cisco防火墻配置

Cisco PIX防火墻配置
　　摘要：本文講述了作者第一次親手接觸Cisco PIX防火墻，總結了防火墻基本配置十個方面的內容。
　　硬件防火墻，是網絡間的墻，防止非法侵入，過濾信息等，從結構上講，簡單地說是一種PC式的電腦主機加上閃存（Flash）和防火墻操作系統。它的硬件跟共控機差不多，都是屬于能適合24小時工作的，外觀造型也是相類似。閃存基本上跟路由器一樣，都是那中EEPROM，操作系統跟
　　Cisco IOS相似,都是命令行（Command）式。
　　我第一次親手那到的防火墻是Cisco Firewall Pix525，是一種機架式標準（即能安裝在標準的機柜里），有2U的高度，正面看跟Cisco路由器一樣，只有一些指示燈，從背板看，有兩個以太口（RJ-45網卡）,一個配置口（console）,2個USB,一個15針的Failover口，還有三個PCI擴展口。
　　如何開始Cisco Firewall Pix呢？我想應該是跟Cisco路由器使用差不多吧，于是用配置線從電腦的COM2連到PIX 525的console口，進入PIX操作系統采用windows系統里的“超級終端”，通訊參數設置為默然。初始使用有一個初始化過程，主要設置：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網卡IP地址)、domain(主域)等，如果以上設置正確，就能保存以上設置，也就建立了一個初始化設置了。
　　進入Pix 525采用超級用戶(enable),默然密碼為空，修改密碼用passwd命令。一般情況下Firewall配置，我們需要做些什么呢？當時第一次接觸我也不知道該做些什么，隨設備一起來的有《硬件的安裝》和《命令使用手冊》。我首先看了命令的使用，用于幾個小時把幾百面的英文書看完了，對命令的使用的知道了一點了，但是對如何配置PIX還是不大清楚該從何入手，我想現在只能去找cisco了,于是在www.cisco.com下載了一些資料，邊看邊實踐了PIX。
　　防火墻是處網絡系統里，因此它跟網絡的結構密切相關，一般會涉及的有Route(路由器)、網絡IP地址。還有必須清楚標準的TCP[RFC793]和UDP[RFC768]端口的定義。
　　下面我講一下一般用到的最基本配置
　　1、 建立用戶和修改密碼跟Cisco IOS路由器基本一樣。
　　2、 激活以太端口必須用enable進入，然后進入configure模式
　　PIX525>enable
　　Password:
　　PIX525#config t
　　PIX525(config)#interface ethernet0 auto
　　PIX525(config)#interface ethernet1 auto
　　在默然情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside,
　　inside在初始化配置成功的情況下已經被激活生效了，但是outside必須命令配置激活。
　　3、 命名端口與安全級別
　　采用命令nameif
　　PIX525(config)#nameif ethernet0 outside security0
　　PIX525(config)#nameif ethernet0 outside security100
　　security0是外部端口outside的安全級別（0安全級別最高）
　　security100是內部端口inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個網卡組成多個網絡，一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)。
　　4、 配置以太端口IP 地址
　　采用命令為：ip address
　　如：內部網絡為：192.168.1.0 255.255.255.0
　　外部網絡為：222.20.16.0 255.255.255.0
　　PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
　　PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
　　5、 配置遠程訪問[telnet]
　　在默然情況下，PIX的以太端口是不允許telnet的，這一點與路由器有區別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關。
　　PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
　　PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
　　測試telnet
　　在[開始]->[運行]
　　telnet 192.168.1.1
　　PIX passwd:
　　輸入密碼：cisco
　　6、 訪問列表(access-list)
　　此功能與Cisco
　　IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個功能，網絡協議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問主機:222.20.16.254的www,端口為：80
　　PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www
　　PIX525(config)#access-list 100 deny ip any any
　　PIX525(config)#access-group 100 in interface outside
　　7、 地址轉換（NAT）和端口轉換(PAT)
　　NAT跟路由器基本是一樣的，
　　首先必須定義IP Pool，提供給內部IP地址轉換的地址段，接著定義內部網段。
　　PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
　　PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
　　如果是內部全部地址都可以轉換出去則：
　　PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
　　則某些情況下，外部地址是很有限的，有些主機必須單獨占用一個IP地址，必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時共享一個IP,有點像代理服務器一樣的功能。配置如下：
　　PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
　　PIX525(config)#global (outside) 1 222.20.16.201 netmask
　　255.255.255.0
　　PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
　　8、 DHCP Server
　　在內部網絡，為了維護的集中管理和充分利用有限IP地址，都會啟用動態主機分配IP地址服務器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.168.1.200
　　DNS: 主202.96.128.68 備202.96.144.47
　　主域名稱：abc.com.cn
　　DHCP Client 通過PIX Firewall
　　PIX525(config)#ip address dhcp
　　DHCP Server配置
　　PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
　　inside
　　PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
　　PIX525(config)#dhcp domain abc.com.cn
　　9、 靜態端口重定向(Port Redirection with Statics)
　　在PIX 版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個特殊的IP地址/端口通過Firewall PIX
　　傳輸到內部指定的內部服務器。這種功能也就是可以發布內部WWW、FTP、Mail等服務器了，這種方式并不是直接連接，而是通過端口重定向，使得內部服務器很安全。
　　命令格式：
　　static
　　[(internal_if_name,external_if_name)]{global_ip|interface}
　　local_ip
　　[netmask
　　mask][max_cons[max_cons[emb_limit[norandomseq]]]
　　static
　　[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
　　local_ip
　　[netmask
　　mask][max_cons[max_cons[emb_limit[norandomseq]]]
　　!----外部用戶直接訪問地址222.20.16.99
　　telnet端口，通過PIX重定向到內部主機192.168.1.99的telnet端口（23）。
　　PIX525(config)#static (inside,outside) tcp 222.20.16.99
　　telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
　　!----外部用戶直接訪問地址222.20.16.99
　　FTP，通過PIX重定向到內部192.168.1.3的FTP Server。
　　PIX525(config)#static (inside,outside) tcp 222.20.16.99
　　ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
　　!----外部用戶直接訪問地址222.20.16.208
　　www(即80端口)，通過PIX重定向到內部192.168.123的主機的www(即80端口)。
　　PIX525(config)#static (inside,outside) tcp 222.20.16.208
　　www 192.168.1.2 www netmask 255.255.255.255 0 0
　　!----外部用戶直接訪問地址222.20.16.201
　　HTTP(8080端口)，通過PIX重定向到內部192.168.1.4的主機的www(即80端口)。
　　PIX525(config)#static (inside,outside) tcp 222.20.16.208
　　8080 192.168.1.4 www netmask 255.255.255.255 0 0
　　!----外部用戶直接訪問地址222.20.16.5
　　smtp(25端口)，通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25端口)
　　PIX525(config)#static (inside,outside) tcp 222.20.16.208
　　smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
　　10、顯示與保存結果
　　采用命令show config
　　保存采用write memory　　

轉載于:https://blog.51cto.com/soeasymuch/162514

總結

以上是生活随笔為你收集整理的cisco防火墙的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。