第一次亲手接触Cisco PIX防火墙

2019-11-04 23:26:06

字体：大中小

来源：转载

供稿：网友

　　摘要：本文讲述了作者第一次亲手接触Cisco PIX防火墙，总结了防火墙基本配置十个方面的内容。
　　硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单地说是一种PC式的电脑主机加上闪存（Flash）和防火墙操作系统。它的硬件跟共控机差不多，都是属于能适合24小时工作的，外观造型也是相类似。闪存基本上跟路由器一样，都是那中EEPROM，操作系统跟Cisco IOS相似,都是命令行（Command）式。
　　我第一次亲手那到的防火墙是Cisco Firewall Pix 525，是一种机架式标准（即能安装在标准的机柜里），有2U的高度，正面看跟Cisco 路由器一样，只有一些指示灯，从背板看，有两个以太口（RJ-45网卡）,一个配置口（console）,2个USB,一个15针的Failover口，还有三个PCI扩展口。
　　如何开始Cisco Firewall Pix呢？我想应该是跟Cisco 路由器使用差不多吧，于是用配置线从电脑的COM2连到PIX 525的console口，进入PIX操作系统采用windows系统里的“超级终端”，通讯参数设置为默然。初始使用有一个初始化过程，主要设置：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，假如以上设置正确，就能保存以上设置，也就建立了一个初始化设置了。
　　进入Pix 525采用超级用户(enable),默然密码为空，修改密码用passwd 命令。一般情况下Firewall配置，我们需要做些什么呢？当时第一次接触我也不知道该做些什么，随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用，用于几个小时把几百面的英文书看完了，对命令的使用的知道了一点了，但是对如何配置PIX还是不大清楚该从何入手，我想现在只能去找cisco了,于是在www.cisco.com下载了一些资料，边看边实践了PIX。
　　防火墙是处网络系统里，因此它跟网络的结构密切相关，一般会涉及的有Route(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。
　　下面我讲一下一般用到的最基本配置
　　1、建立用户和修改密码
　　
　　跟Cisco IOS路由器基本一样。
　　
　　2、激活以太端口
　　必须用enable进入，然后进入configure模式
　　PIX525>enable
　　PassWord:
　　PIX525#config t
　　PIX525(config)#interface ethernet0 auto
　　PIX525(config)#interface ethernet1 auto
　　在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。
　　3、命名端口与安全级别
　　采用命令nameif
　　PIX525(config)#nameif ethernet0 outside security0
　　PIX525(config)#nameif ethernet0 outside security100
　　security0是外部端口outside的安全级别（0安全级别最高）
　　security100是内部端口inside的安全级别,假如中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。
　　4、配置以太端口IP 地址
　　采用命令为：ip address
　　如：内部网络为：192.168.1.0 255.255.255.0
　　外部网络为：222.20.16.0 255.255.255.0
　　PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
　　PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
　　
　　5、配置远程访问[telnet]
　　在默然情况下，PIX的以太端口是不答应telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
　　PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
　　PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
　　测试telnet
　　在[开始]->[运行]
　　telnet 192.168.1.1
　　PIX passwd:
　　输入密码：cisco
　　
　　6、访问列表(access-list)
　　此功能与Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny两个功能，网络协议一般有IPTCPUDPICMP等等，如：只答应访问主机:222.20.16.254的www,端口为：80
　　PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www
　　PIX525(config)#access-list 100 deny ip any any
　　 PIX525(config)#access-group 100 in interface outside
　　
　　7、地址转换（NAT）和端口转换(PAT)
　　NAT跟路由器基本是一样的，
　　首先必须定义IP Pool，提供给内部IP地址转换的地址段，接着定义内部网段。
　　 PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
　　PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
　　假如是内部全部地址都可以转换出去则：
　　PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
　　则某些情况下，外部地址是很有限的，有些主机必须单独占用一个IP地址，必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令，这种称为（PAT），这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下：
　　PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
　　PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
　　PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
　　
　　8、 DHCP Server
　　在内部网络，为了维护的集中治理和充分利用有限IP地址，都会启用动态主机分配IP地址服务器（DHCP Server），Cisco Firewall PIX都具有这种功能，下面简单配置DHCP Server,地址段为192.168.1.100—192.168.168.1.200
　　DNS: 主202.96.128.68 备202.96.144.47
　　主域名称：abc.com.cn
　　DHCP Client 通过PIX Firewall
　　PIX525(config)#ip address dhcp
　　DHCP Server配置
　　PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
　　PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
　　PIX525(config)#dhcp domain abc.com.cn
　　
　　9、静态端口重定向(Port Redirection with Statics)
　　在PIX 版本6.0以上，增加了端口重定向的功能，答应外部用户通过一个非凡的IP地址/端口通过Firewall PIX 传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。
　　命令格式：
　　static [(internal_if_name,external_if_name)]{global_ipinterface} local_ip
　　[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
　　static [(internal_if_name,external_if_name)]{tcpudp}{global_ipinterface} local_ip
　　[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
　　!----外部用户直接访问地址222.20.16.99 telnet端口，通过PIX重定向到内部主机192.168.1.99的telnet端口（23）。
　　PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
　　!----外部用户直接访问地址222.20.16.99 FTP，通过PIX重定向到内部192.168.1.3的FTP Server。
　　PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
　　!----外部用户直接访问地址222.20.16.208 www(即80端口)，通过PIX重定向到内部192.168.123的主机的www(即80端口)。
　　PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
　　!----外部用户直接访问地址222.20.16.201 HTTP(8080端口)，通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
　　PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
　　!----外部用户直接访问地址222.20.16.5 smtp(25端口)，通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
　　PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
　　
　　10、显示与保存结果
　　采用命令show config
　　保存采用write memory
　　以上讲述了我第一次亲手接触Cisco Firewall PIX 525的情况和对其最基本的了解，总结了最基本配置的十大点，作者对Cisco Firewall PIX防火墙的了解还是很肤浅，难免有错误和不到之处，请读者多多指教。(联系方式：Email: hillriver@21cn.com QQ:17355809)
　　
　　原作者:hillriver

上一篇：cisco PIX515E 防火墙的详细设置资料

下一篇：关于Code Red病毒对Cisco设备的影响