pix506.docx
- 文档编号:30337753
- 上传时间:2023-08-13
- 格式:DOCX
- 页数:28
- 大小:31.49KB
pix506.docx
《pix506.docx》由会员分享,可在线阅读,更多相关《pix506.docx(28页珍藏版)》请在冰豆网上搜索。
pix506
一、防火墙的几个模式
PIXfirewall>:
用户模式
password:
PIXfirewall#:
特权模式(用enable可进入此模式)
PIXfirewall(config)#:
配置模式(用configureterminal可进入此模式)
monitor>:
ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
建立用户和修改密码(跟ciscoios路由器基本一样)
二、防火墙的基本配置命令
配置CiscoPIX防火墙有如下几个基本命令:
nameif,interface,ipaddress,global,natl,route,static,conduit,ACL,fixup,telnet,show,DHCP。
这些命令在配置PIX是必须的。
以下是配置的基本步骤:
1.nameif(配置防火墙接口的名字,并指定安全级别)
Pix506(config)#nameifethernet0outsidesecurity0
Pix506(config)#nameifethernet1insidesecurity100
Pix506(config)#nameifdmzsecurity50
提示:
在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100。
安全级别取值范围为1~99,数字越大安全级别越高。
若添加新的接口,语句可以这样写:
Pix506(config)#nameifpix/intf3security40(安全级别任取)
2.interface(配置以太口参数)
配置以太口工作状态,常见状态有:
auto、100full、shutdown。
auto:
设置网卡工作在自适应状态。
100full:
设置网卡工作在100Mbit/s,全双工状态。
shutdown:
设置网卡接口关闭,否则为激活。
Pix506(config)#interfaceethernet0auto(auto选项表明系统自适应网卡类型)
Pix506(config)#interfaceethernet1100full(100full选项表示100Mbit/s以太网全双工通信)
Pix506(config)#interfaceethernet1100fullshutdown(shutdown选项表示关闭这个接口,若启用接口去掉shutdown)
在默认情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
3.ipaddress(配置内外网卡的IP地址)
Pix506(config)#ipaddressoutside61.144.51.42255.255.255.248
Pix506(config)#ipaddressinside192.168.0.1255.255.255.0
Pix506(config)#clearipaddress (全部清除ipaddress)
Pix506(config)#noipaddressinside192.168.6.0255.255.255.0(清除这个接口的ipaddress)
4.global(指定外部地址范围)
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。
注意global命令中的nat_id需要和你配置的nat命令中的nat_id相同。
Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmaskglobal_mask]
其中(if_name)表示外网接口名字,例如outside.。
Nat_id用来标识全局地址池(nat要引用),使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。
[netmarkglobal_mask]表示全局ip地址的网络掩码。
例1.Pix506(config)#global(outside)161.144.51.42-61.144.51.48
表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2.Pix506(config)#global(outside)161.144.51.42
表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。
例3.Pix506(config)#noglobal(outside)161.144.51.42
表示删除这个全局表项。
例4.Pix506(config)#global(outside)110.0.0.1255.0.0.0 (PAT转换,当你用这个命令,CLI会给你一个警告信息指出pix要PAT的所有地址)
例5.Pix506(config)#global(outside)110.0.0.1~10.0.0.254255.0.0.0
这里有这样一个命令可以在pix检测转换表中查看你是否有这个特定ip的入口.showxlate,一般一个被转换的ipaddress保存在转换表中的默认时间是3个小时.你可以通过timeoutxlatehh:
ss来更改这个设置.
这里你也同样需要了解PAT是怎么工作的,同样你要知道PAT也有局限,不能支持H.323和高速缓存使用的名称服务器,老实说我也不知道这两个是什么东东:
(
5.nat(指定要进行转换的内部地址)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
nat命令配置语法:
nat(if_name)nat_idlocal_ip[netmark],其中:
if_name表示内网接口名字,例如inside.
Nat_id用来标识全局地址池,使它与其相应的global命令相匹配
local_ip表示内网被分配的ip地址。
例如0.0.0.0表示内网所有主机可以对外访问。
[netmark]表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过nat_id联系在一起
例1.Pix506(config)#nat(inside)100
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
例2.Pix506(config)#nat(inside)1172.16.5.0255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。
nat0命令
如果在内部网络有一个公用地址,要想内部主机不经过转换去外部网络,可以让NAT停止作用。
nat0命令禁止地址转换,所以对外部网络来说,内部ip地址是可见的,重要的是要注意到nat0是与acl联合起来使用的,提供对发生于内部主机/网络不经过转换到外部网络的流量的访问
access-listacl_nonatpermit192.168.43.0255.255.255.0192.168.6.0
nat(inside)0acl_nonat
使用static命令或nat0命令时要求使用访问列表来对已识别的主机/网络建立一个连接.
地址转换(nat)和端口转换(pat)
nat跟路由器基本是一样的,首先必须定义ippool,提供给内部ip地址转换的地址段,接着定义内部网段。
pix506e(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
pix506e(config)#nat(outside)1192.168.0.0255.255.255.0
如果是内部全部地址都可以转换出去则:
pix506e(config)#nat(outside)10.0.0.00.0.0.0
在某些情况下,外部地址是很有限的,有些主机必须单独占用一个ip地址,必须解决的是公用一个外部ip(222.20.16.201),则必须多配置一条命令,这种称为(pat),这样就能解决更多用户同时共享一个ip,有点像代理服务器一样的功能。
配置如下:
pix506e(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
pix506e(config)#global(outside)1222.20.16.201netmask255.255.255.0
pix506e(config)#nat(outside)10.0.0.00.0.0.0
5.nat(指定要进行转换的内部地址)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
nat命令配置语法:
nat(if_name)nat_idlocal_ip[netmark],其中:
if_name表示内网接口名字,例如inside.
Nat_id用来标识全局地址池,使它与其相应的global命令相匹配
local_ip表示内网被分配的ip地址。
例如0.0.0.0表示内网所有主机可以对外访问。
[netmark]表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过nat_id联系在一起
例1.Pix506(config)#nat(inside)100
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
例2.Pix506(config)#nat(inside)1172.16.5.0255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。
nat0命令
如果在内部网络有一个公用地址,要想内部主机不经过转换去外部网络,可以让NAT停止作用。
nat0命令禁止地址转换,所以对外部网络来说,内部ip地址是可见的,重要的是要注意到nat0是与acl联合起来使用的,提供对发生于内部主机/网络不经过转换到外部网络的流量的访问
access-listacl_nonatpermit192.168.43.0255.255.255.0192.168.6.0
nat(inside)0acl_nonat
使用static命令或nat0命令时要求使用访问列表来对已识别的主机/网络建立一个连接.
地址转换(nat)和端口转换(pat)
nat跟路由器基本是一样的,首先必须定义ippool,提供给内部ip地址转换的地址段,接着定义内部网段。
pix506e(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
pix506e(config)#nat(outside)1192.168.0.0255.255.255.0
如果是内部全部地址都可以转换出去则:
pix506e(config)#nat(outside)10.0.0.00.0.0.0
在某些情况下,外部地址是很有限的,有些主机必须单独占用一个ip地址,必须解决的是公用一个外部ip(222.20.16.201),则必须多配置一条命令,这种称为(pat),这样就能解决更多用户同时共享一个ip,有点像代理服务器一样的功能。
配置如下:
pix506e(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
pix506e(config)#global(outside)1222.20.16.201netmask255.255.255.0
pix506e(config)#nat(outside)10.0.0.00.0.0.0
6.route(设置指向内网和外网的静态路由)
定义一条静态路由。
route命令配置语法:
routeif_nameip_addressnetmaskgateway_ip[metric]
其中(if_name)表示接口名称,指你数据要离开处的那个端口,例如inside,outside。
ip_address被路由的ipaddress。
netmask被路由的ipaddress的网络掩码。
Gateway_ip下一跳的ipaddress。
[metric]表示到gateway_ip的跳数。
通常缺省是1。
例1.Pix506(config)#routeoutside0061.144.51.1681
表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
00:
表示所有主机,任意网络。
例2.Pix506(config)#routeinside10.1.1.0255.255.255.0172.16.0.11
Pix506(config)#routeinside10.2.0.0255.255.0.0172.16.0.11
如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。
上面那条命令表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一条路由器ip地址是172.16.0.1。
如果你想要测试新的路由配置,在这之前用cleararp清除pixfirewall的arp高速缓存isagoodidea.
7.static(配置静态IP地址翻译portredirectionwithstatics)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
static命令配置语法:
static(internal_if_name,external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示内部网络接口,安全级别较高。
如inside。
external_if_name为外部网络接口,安全级别较低。
如outside等。
outside_ip_address为正在访问的较低安全级别的接口上的ip地址。
inside_ip_address为内部网络的本地ip地址。
例1.Pix506(config)#static(inside,outside)61.144.51.62192.168.0.8
表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。
例2.Pix506(config)#static(inside,outside)192.168.0.210.0.1.3
例3.Pix506(config)#static(dmz,outside)211.48.16.2172.16.10.8
注释同例1。
通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。
这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
PIX506(config)#static(inside,outside)133.0.0.1192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
PIX506(config)#static(dmz,outside)133.0.0.1172.16.0.2
中间区域ip地址172.16.0.2,访问外部时被翻译成133.0.0.1全局地址。
在pix版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的ip地址/端口通过firewallpix传输到内部指定的内部服务器。
这种功能也就是可以发布内部www、ftp、mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static[(internal_if_name,external_if_name)]{global_ip|interface}local_ip
[netmaskmask][max_cons[max_cons[emb_limit[norandomseq]]]
static[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}local_ip
[netmaskmask][max_cons[max_cons[emb_limit[norandomseq]]]
!
----外部用户直接访问地址222.20.16.99telnet端口,通过pix重定向到内部主机192.168.1.99的telnet端口(23)。
pix506e(config)#static(inside,outside)tcp222.20.16.99telnet192.168.1.99telnetnetmask255.255.255.25500
!
----外部用户直接访问地址222.20.16.99ftp,通过pix重定向到内部192.168.1.3的ftpserver。
pix506e(config)#static(inside,outside)tcp222.20.16.99ftp192.168.1.3ftpnetmask255.255.255.25500
!
----外部用户直接访问地址222.20.16.208www(即80端口),通过pix重定向到内部192.168.123的主机的www(即80端口)。
pix506e(config)#static(inside,outside)tcp222.20.16.208www192.168.1.2wwwnetmask255.255.255.25500
!
----外部用户直接访问地址222.20.16.201http(8080端口),通过pix重定向到内部192.168.1.4的主机的www(即80端口)。
pix506e(config)#static(inside,outside)tcp222.20.16.2088080192.168.1.4wwwnetmask255.255.255.25500
!
----外部用户直接访问地址222.20.16.5smtp(25端口),通过pix重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
pix506e(config)#static(inside,outside)tcp222.20.16.208smtp192.168.1.4smtpnetmask255.255.255.25500
配置经由PIX的入站访问
有一个方法可以让从低安全级界面的连接访问高安全级的界面
1.1静态网络地址转换,为了使外部主机向内部主机发送数据,需要为内部主机配置一个静态转换列表,这也可以通过使用一个nat0access-list地址转换规则来完成.
static(inside,outside)192.168.100.1010.1.100.10netmask255.255.255.0
10.1.100.10是将被映射的地址
192.168.100.10是real_address转换而成的地址.
可以通过static命令来转换一个ip子网
static(inside,outside)192.168.1.010.1.100.0netmask255.255.255.0
关于静态端口地址转换,使用static命令的interface选项,可以运用静态PAT来允许外部主机访问归于一台内部主机的TCP/UDP服务.
8.conduit(管道命令)
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。
对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
conduit命令配置语法:
conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]
permit|deny允许|拒绝访问
global_ip指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
port指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol指的是连接协议,比如:
TCP、UDP、ICMP等。
foreign_ip表示可访问global_ip的外部ip。
对于任意主机,可以用any表示。
如果foreign_ip是一台主机,就用host命令参
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- pix506