购物网站建设,邯郸做网站推广多少钱,伊通县建设局网站,政协网站法治建设版块Cisco PIX防火墙配置指南
任何企业安全策略的一个主要部分都是实现和维护防火墙#xff0c;因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘#xff0c;使内部网络与Internet之间或与其他外部网络互相隔离#xff0c;并限制网络互访#x…Cisco PIX防火墙配置指南
任何企业安全策略的一个主要部分都是实现和维护防火墙因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘使内部网络与Internet之间或与其他外部网络互相隔离并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道简化网络的安全管理。
在众多的企业级主流防火墙中Cisco PIX防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号PIX506、515、520、525、535。其中PIX535是PIX 500系列中最新、功能最强大的一款适用于大型的ISP等服务提供商。然而PIX特有的OS操作系统使得大多数管理是通过命令行来实现的这给初学者带来不便。本文将通过实例介绍如何配置Cisco PIX防火墙。
防火墙的物理特性
防火墙通常具有至少3个接口但许多早期的防火墙只具有2个接口。当使用具有3个接口的防火墙时就至少产生了3个网络描述如下
内部区域内网企业内部网络或其一部分是互连网络的信任区域受到防火墙的保护。外部区域外网通常指Internet或非企业内部网络是互连网络中不被信任的区域。外部区域想要访问内部区域的主机和服务时需要通过防火墙实现有限制的访问。停火区DMZ一个隔离的网络或几个网络。位于停火区中的主机或服务器被称为堡垒主机通常放置Web服务器、Mail服务器等。停火区对外部用户通常是可访问的但不允许他们访问企业内部网络。注意2个接口的防火墙是没有停火区的。
由于PIX535在企业级别不具有普遍性下面主要说明PIX525在企业网络中的应用。
管理访问模式
PIX防火墙提供4种管理访问模式
非特权模式开机自检后处于此模式系统显示为 pixfirewall。特权模式输入 enable 进入特权模式可以改变当前配置显示为 pixfirewall#。配置模式输入 configure terminal 进入此模式绝大部分的系统配置都在这里进行显示为 pixfirewall(config)#。监视模式在开机或重启过程中按住Escape键或发送一个“Break”字符进入监视模式。可以更新操作系统映像和口令恢复显示为 monitor。
配置步骤
配置PIX防火墙有6个基本命令nameif、interface、ip address、nat、global、route。以下是配置的基本步骤
1. 配置防火墙接口的名字并指定安全级别nameif
Pix525(config)# nameif ethernet0 outside security0
Pix525(config)# nameif ethernet1 inside security100
Pix525(config)# nameif dmz security50 提示在缺省配置中以太网0被命名为外部接口outside安全级别是0以太网1被命名为内部接口inside安全级别是100。安全级别取值范围为199数字越大安全级别越高。 2. 配置以太口参数interface
Pix525(config)# interface ethernet0 auto
Pix525(config)# interface ethernet1 100full
Pix525(config)# interface ethernet1 100full shutdown 注shutdown选项表示关闭这个接口若启用接口去掉该选项。 3. 配置内外网卡的IP地址ip address
Pix525(config)# ip address outside 61.144.51.42 255.255.255.248
Pix525(config)# ip address inside 192.168.0.1 255.255.255.0
4. 指定要进行转换的内部地址nat
Pix525(config)# nat (inside) 1 0 0 例表示启用nat内网的所有主机都可以访问外网。 5. 指定外部地址范围global
Pix525(config)# global (outside) 1 61.144.51.42-61.144.51.48
6. 设置指向内网和外网的静态路由route
Pix525(config)# route outside 0 0 61.144.51.168 1
高级配置
a. 配置静态IP地址翻译static
Pix525(config)# static (inside, outside) 61.144.51.62 192.168.0.8
b. 管道命令conduit
Pix525(config)# conduit permit tcp host 192.168.0.8 eq www any
c. 配置fixup协议
Pix525(config)# fixup protocol ftp 21
d. 设置telnet
Pix525(config)# telnet local_ip [netmask]
配置实例
welcome to the pix firewall type help or ’?’ for a list of available commands.
pix525 en
password:
pix525# sh config : saved : pix version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 7y051hhccoirtsqz encrypted
hostname pix525
domain-name 123.com
fixup protocol ftp 21
fixup protocol http 80
global (outside) 1 61.144.51.46
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1
维护命令
show interface查看端口状态show static查看静态地址映射show ip查看接口IP地址ping outside | inside ip_address确定连通性
