Cisco PIX防火墙配置命令大全.docx
- 文档编号:7023261
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:13
- 大小:22.04KB
Cisco PIX防火墙配置命令大全.docx
《Cisco PIX防火墙配置命令大全.docx》由会员分享,可在线阅读,更多相关《Cisco PIX防火墙配置命令大全.docx(13页珍藏版)》请在冰豆网上搜索。
CiscoPIX防火墙配置命令大全
CiscoPIX防火墙配置命令大全
一、PIX防火墙的熟悉
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。
PIX有很多型号,并发连接数是PIX防火墙的重要参数。
PIX25是典型的设备。
PIX防火墙常见接口有:
console、Failover、Ethernet、USB。
网络区域:
内部网络:
inside
外部网络:
outside
中间区域:
称DMZ(停火区)。
放置对外开放的服务器。
二、防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(内部发起的连接可以回包。
通过ACL开放的服务器答应外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
三、PIX防火墙的配置模式
PIX防火墙的配置模式与路由器类似,有4种治理模式:
PIXfirewall>:
用户模式
PIXfirewall#:
特权模式
PIXfirewall(config)#:
配置模式
monitor>:
ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
四、PIX基本配置命令
常用命令有:
nameif、interface、ipaddress、nat、global、route、static等。
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
例如要求设置:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1命名为内部接口inside,安全级别是100。
ethernet2命名为中间接口dmz,安装级别为50。
使用命令:
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作状态,常见状态有:
auto、100full、shutdown。
auto:
设置网卡工作在自适应状态。
100full:
设置网卡工作在100Mbit/s,全双工状态。
shutdown:
设置网卡接口关闭,否则为激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet1100fullshutdown
3、ipaddress
配置网络接口的IP地址,例如:
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252
PIX525(config)#ipaddressinside192.168.0.1255.255.255.0
内网inside接口使用私有地址192.168.0.1,外网outside接口使用公网地址133.0.0.1。
4、global
指定公网地址范围:
定义地址池。
Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):
表示外网接口名称,一般为outside。
nat_id:
建立的地址池标识(nat要引用)。
ip_address-ip_address:
表示一段ip地址范围。
[netmarkglobal_mask]:
表示全局ip地址的网络掩码。
例如:
PIX525(config)#global(outside)1133.0.0.1-133.0.0.15
地址池1对应的IP是:
133.0.0.1-133.0.0.15
PIX525(config)#global(outside)1133.0.0.1
地址池1只有一个IP地址133.0.0.1。
PIX525(config)#noglobal(outside)1133.0.0.1
表示删除这个全局表项。
5、nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:
nat(if_name)nat_idlocal_ip[netmark]
其中:
(if_name):
表示接口名称,一般为inside.
nat_id:
表示地址池,由global命令定义。
local_ip:
表示内网的ip地址。
对于0.0.0.0表示内网所有主机。
[netmark]:
表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过net_id联系在一起。
例如:
PIX525(config)#nat(inside)100
表示内网的所有主机(00)都可以访问由global指定的外网。
PIX525(config)#nat(inside)1172.16.5.0255.255.0.0
表示只有172.16.5.0/16网段的主机可以访问global指定的外网。
6、route
route命令定义静态路由。
语法:
route(if_name)00gateway_ip[metric]
其中:
(if_name):
表示接口名称。
00:
表示所有主机
Gateway_ip:
表示网关路由器的ip地址或下一跳。
[metric]:
路由花费。
缺省值是1。
例如:
PIX525(config)#routeoutside00133.0.0.11
设置缺省路由从outside口送出,下一跳是133.0.0.1。
00代表0.0.0.00.0.0.0,表示任意网络。
PIX525(config)#routeinside10.1.0.0255.255.0.010.8.0.11
设置到10.1.0.0网络下一跳是10.8.0.1。
最后的“1”是花费。
7、static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
PIX525(config)#static(dmz,outside)133.0.0.1172.16.0.2
中间区域ip地址172.16.0.2,访问外部时被翻译成133.0.0.1全局地址。
8、conduit
管道conduit命令用来设置答应数据从低安全级别的接口流向具有较高安全级别的接口。
例如答应从outside到DMZ或inside方向的会话(作用同访问控制列表)。
语法:
conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
其中:
global_ip是一台主机时前面加host参数,所有主机时用any表示。
foreign_ip表示外部ip。
[netmask]表示可以是一台主机或一个网络。
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.3
PIX525(config)#conduitpermittcphost133.0.0.1eqwwwany
这个例子说明static和conduit的关系。
192.168.0.3是内网一台web服务器,
现在希望外网的用户能够通过PIX防火墙访问web服务。
所以先做static静态映射:
192.168.0.3->133.0.0.1
然后利用conduit命令答应任何外部主机对全局地址133.0.0.1进行http访问。
9、访问控制列表ACL
访问控制列表的命令与couduit命令类似,
例:
PIX525(config)#Access-list100permitipanyhost133.0.0.1eqwww
PIX525(config)#access-list100denyipanyany
PIX525(config)#access-group100ininterfaceoutside
10、侦听命令fixup
作用是启用或禁止一个服务或协议,
通过指定端口设置PIX防火墙要侦听listen服务的端口。
例:
PIX525(config)#fixupprotocolftp21
启用ftp协议,并指定ftp的端口号为21
PIX525(config)#fixupprotocolhttp8080
PIX525(config)#nofixupprotocolhttp80
启用http协议8080端口,禁止80端口。
11、telnet
当从外部接口要telnet到PIX防火墙时,telnet数据流需要用vpn隧道ipsec提供保护或
在PIX上配置SSH,然后用SSHclient从外部到PIX防火墙。
例:
telnetlocal_ip[netmask]
local_ip表示被授权可以通过telnet访问到PIX的ip地址。
假如不设此项,PIX的配置方式只能用console口接超级终端进行。
12、显示命令:
showinterface;查看端口状态。
showstatic;查看静态地址映射。
showip;查看接口ip地址。
showconfig;查看配置信息。
showrun;显示当前配置信息。
writeterminal;将当前配置信息写到终端。
showcpuusage;显示CPU利用率,排查故障时常用。
showtraffic;查看流量。
showblocks;显示拦截的数据包。
showmem;显示内存
13、DHCP服务
PIX具有DHCP服务功能。
例:
PIX525(config)#ipaddressdhcp
PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside
PIX525(config)#dhcpdns202.96.128.68202.96.144.47
PIX525(config)#dhcpdomain
五、PIX防火墙举例
设:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1被命名为内部接口inside,安全级别100。
ethernet2被命名为中间接口dmz,安全级别50。
PIX525#conft
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet2100full
PIX525(config)#ipaddressoutside133.0.0.12255.255.255.252;设置接口IP
PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;设置接口IP
PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;设置接口IP
PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定义的地址池
PIX525(config)#nat(inside)100;00表示所有
PIX525(config)#routeoutside00133.0.0.2;设置默认路由
PIX525(config)#static(dmz,outside)133.1.0.110.65.1.101;静态NAT
PIX525(config)#static(dmz,outside)133.1.0.210.65.1.102;静态NAT
PIX525(config)#static(inside,dmz)10.66.1.20010.66.1.200;静态NAT
PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;设置ACL
PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;设置ACL
PIX525(config)#access-list101denyipanyany;设置ACL
PIX525(config)#access-group101ininterfaceoutside;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
CiscoPIX防火墙的安装流程
1.将PIX安放至机架,经检测电源系统后接上电源,并加电主机。
2.将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入
PIX系统;此时系统提示pixfirewall>。
3.输入命令:
enable,进入特权模式,此时系统提示为pixfirewall#。
4.输入命令:
configureterminal,对系统进行初始化设置。
5.配置以太口参数:
interfaceethernet0auto(auto选项表明系统自适应网卡类型)
interfaceethernet1auto
6.配置内外网卡的IP地址:
ipaddressinsideip_addressnetmask
ipaddressoutsideip_addressnetmask
7.指定外部地址范围:
global1ip_address-ip_address
8.指定要进行要转换的内部地址:
nat1ip_addressnetmask
9.设置指向内部网和外部网的缺省路由
routeinside00inside_default_router_ip_address
routeoutside00outside_default_router_ip_address
10.配置静态IP地址对映:
staticoutsideip_addressinsideip_address
11.设置某些控制选项:
conduitglobal_ipport[-port]protocolforeign_ip[netmask]
global_ip指的是要控制的地址
port指的是所作用的端口,其中0代表所有端口
protocol指的是连接协议,比如:
TCP、UDP等
foreign_ip表示可访问global_ip的外部ip,其中表示所有的ip。
12.设置telnet选项:
telnetlocal_ip[netmask]
local_ip表示被答应通过telnet访问到pix的ip地址(假如不设此项,PIX的配置只能由consle方式进行)。
13.将配置保存:
wrmem
14.几个常用的网络测试命令:
#ping
#showinterface查看端口状态
#showstatic查看静态地址映射
CiscoPIX的基本配置
CiscoPIX520是一款性能良好的网络安全产品,假如再加上CheckPoint的软件防火墙组成两道防护,可以得到更加完善的安全防范。
主要用于局域网的外连设备(如路由器、拨号访问服务器等)与内部网络之间,实现内部网络的安全防范,避免来自外部的恶意攻击。
CiscoPIX520的默认配置答应从内到外的所有信息请求,拒绝一切外来的主动访问,只答应内部信息的反馈信息进入。
当然也可以通过某些设置,例如:
访问表等,答应外部的访问。
因为,远程用户的访问需要从外到内的访问。
另外,可以通过NAT地址转换,实现公有地址和私有地址的转换。
简单地讲,PIX520的主要功能有两点:
1.实现网络安全,2.实现地址转换
下面简单列出PIX520的基本配置
1.ConfigurewithoutNAT
nameifethernet0outsidesecurity0
nameifethernet1insidesecurity100
interfaceethernet0auto
interfaceethernet1auto
ipaddressoutside202.109.77.1255.255.255.0(假设对外端口地址)
ipaddressinside10.1.0.9255.255.255.0(假设内部网络为:
10.1.0.0)
hostnamebluegarden
arptimeout14400
nofailover
names
pagerlines24
loggingbuffereddebugging
nat(inside)000
ripinsidedefault
noripinsidepassive
noripoutsidedefault
ripoutsidepassive
routeoutside0.0.0.00.0.0.0202.109.77.21(外连设备的内部端口地址)
timeoutxlate3:
00:
00conn1:
00:
00udp0:
02:
00
timeoutrpc0:
10:
00h3230:
05:
00
timeoutuauth0:
05:
00absolute
nosnmp-serverlocation
nosnmp-servercontact
snmp-servercommunitypublic
mtuoutside1500
mtuinside1500
2.ConfigurewithNAT
nameifethernet0outsidesecurity0
nameifethernet1insidesecurity100
interfaceethernet0auto
interfaceethernet1auto
ipaddressoutside202.109.77.1255.255.255.0(假设对外端口地址)
ipaddressinside10.1.0.9255.255.255.0(假设内部网络为:
10.1.0.0)
hostnamebluegarden
arptimeout14400
nofailover
names
pagerlines24
loggingbuffereddebugging
nat(inside)100
global(outside)1202.109.77.10-202.109.77.20
global(outside)1202.109.22.21
noripinsidedefault
noripinsidepassive
noripoutsidedefault
noripoutsidepassive
conduitpermiticmpanyany
routeoutside0.0.0.00.0.0.0202.109.77.21(外连设备的内部端口地址)
timeoutxlate3:
00:
00conn1:
00:
00udp0:
02:
00
timeoutrpc0:
10:
00h3230:
05:
00
timeoutuauth0:
05:
00absolute
nosnmp-serverlocation
nosnmp-servercontact
snmp-servercommunitypublic
mtuoutside1500
mtuinside1500
Cisco公司对BT封锁的方法
用户疯狂BT(p2p软件)对网络的使用造成了极大危害,目前常用的办法是:
方法1、采用Cisco公司的nbar来限制;
配置步骤如下:
------------定义Class-map-------------;
!
class-mapmatch-allbittorrent
matchprotocolbittorrent
class-mapmatch-alledonkey
matchprotocoledonkey
!
注重:
假如matchprotocol命令里没有bittorrent、edonkey选项,那么说明你的IOS版本还没有包
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Cisco PIX防火墙配置命令大全 PIX 防火墙 配置 命令 大全