防火墻如何配置詳解

1、作者 verve本來寫了這篇文章，想騙些稿費，后來想想 還是和大家一起吧。_（rookie）如何配置 Cisco PIX任何企業(yè)安全策略的一個主要部分都是實現(xiàn)和維護，因此在的實現(xiàn)當中扮演著重要的。通常位于企業(yè)網(wǎng)絡的邊緣，這使得內(nèi)部網(wǎng)絡與Internet 之間或者與其他外部網(wǎng)絡互相，并限制網(wǎng)絡互訪從而保護企業(yè)內(nèi)部網(wǎng)絡。設置 的安全管理。目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設立唯一的通道，簡化網(wǎng)絡中，Cisco PIX在眾多的企業(yè)級主流Cisco PIX 系列是所有同類性能最好的一種。目前有 5 種型號PIX506，515，520，525，535。其中 PIX535是PIX 500 系列中最新，功能也

2、是最強大的一款。它可以提供運營商級別的處理能力，適用于大型的 ISP 等服務提供商。但是 PIX 特有的 OS 操作系統(tǒng)，使得大多數(shù)管理是通過命令行來實現(xiàn)的，不象其他同類的通過Web 管理界面來進行網(wǎng)絡管理，這樣會給初學者帶來不便。本文將通過實例介紹如何配置 Cisco PIX 防火墻。在配置 PIX通常具有至少 3之前，先來介紹一下的物理特性。個接口，但許多早期的只具有 2 個接口；當使用具有 3 個接口的時，就至少產(chǎn)生了 3 個網(wǎng)絡，描述如下：Ø 內(nèi)部區(qū)域（內(nèi)網(wǎng)）。 內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡或者是企業(yè)內(nèi)部網(wǎng)絡的一部分。它是互連網(wǎng)絡的信任區(qū)域，即受到了的保護。Ø 外

3、部區(qū)域（）。 外部區(qū)域通常指 Internet 或者非企業(yè)內(nèi)部網(wǎng)絡。它是互連網(wǎng)絡中不被信任的區(qū)域，當外部區(qū)域想要內(nèi)部區(qū)域的主機和服務，通過，就可以實現(xiàn)有限制的。區(qū)是一個Ø區(qū)（DMZ）。的網(wǎng)絡，或幾個網(wǎng)絡。位于區(qū)中的主區(qū)內(nèi)可以放置 Web 服務器，Mail 服務器的，這種方式讓外部用戶可以企業(yè)的機或服務器被稱為堡壘主機。一般在等。區(qū)對于外部用戶通常是可以，但卻不火區(qū)的。他們企業(yè)內(nèi)部網(wǎng)絡。注意：2 個接口的是沒有停由于PIX535 在企業(yè)級別不具有普遍性，因此下面主要說明 PIX525 在企業(yè)網(wǎng)絡中的應用。PIX提供 4 種管理模式：² ² ²非模式。PIX

4、開機自檢后，就是處于這種模式。系統(tǒng)顯示為 pixfirewall>模式。 輸入 enable 進入模式，可以改變當前配置。顯示為 pixfirewall#配置模式。 輸入 configure terminal 進入此模式，絕大部分的系統(tǒng)配置都在這里進行。顯示為 pixfirewall(config)#PDF 文件使用 "FinePrint pdfFactory Pro" 試用版本創(chuàng)建 堐盈器映基名更缺太基名值器字定驟器字名² 監(jiān)視模式。 PIX在開機或重啟過程中，按住 Escape 鍵或一個“Break”字符，進入監(jiān)視模式。這里可以更新操作系統(tǒng)映象和口令恢復

5、。顯示為 monitor>配置 PIX route.有 6 個基本命令：nameif，interface，ip address，nat，global，這些命令在配置 PIX 是必須的。以下是配置的基本步驟：1. 配置接口的名字，并指定安全級別（nameif）。Pix525(config)#nameif ethernet0 outside security0 Pix525(config)#nameif ethernet1 inside security100 Pix525(config)#nameif dmz security50提示：在缺省配置中，以太網(wǎng) 0 被命名為外部接口（outsi

6、de），安全級別是 0；以太網(wǎng) 1 被命名為內(nèi)部接口（inside），安全級別是 100.安全級別取值范圍為 199， 數(shù)字越大安全級別越高。若添加新的接口，語句可以這樣寫： Pix525(config)#nameif pix/intf3 security40 （安全級別任?。?. 配置以太口參數(shù)（interface）Pix525(config)#interface ethernet0 auto（auto 選項表明系統(tǒng)自適應網(wǎng)卡類型 ） Pix525(config)#interface ethernet1 100full（100full 選項表示 100Mbit/s 以太網(wǎng)全雙工通信 ）Pix

7、525(config)#interface ethernet1 100full shutdown （shutdown 選項表示關閉這個接口，若啟用接口去掉 shutdown ）3. 配置內(nèi)卡的IP 地址（ip address）Pix525(config)#ip address outside 2 48Pix525(config)#ip address inside 很明顯，Pix525在的ip 地址是 2，內(nèi)網(wǎng) ip 地址是 4. 指定要進行轉換的內(nèi)部地

8、址（nat）網(wǎng)絡地址翻譯（nat）作用是將內(nèi)網(wǎng)的私有 ip 轉換為的公有ip.Nat 命令總是與global 命令一起使用，這是因為 nat 命令可以指定一臺主機或一段范圍的主機，時需要利用global 所指定的地址池進行對外。nat 命令配置語法：nat (if_name) nat_id local_ip netmark其中（if_name）表示內(nèi)網(wǎng)接口名字，例如 inside. Nat_id 用來標識全局地址池，使它與其相應的 global 命令相匹配，local_ip 表示內(nèi)網(wǎng)被分配的 ip 地址。例如 表示內(nèi)網(wǎng)所有主機可以對外 。netmark表示內(nèi)網(wǎng) ip 地址的子網(wǎng)

9、掩碼。例 1Pix525(config)#nat (inside) 1 0 0表示啟用 nat,內(nèi)網(wǎng)的所有主機都可以，用 0 可以代表 例 2Pix525(config)#nat (inside) 1 表示只有 這個網(wǎng)段內(nèi)的主機可以。5. 指定外部地址范圍（global）global 命令把內(nèi)網(wǎng)的 ip 地址翻譯成的ip 地址或一段地址范圍。Global 命令的配置語法：global (if_name) nat_id ip_address-ip_address netmark global_mask其中（if_na

10、me）表示接口名字，例如 outside.。Nat_id 用來標識全局地址池，使它與其相應的 nat 命令相匹配，ip_address-ip_address 表示翻譯后的單個 ip 地PDF 文件使用 "FinePrint pdfFactory Pro" 試用版本創(chuàng)建址或一段 ip 地址范圍。netmark global_mask表示全局ip 地址的網(wǎng)絡掩碼。例 1 Pix525(config)#global (outside) 1 2-8表示內(nèi)網(wǎng)的主機通過 pix時，pix要將使用的主機分配一個全局 ip 地61.144.51.

11、42-8 這段ip 地址池為要址。例 2 Pix525(config)#global (outside) 1 2時，pix的所有主機統(tǒng)一使用 2表示內(nèi)網(wǎng)要這個單一 ip 地址。將為例 3. Pix525(config)#no global (outside) 1 2表示刪除這個全局表項。6. 設置指向內(nèi)網(wǎng)和的靜態(tài)路由（route）定義一條靜態(tài)路由。route 命令配置語法：route (if_name) 0 0 gateway_ip metric 其中（if_name）表示接口名字，例如 inside，ou

12、tside。Gateway_ip 表示網(wǎng)關路由器的ip 地址。metric表示到 gateway_ip 的跳數(shù)。通常缺省是 1。例 1 Pix525(config)#route outside 0 0 68 1表示一條指向邊界路由器（ip 地址 68）的缺省路由。例 2 Pix525(config)#route inside 1Pix525(config)#route inside 1如果內(nèi)部網(wǎng)絡只有一個網(wǎng)段，按照例 1

13、 那樣設置一條缺省路由即可；如果內(nèi)部存在多個網(wǎng)絡，需要配置一條以上的靜態(tài)路由。上面那條命令表示創(chuàng)建了一條到網(wǎng)絡 的靜態(tài)路由，靜態(tài)路由的下一條路由器 ip 地址是 OK，這 6 個基本命令若理解了，就可以進入到 pix的一些高級配置了。A. 配置靜態(tài) IP 地址翻譯（static）如果從發(fā)起一個會話，會話的目的地址是一個內(nèi)網(wǎng)的 ip 地址，static 就把內(nèi)部地址翻譯成一個指定的全局地址，這個會話建立。static 命令配置語法：static (internal_if_name，external_if_name) outside_ip_address ins

14、ide_ ip_address 其中internal_if_name 表示內(nèi)部網(wǎng)絡接口，安全級別較高。如 inside. external_if_name 為外部網(wǎng)絡接口，安全級別較低。如 outside 等。outside_ip_address 為正在的較低安全級別的接口上的 ip 地址。inside_ip_address 為內(nèi)部網(wǎng)絡的本地 ip 地址。例 1 Pix525(config)#static (inside, outside) 2 表示ip 地址為 的主機，對于通過 pix建立的每個會話，都被翻譯成 61.144

15、.51.62 這個全局地址，也可以理解成 static 命令創(chuàng)建了內(nèi)部 ip 地址 和外部 ip 地址 2 之間的靜態(tài)。例 2 Pix525(config)#static (inside, outside) 例 3 Pix525(config)#static (dmz, outside) 注釋同例 1。通過以上幾個例子說明使用 static 命令可以讓我們?yōu)橐粋€特定的內(nèi)部ip 地址設置一個的全局 ip 地址。這樣就能夠為具有較低安全級別的指定接口創(chuàng)建一個，使它們可以

16、進入到具有較高安全級別的指定接口。PDF 文件使用 "FinePrint pdfFactory Pro" 試用版本創(chuàng)建 堐盈器映基名更缺太基名值器字定驟器字名B. 管道命令（conduit）前面講過使用 static 命令可以在一個本地 ip 地址和一個全局 ip 地址之間創(chuàng)建了一個靜態(tài)，但從外部到內(nèi)部接口的連接仍然會被 pix的自適應安全算法(ASA)阻擋，conduit 命令用來數(shù)據(jù)流從具有較低安全級別的接口流向具有較高安全級別的接口，例如從外部到 DMZ 或內(nèi)部接口的入方向的會話。對于向內(nèi)部接口的連接，static 和conduit 命令將一起使用，來指定會話的建立。

17、conduit 命令配置語法：conduit permit | deny global_ip port-port protocol foreign_ip netmaskpermit | deny| 拒絕global_ip 指的是先前由 global 或static 命令定義的全局 ip 地址，如果 global_ip 為0，就用 any 代替 0；如果global_ip 是一臺主機，就用 host 命令參數(shù)。port 指的是服務所作用的端口，例如 www 使用 80，smtp 使用 25 等等，我們可以通過服務名稱或端口數(shù)字來指定端口。protocol 指的是連接協(xié)議，比如：TCP、UDP、I

18、CMP 等。foreign_ip 表示可global_ip 的外部 ip。對于任意主機，可以用 any 表示。如果foreign_ip 是一臺主機，就用 host 命令參數(shù)。例 1. Pix525(config)#conduit permit tcp host eq www any這個例子表示任何外部主機對全局地址 的這臺主機進行http?；蚓芷渲惺褂?eq 和一個端口來或拒絕對這個端口的。Eq ftp 就是指絕只對ftp 的。例 2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.5

19、1.89表示不外部主機 9 對任何全局地址進行 ftp例 3. Pix525(config)#conduit permit icmp any any。icmp 消息向內(nèi)部和外部通過。表示例 4. Pix525(config)#static (inside, outside) 2 Pix525(config)#conduit permit tcp host 2 eq www any這個例子說明 static 和conduit 的關系。 在內(nèi)網(wǎng)是一臺 web 服務器，現(xiàn)在希望的用戶能夠通

20、過pix得到web 服務。所以先做 static 靜態(tài)：>2（全局），然后利用 conduit 命令任何外部主機對全局地址 2 進行 http。C. 配置 fixup 協(xié)議fixup 命令作用是啟用， 指定的端口是 pix，改變一個服務或協(xié)議通過 pix要偵聽的服務。見下面例子：，由fixup 命令例 1 Pix525(config)#fixup protocol ftp 21啟用ftp 協(xié)議，并指定 ftp 的端為 21例 2 Pix525(config)#fixup protocol http 80 Pix525(co

21、nfig)#fixup protocol http 1080為http 協(xié)議指定 80 和 1080 兩個端口。例 3 Pix525(config)#no fixup protocol smtp 80禁用smtp 協(xié)議。D. 設置telnetPDF 文件使用 "FinePrint pdfFactory Pro" 試用版本創(chuàng)建 堐盈器映基名更缺太基名值器字定驟器字名telnet 有一個版本的變化。在 pix OS 5.0（pix 操作系統(tǒng)的版本號）之前，只能從內(nèi)部網(wǎng)絡上的主機通過 telnet接口上啟用 telnet 到pix 的pix。在pix OS 5.0 及后續(xù)版本中，

22、可以在所有的。當從外部接口要 telnet 到pix時，telnet 數(shù)據(jù)流需要用ipsec 提供保護，也就是說用戶必須配置 pix 來建立一條到另外一臺 pix， 路由器或客戶端的ipsec 隧道。另外就是在 PIX 上配置 SSH，然后用 SSH client從外部 telnet 到PIX，PIX 支持SSH1 和SSH2，不過SSH1 是軟件，SSH2 是商業(yè)軟件。相比之下 cisco 路由器的 telnet 就作的不怎么樣了。telnet 配置語法：telnet local_ip netmasklocal_ip 表示被通過telnet到pix 的ip 地址。如果不設此項，pix 的配置

23、方式只能由 console 進行。說了這么多，下面給出一個配置實例供大家參考。Welcome to the PIX firewallType help or '?' for a list of available commands. PIX525> enPassword:PIX525#sh config: Saved:PIX Version 6.0(1)PIX 當前的操作系統(tǒng)版本為 6.0Nameif ethernet0 outside security0Nameif ethernet1 inside security100顯示目前 pix 只有 2 個接口Enable

24、password 7Y051HhCcoiRTSQZ encryptedPassed 7Y051HhCcoiRTSQZ encryptedpix在默認狀態(tài)下已被加密，在配置文件中 以明文顯示，telnet Hostname PIX525主機名稱為 PIX525缺省為 ciscoDomain-name - 本地的一個服務器 ，通常用作為外部訪問Fixup protocol ftp 21 Fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protoco

25、l sqlnet 1521fixup protocol sip 5060當前啟用的一些服務或協(xié)議，注意 rsh 服務是不能改變端names -本機名到 ip 地址，在配置中可以用名字代替 ip 地址，當前沒有設置，所以列表為空pager lines 24每 24 行一分頁interface ethernet0 autointerface ethernet1 auto設置兩個網(wǎng)卡的類型為自適應mtu outside 1500mtu inside 1500以太網(wǎng)標準的MTU 長度為 1500 字節(jié)PDF 文件使用 "FinePrint pdfFactory Pro" 試用版本創(chuàng)

26、建 堐盈器映基名更缺太基名值器字定驟器字名ip address outside 2 48ip address inside pix2，內(nèi)網(wǎng)的 ip 地址 ip audit info action alarm的ip 地址ip audit attack action alarmpix檢測的 2 個命令。當有數(shù)據(jù)包具有或報告型特征碼時，pix 將采取動作（缺省動作），向指定的日志主機產(chǎn)生系統(tǒng)日志消息；此外還可以作出丟棄數(shù)據(jù)包和發(fā)出 tcp 連接復位信號等動作，

27、需另外配置。pdm history enablePIX 設備管理器可以圖形化的監(jiān)視 PIXarp timeout 14400arp 表的超時時間global (outside) 1 6如果你面顯示的 ip 就是這個nat (inside) 1 0 0static (inside, outside) 3 netmask 55 0 0conduit permit icmp any anyconduit permit tcp host 3 eq www

28、any conduit permit udp host 3 eq domain any外部或用聊天等等，上- 用 3 這個 ip 地址提供 domain-name 服務，而且只domain 的udp 端口route outside 1 1外部網(wǎng)關 1timeout xlate 3:00:00某個內(nèi)部設備向外部發(fā)出的 ip 包經(jīng)過翻譯(global)后，在缺省 3 個小時之后此數(shù)據(jù)包若沒有活動，此前創(chuàng)建的表項將從翻譯表中刪除，釋放該設備占用的全局地址timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolute AAA 認證的超時時間，absolute 表示連續(xù)運行uauth 定時器，用戶超時后，將強制重新認證aaa-server TACACS+ protocol tac