防火墙基础Word下载.docx
《防火墙基础Word下载.docx》由会员分享,可在线阅读,更多相关《防火墙基础Word下载.docx(25页珍藏版)》请在冰豆网上搜索。
输入configureterminal进入此模式,绝大部分的系统配置都在这里进行。
显示为pixfirewall(config)#
监视模式。
PIX防火墙在开机或重启过程中,按住Escape键或发送一个"
Break"
字符,进入监视模式。
这里可以更新*作系统映象和口令恢复。
显示为monitor>
配置PIX防火墙有6个基本命令:
nameif,interface,ipaddress,nat,global,route.
这些命令在配置PIX时是必须的。
以下是配置的基本步骤:
1.配置防火墙接口的名字,并指定安全级别(nameif)。
Pix525(config)#nameifethernet0outsidesecurity0
Pix525(config)#nameifethernet1insidesecurity100
Pix525(config)#nameifdmzsecurity50
提示:
在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;
以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。
若添加新的接口,语句可以这样写:
Pix525(config)#nameifpix/intf3security40(安全级别任取)
2.配置以太口参数(interface)
Pix525(config)#interfaceethernet0auto
(auto选项表明系统自适应网卡类型)
Pix525(config)#interfaceethernet1100full
(100full选项表示100Mbit/s以太网全双工通信)
Pix525(config)#interfaceethernet1100fullshutdown(shutdown选项表示关闭这个接口,若启用接口去掉shutdown)
3.配置内外网卡的IP地址(ipaddress)
Pix525(config)#ipaddressoutside61.144.51.42255.255.255.248
Pix525(config)#ipaddressinside192.168.0.1255.255.255.0
很明显,Pix525防火墙在外网的ip地址是61.144.51.42,内网ip地址是192.168.0.1
例1.Pix525(config)#conduitpermittcphost192.168.0.8eqwwwany
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。
其中使用eq和一个端口来允许或拒绝对这个端口的访问。
Eqftp就是指允许或拒绝只对ftp的访问。
例2.Pix525(config)#conduitdenytcpanyeqftphost61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
例3.Pix525(config)#conduitpermiticmpanyany
表示允许icmp消息向内部和外部通过。
例4.Pix525(config)#static(inside,outside)61.144.51.62192.168.0.3
Pix525(config)#conduitpermittcphost61.144.51.62eqwwwany
这个例子说明static和conduit的关系。
192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。
所以先做static静态映射:
192.168.0.3->
61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。
C.配置fixup协议
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。
见下面例子:
例1.Pix525(config)#fixupprotocolftp21
启用ftp协议,并指定ftp的端口号为21
例2.Pix525(config)#fixupprotocolhttp80
Pix525(config)#fixupprotocolhttp1080
为http协议指定80和1080两个端口。
例3.Pix525(config)#nofixupprotocolsmtp80
禁用smtp协议。
D.设置telnet
telnet有一个版本的变化。
在pixOS5.0(pix*作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。
在pixOS5.0及后续版本中,可以在所有的接口上启用telnet到pix的访问。
当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。
另外就是在PIX上配置SSH,然后用SSHclient从外部telnet到PIX防火墙,PIX支持SSH1和SSH2,不过SSH1是免费软件,SSH2是商业软件。
相比之下cisco路由器的telnet就做得不怎么样了。
telnet配置语法:
telnetlocal_ip[netmask]local_ip
表示被授权通过telnet访问到pix的ip地址。
如果不设此项,pix的配置方式只能由console进行。
说了这么多,下面给出一个配置实例供大家参考。
WelcometothePIXfirewall
Typehelpor'
?
'
foralistofavailablecommands.
PIX525>
en
Password:
PIX525#shconfig:
Saved:
PIXVersion6.0
(1)------PIX当前的*作系统版本为6.0
Nameifethernet0outsidesecurity0
Nameifethernet1insidesecurity100------显示目前pix只有2个接口
Enablepassword7Y051HhCcoiRTSQZencrypted
Passed7Y051HhCcoiRTSQZencrypted------pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet密码缺省为cisco
HostnamePIX525------主机名称为PIX525
Domain-name------本地的一个域名服务器,通常用作为外部访问
Fixupprotocolftp21
Fixupprotocolhttp80
fixupprotocolh3231720
fixupprotocolrsh514
fixupprotocolsmtp25
fixupprotocolsqlnet1521
fixupprotocolsip5060------当前启用的一些服务或协议,注意rsh服务是不能改变端口号的
names------解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pagerlines24------每24行一分页
interfaceethernet0auto
interfaceethernet1auto------设置两个网卡的类型为自适应
mtuoutside1500
mtuinside1500------以太网标准的MTU长度为1500字节
ipaddressoutside61.144.51.42255.255.255.248
ipaddressinside192.168.0.1255.255.255.0------pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
ipauditinfoactionalarm
ipauditattackactionalarm------pix入侵检测的2个命令。
当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;
此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
pdmhistoryenable------PIX设备管理器可以图形化的监视
PIXarptimeout14400------arp表的超时时间
global(outside)161.144.51.46------如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
nat(inside)10.0.0.00.0.0.000
static(inside,outside)61.144.51.43192.168.0.8netmask255.255.255.25500
conduitpermiticmpanyany
conduitpermittcphost61.144.51.43eqwwwany
conduitpermitudphost61.144.51.43eqdomainany------用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
routeoutside0.0.0.00.0.0.061.144.51.611------外部网关61.144.51.61
timeoutxlate3:
00:
00------某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
timeoutconn1:
00half-closed0:
10:
00udp0:
02:
00rpc0:
00h3230:
05:
00sip0:
30:
00sip_media0:
00
timeoutuauth0:
00absolute------AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-serverTACACS+protocoltacacs+
aaa-serverRADIUSprotocolradius------AAA服务器的两种协议。
AAA是指认证,授权,审计。
Pix防火墙可以通过AAA服务器增加内部网络的安全
nosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublic------由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
nosnmp-serverenabletraps------发送snmp陷阱floodguardenable------防止有人伪造大量认证请求,将pix的AAA资源用完
nosysoptroutednattelnettimeout5sshtimeout5------使用ssh访问pix的超时时间
terminalwidth80Cryptochecksum:
a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#writememory------将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?
你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。
另外有几个维护命令也很有用,showinterface查看端口状态,showstatic查看静态地址映射,showip查看接口ip地址,pingoutside|insideip_address确定连通性。
PIX上实现VPN步骤
在PIX上防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务:
一、为IPSec做准备
为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过;
步骤1:
根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略;
步骤2:
确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;
步骤3:
用"
writeterminal"
、"
showisakmp"
showisakmppolicy"
showcryptomap"
命令及其他"
show"
命令来检查当前的配置;
步骤4:
确认在没有使用加密前网络能够正常工作,用"
ping"
命令并在加密前运行测试数据流来排除基本的路由故障;
步骤5:
确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。
二、配置IKE配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置;
isakmpenable"
命令来启用或关闭IKE;
isakmppolicy"
命令创建IKE策略;
isakmpkey"
命令和相关命令来配置预共享密钥;
showisakmp[policy]"
命令来验证IKE的配置。
三、配置IPSec
IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去;
用access-list命令来配置加密用访问控制列表;
例如:
access-listacl-name{permit|deny}protocolsrc_addrsrc_mask[operatorport[port]]dest_addrdest_mask[operatorprot[port]]
用cryptoipsectransform-set命令配置变换集;
cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]
3.步骤3:
(任选)用cryptoipsecsecurity-associationlifetime命令来配置全局性的IPSec安全关联的生存期;
用cryptomap命令来配置加密图;
用interface命令和cryptomapmap-nameinterface应用到接口上;
6.步骤6:
用各种可用的show命令来验证IPSec的配置。
四、测试和验证IPSec
该任务涉及到使用"
show"
、"
debug"
和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。
样例:
PIX1的配置:
!
configuretheIPaddressforeachPIXFirewallinterface
ipaddressoutside192.168.1.1255.255.255.0
ipaddressinside10.1.1.3255.255.255.0
ipaddressdmz192.168.11.1255.255.255.0
global(outside)1192.168.1.10-192.168.1.254netmask255.255.255.0
createsaglobalpoollontheoutsideinterface,enablesNAT.
windowsNTserver
static(inside,outside)192.168.1.1010.1.1.4netmask255.255.255.0
CryptoaccesslistspecifilesbetweentheglobalandtheinsideserverbeindPIXFirewallsisencrypted,ThesourceanddestinationIPaddressaretheglobalIPaddressesofthestatics.
Access-list101permitiphost192.168.1.10host192.168.2.10
TheconduitpermitICMPandwebaccessfortesting.
ConduitpermiticmpanyanyConduitpermittcphost192.168.1.10eqwwwany
routeoutside0.0.0.00.0.0.0192.168.1.21
EnableIPSectobypassaccesslitst,access,andconfuitrestrictions
syspotconnnectionpermitipsec
Definesacryptomaptransformsettouseresp-des
cryptoipsectransform-setpix2esp-des
cryptomappeer210ipsec-isakmp!
完全配置:
ipaddressoutside202.105.113.194255.255.255.0/*看电信给你的IP
ipaddressinside192.168.1.1255.255.255.0
global(outside)1202.105.113.195-202.105.113.200
global(outside)1202.105.113.201
static(inside,outside)202.105.113.203192.168.1.10netmask255.255.255.25500
static(inside,outside)202.105.113.205192.168.1.11netmask255.255.255.25500
conduitpermiticmpanyanyconduitpermittcphost202.105.113.203eqwwwany
conduitpermittcphost202.105.113.203eqftpany
conduitpermittcphost202.105.113.205eqsmtpany
conduitpermittcphost202.105.113.205eqpop3any
routeoutside0.0.0.00.0.0.0202.105.113.1931
routeinside0.0.0.00.0.0.0192.168.1.1
4.指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
nat命令配置语法:
nat(if_name)nat_idlocal_ip[netmark]
其中(if_name)表示内网接口名字,例如inside。
Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。
例如0.0.0.0表示内网所有主机可以对外访问。
[netmark]表示内网ip地址的子网掩码。
例1.Pix525(config)#nat(inside)100
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
例2.Pix525(config)#nat(inside)1172.16.5.0255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。
5.指定外部地址范围(global)global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。
Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中(if_name)表示外网接口名字,例如outside.。
Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。
[netmarkglobal_mask]表示全局ip地址的网络掩码。
例1.Pi
升级会员 