CiscoPIX防火墙配置命令大全.docx
《CiscoPIX防火墙配置命令大全.docx》由会员分享,可在线阅读,更多相关《CiscoPIX防火墙配置命令大全.docx(12页珍藏版)》请在冰豆网上搜索。
CiscoPIX防火墙配置命令大全
一、PIX防火墙的认识
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。
PIX有很多型号,并发连接数是PIX防火墙的重要参数。
PIX25是典型的设备。
PIX防火墙常见接口有:
console、Failover、Ethernet、USB。
网络区域:
内部网络:
inside
外部网络:
outside
中间区域:
称DMZ(停火区)。
放置对外开放的服务器。
二、防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(内部发起的连接可以回包。
通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
三、PIX防火墙的配置模式
PIX防火墙的配置模式与路由器类似,有4种管理模式:
PIXfirewall>:
用户模式
PIXfirewall#:
特权模式
PIXfirewall(config)#:
配置模式
monitor>:
ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
四、PIX基本配置命令
常用命令有:
nameif、interface、ipaddress、nat、global、route、static等。
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
例如要求设置:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1命名为内部接口inside,安全级别是100。
ethernet2命名为中间接口dmz,安装级别为50。
使用命令:
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作状态,常见状态有:
auto、100full、shutdown。
auto:
设置网卡工作在自适应状态。
100full:
设置网卡工作在100Mbit/s,全双工状态。
shutdown:
设置网卡接口关闭,否则为激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet1100fullshutdown
3、ipaddress
配置网络接口的IP地址,例如:
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252
PIX525(config)#ipaddressinside192.168.0.1255.255.255.0
内网inside接口使用私有地址192.168.0.1,外网outside接口使用公网地址133.0.0.1。
4、global
指定公网地址范围:
定义地址池。
Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):
表示外网接口名称,一般为outside。
nat_id:
建立的地址池标识(nat要引用)。
ip_address-ip_address:
表示一段ip地址范围。
[netmarkglobal_mask]:
表示全局ip地址的网络掩码。
例如:
PIX525(config)#global(outside)1133.0.0.1-133.0.0.15
地址池1对应的IP是:
133.0.0.1-133.0.0.15
PIX525(config)#global(outside)1133.0.0.1
地址池1只有一个IP地址133.0.0.1。
PIX525(config)#noglobal(outside)1133.0.0.1
表示删除这个全局表项。
5、nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:
nat(if_name)nat_idlocal_ip[netmark]
其中:
(if_name):
表示接口名称,一般为inside.
nat_id:
表示地址池,由global命令定义。
local_ip:
表示内网的ip地址。
对于0.0.0.0表示内网所有主机。
[netmark]:
表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过net_id联系在一起。
例如:
PIX525(config)#nat(inside)100
表示内网的所有主机(00)都可以访问由global指定的外网。
PIX525(config)#nat(inside)1172.16.5.0255.255.0.0
表示只有172.16.5.0/16网段的主机可以访问global指定的外网。
6、route
route命令定义静态路由。
语法:
route(if_name)00gateway_ip[metric]
其中:
(if_name):
表示接口名称。
00:
表示所有主机
Gateway_ip:
表示网关路由器的ip地址或下一跳。
[metric]:
路由花费。
缺省值是1。
例如:
PIX525(config)#routeoutside00133.0.0.11
设置缺省路由从outside口送出,下一跳是133.0.0.1。
00代表0.0.0.00.0.0.0,表示任意网络。
PIX525(config)#routeinside10.1.0.0255.255.0.010.8.0.11
设置到10.1.0.0网络下一跳是10.8.0.1。
最后的“1”是花费。
7、static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
PIX525(config)#static(dmz,outside)133.0.0.1172.16.0.2
中间区域ip地址172.16.0.2,访问外部时被翻译成133.0.0.1全局地址。
8、conduit
管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。
例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。
语法:
conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
其中:
global_ip是一台主机时前面加host参数,所有主机时用any表示。
foreign_ip表示外部ip。
[netmask]表示可以是一台主机或一个网络。
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.3
PIX525(config)#conduitpermittcphost133.0.0.1eqwwwany
这个例子说明static和conduit的关系。
192.168.0.3是内网一台web服务器,
现在希望外网的用户能够通过PIX防火墙访问web服务。
所以先做static静态映射:
192.168.0.3->133.0.0.1
然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。
9、访问控制列表ACL
访问控制列表的命令与couduit命令类似,
例:
PIX525(config)#access-list100permitipanyhost133.0.0.1eqwww
PIX525(config)#access-list100denyipanyany
PIX525(config)#access-group100ininterfaceoutside
10、侦听命令fixup
作用是启用或禁止一个服务或协议,
通过指定端口设置PIX防火墙要侦听listen服务的端口。
例:
PIX525(config)#fixupprotocolftp21
启用ftp协议,并指定ftp的端口号为21
PIX525(config)#fixupprotocolhttp8080
PIX525(config)#nofixupprotocolhttp80
启用http协议8080端口,禁止80端口。
11、telnet
当从外部接口要telnet到PIX防火墙时,telnet数据流需要用vpn隧道ipsec提供保护或
在PIX上配置SSH,然后用SSHclient从外部到PIX防火墙。
例:
telnetlocal_ip[netmask]
local_ip表示被授权可以通过telnet访问到PIX的ip地址。
如果不设此项,PIX的配置方式只能用console口接超级终端进行。
12、显示命令:
showinterface ;查看端口状态。
showstatic;查看静态地址映射。
showip;查看接口ip地址。
showconfig;查看配置信息。
showrun;显示当前配置信息。
writeterminal;将当前配置信息写到终端。
showcpuusage;显示CPU利用率,排查故障时常用。
showtraffic;查看流量。
showblocks;显示拦截的数据包。
showmem;显示内存
13、DHCP服务
PIX具有DHCP服务功能。
例:
PIX525(config)#ipaddressdhcp
PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside
PIX525(config)#dhcpdns202.96.128.68202.96.144.47
PIX525(config)#
五、PIX防火墙举例
设:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1被命名为内部接口inside,安全级别100。
ethernet2被命名为中间接口dmz,安全级别50。
PIX525#conft
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet2100full
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;设置接口IP
PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;设置接口IP
PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;设置接口IP
PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定义的地址池
PIX525(config)#nat(inside)100;00表示所有
PIX525(config)#routeoutside00133.0.0.2;设置默认路由
PIX525(config)#static(dmz,outside)133.1.0.110.65.1.101;静态NAT
PIX525(config)#static(dmz,outside)133.1.0.210.65.1.102;静态NAT
PIX525(config)#static(inside,dmz)10.66.1.20010.66.1.200;静态NAT
PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;设置ACL
PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;设置ACL
PIX525(config)#access-list101denyipanyany;设置ACL
PIX525(config)#access-group101ininterfaceoutside;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
Ciscopix515配置实例
一、引言
硬件防火墙的应用,现在是越来越多,产品也很丰富。
一般国产的防火墙多带有中文的说明和一些相应的配置实例,但国外的产品几乎都没有中文的说明书,这对一个初学者来说,尤其是中国的用户,是很不方便的,所以只好请专业人士来调试了。
本院一毕业生的单位就添置了一台Ciscofix515的防火墙,他请笔者帮忙,借此机会,我将详细的配置写下来,作为教学的一实际案例。
二、物理连接
Pix515的外观:
是一种标准的机架式设备,高度为2U,电源开关和接线在背后。
正面有一些指示灯,如电源、工作是否正常的表示等;背面板有一些接口和扩展口,我们这次要用到的接口有三个:
两个以太(RJ-45网卡)和一个配置口,其英文分别是:
ETHERNET0、ETHERNET1和CONSOLE。
先将防火墙固定在机架上,接好电源;用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。
注意:
该线缆是扁平的,一端是RJ-45接口,要接在防火墙的console端口;另一端是串口,要接到笔记本的串口上。
三、初始化配置程序
启动笔记本,防火墙通电。
1.新建一个超级终端
运行windows里的超级终端程序。
其步骤如下:
单击开始→所有程序→附件→通讯→超级终端,就会出现对话框:
此时需要输入一个所建超级终端的名称,可输PIX515↙;出现下一对话框:
需要选择串口的端口,我们选择com1↙;出现下一对话框:
需要选择传输速率,我们选择9600↙。
2.基本配置
此时,出现超级终端对话框,按↙
对应提示填写:
Password(口令):
自定。
↙
Year(年):
[2004]↙
Moth(月):
[Feb]↙
Day(天):
[20]↙
Time(时间):
[10:
21:
30]↙
InsideIPaddress(内部IP地址):
192.168.10.0↙
Insidenetworkmask(内部掩码):
255.255.255.0↙
Hostname(主机名称):
FIX515↙
Domainname(主域):
YCZD.COM.CN↙
随后出现以上设置的总结,提示是否保存。
选择YES,存入到flash。
四、具体配置
在配置之前,需要了解一些具体的需求。
在本实例中,该单位是通过防火墙接入到Internet,防火墙要有路由的功能;net1接外网,net0接内网。
电信给的IP地址为:
219.140.164.24~31共8个地址:
GW(网关):
219.140.164.25;
掩码:
255.255.255.248。
内部IP地址:
192.168.10.X;
掩码:
255.255.255.0;
GW:
192.168.10.0。
具体配置如下:
启动超级终端程序FIX515,出现一提示符“-”,此时要按回车键,就出现fix515>提示符,输入命令:
enable↙;出现password:
↙;进入特权模式,此时系统提示为fix5153#。
输入命令:
configureterminal↙,对系统进行初始化设置。
出现fix515(config)#提示符。
以下的配置都在此提示符下进行。
1.配置网络端口
fix515(config)#interfaceethernet0auto↙
fix515(config)#interfaceethernet1auto↙
auto选项表明端口eth0和eth1为自适应。
2.定义安全级别
fix515(config)#nameifethernet1outsidesecurity0↙
fix515(config)#nameifethernet0insidesecurity100↙
外网的安全级别为最低,内网的安全级别为最高。
3.配置内、外端口的IP地址
fix515(config)#ipaddressinside192.168.10.1 255.255.255.255.0↙
fix515(config)#ipaddressoutside219.140.164.26 255.255.255.248↙
内部为192.168.10.1;外部为219.140.164.26。
4.指定要转换的内部地址
fix515(config)#nat(inside)10.0.0.0 0.0.0.0↙
表示内部全部地址都可以转换出去。
5.指定外部地址范围
fix515(config)#global(outside)1219.140.164.27-219.140.164.30netmask255.255.255.248↙
将外部地址的范围定义在27-30之间。
6.设置指向内部网和外部网的缺省路由
fix515(config)#routeinside00192.168.10.1↙
fix515(config)#routeoutside00219.164.140.26↙
内192.168.10.1;外219.164.140.26。
7.配置远程访问
fix515(config)#telen192.168.10.9255.255.255.0↙
fix515(config)#telen210.20.14.10255.255.255.0↙
第一条表示内部可配置的地址;
第二条表示外部可配置的地址。
8.将配置保存
fix515(config)#wrmem↙
wrmem是writememory的缩写,即将配置信息写入flashmemory。
9.重启
fix515(config)#reload↙
以上为一个共享上网的初步配置。
五、其他几个要用到的命令
1.no
当要取消条命令时,要用“no”加原命令。
如:
原命令telen210.20.14.10255.255.255.0↙
要取消时输notelen210.20.14.10255.255.255.0↙。
2.show
可以查看已配置的情况。
如:
showinterface↙表示查看内部端口状态。
3.ping
用来检查所配置端口是否连通。
六、结束语
1.配置环境:
笔记本的操作系统为WXP;PIX软件的版本为6.03。
2.所有的下划线上的字符均要输入,↙表示要按回车键。
中文和()内的文字为注释。
3.所有命令均来自防火墙随机的电子文档,因是英文翻译,中文可能有不当之处。
4.以上的配置为一基本配置,如要用到其他功能,需要添加其他的配置语句和命令,本文不再一一列举。
本配置程序为实际的设置过程,该系统目前运行正常。