái)主機(jī)或一個(gè)網(wǎng)絡(luò)。
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.3
PIX525(config)#conduitpermittcphost133.0.0.1eqwwwany
這個(gè)例子說明static和conduit的關(guān)系。192.168.0.3是內(nèi)網(wǎng)一臺(tái)web服務(wù)器,
現(xiàn)在希望外網(wǎng)的用戶能夠通過PIX防火墻訪問web服務(wù)。
所以先做static靜態(tài)映射:192.168.0.3->133.0.0.1
然后利用conduit命令允許任何外部主機(jī)對(duì)全局地址133.0.0.1進(jìn)行http訪問。
9、訪問控制列表ACL
訪問控制列表的命令與couduit命令類似,
例:
PIX525(config)#access-list100permitipanyhost133.0.0.1eqwww
PIX525(config)#access-list100denyipanyany
PIX525(config)#access-group100ininterfaceoutside
10、偵聽命令fixup
作用是啟用或禁止一個(gè)服務(wù)或協(xié)議,
通過指定端口設(shè)置PIX防火墻要偵聽listen服務(wù)的端口。
例:
PIX525(config)#fixupprotocolftp21
啟用ftp協(xié)議,并指定ftp的端口號(hào)為21
PIX525(config)#fixupprotocolhttp8080
PIX525(config)#nofixupprotocolhttp80
啟用http協(xié)議8080端口,禁止80端口。
11、telnet
當(dāng)從外部接口要telnet到PIX防火墻時(shí),telnet數(shù)據(jù)流需要用vpn隧道ipsec提供保護(hù)或
在PIX上配置SSH,然后用SSHclient從外部到PIX防火墻。
例:
telnetlocal_ip[netmask]
local_ip表示被授權(quán)可以通過telnet訪問到PIX的ip地址。
如果不設(shè)此項(xiàng),PIX的配置方式只能用console口接超級(jí)終端進(jìn)行。
12、顯示命令:
showinterface ;查看端口狀態(tài)。
showstatic;查看靜態(tài)地址映射。
showip;查看接口ip地址。
showconfig;查看配置信息。
showrun;顯示當(dāng)前配置信息。
writeterminal;將當(dāng)前配置信息寫到終端。
showcpuusage;顯示CPU利用率,排查故障時(shí)常用。
showtraffic;查看流量。
showblocks;顯示攔截的數(shù)據(jù)包。
showmem;顯示內(nèi)存
13、DHCP服務(wù)
PIX具有DHCP服務(wù)功能。
例:
PIX525(config)#ipaddressdhcp
PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside
PIX525(config)#dhcpdns202.96.128.68202.96.144.47
PIX525(config)#dhcpdomainabc.com.cn
五、PIX防火墻舉例
設(shè):
ethernet0命名為外部接口outside,安全級(jí)別是0。
ethernet1被命名為內(nèi)部接口inside,安全級(jí)別100。
ethernet2被命名為中間接口dmz,安全級(jí)別50。
PIX525#conft
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet2100full
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;設(shè)置接口IP
PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;設(shè)置接口IP
PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;設(shè)置接口IP
PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定義的地址池
PIX525(config)#nat(inside)100;00表示所有
PIX525(config)#routeoutside00133.0.0.2;設(shè)置默認(rèn)路由
PIX525(config)#static(dmz,outside)133.1.0.110.65.1.101;靜態(tài)NAT
PIX525(config)#static(dmz,outside)133.1.0.210.65.1.102;靜態(tài)NAT
PIX525(config)#static(inside,dmz)10.66.1.20010.66.1.200;靜態(tài)NAT
PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;設(shè)置ACL
PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;設(shè)置ACL
PIX525(config)#access-list101denyipanyany;設(shè)置ACL
PIX525(config)#access-group101ininterfaceoutside;將ACL應(yīng)用在outside端口
當(dāng)內(nèi)部主機(jī)訪問外部主機(jī)時(shí),通過nat轉(zhuǎn)換成公網(wǎng)IP,訪問internet。
當(dāng)內(nèi)部主機(jī)訪問中間區(qū)域dmz時(shí),將自己映射成自己訪問服務(wù)器,否則內(nèi)部主機(jī)將會(huì)
映射成地址池的IP,到外部去找。
當(dāng)外部主機(jī)訪問中間區(qū)域dmz時(shí),對(duì)133.0.0.1映射成10.65.1.101,static是雙向的。
PIX的所有端口默認(rèn)是關(guān)閉的,進(jìn)入PIX要經(jīng)過acl入口過濾。
靜態(tài)路由指示內(nèi)部的主機(jī)和dmz的數(shù)據(jù)包從outside口出去。
