[会员中心]  [发布文章][发布软件]  [中文繁體] 
 文章·资料  电脑软件  手机软件  网站源码
   本 站 搜 索
[选项]
   推 荐 文 章       More...
华硕易电脑(ASUS Eee PC 1025C)驱动程序(Windows XP)安装参考(图) 华硕易电脑(ASUS Eee PC 1025C..
先来段开场白:为了外出携带方便..
Acronis True Image 使用说明 Acronis True Image 使用说明
  一款可以在Windows下使用..
Norton Ghost 使用详解 Norton Ghost 使用详解
一、分区备份   使用Ghost..
   阅 读 排 行
Windows 系统安装或备份时 ISO,GHO,WIM,ESD,PMF 都是什么文件类型 Windows 系统安装或备份时 ISO,GH..
【ISO 文件】 ISO 文件其实就..
使用“自动点击器”APP 在抖音直播间自动点赞 使用“自动点击器”APP 在抖音直..
看过抖音直播的朋友都知道,进入..
OPPO 手机的锁屏时间设置成横向显示 OPPO 手机的锁屏时间设置成横向..
第一次使用 OPPO 手机,桌面和锁..
电脑机箱(主板)前面板 USB 数据线的接线参考(图) 电脑机箱(主板)前面板 USB 数据..
  一、概述   因为每个 US..
抖音直播录屏的草稿保存位置 抖音直播录屏的草稿保存位置
抖音直播录屏,保存为“草稿”后,..
微信收到 flv 格式视频,如何播放? 微信收到 flv 格式视频,如何播放?
  微信上收到一个 flv 格式视频..
TrustAsia/DigiCert/Let s Encrypt 的免费 SSL 证书,多款网页浏览器都无法正常打开 TrustAsia/DigiCert/Let s Encryp..
云服务器安装了 Windows Server 2..
三星打印机(SCX-4521)提示“墨粉不足”设置 三星打印机(SCX-4521)提示“墨粉..
  三星打印机(SCX-4521)在添加..
文 章 信 息
Cisco PIX防火墙配置
评论()][留言][收藏
[文章分类:电脑·手机·网络 / 网络安全·设置][阅读选项
摘要:本文讲述了作者第一次亲手接触Cisco PIX防火墙,总结了防火墙基本配置十个方面的内容。  
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那中EEPROM,操作系统跟Cisco IOS相似,都是命令行(Command)式。  

我第一次亲手那到的防火墙是Cisco Firewall Pix 525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco 路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩展口。  

如何开始Cisco Firewall Pix呢?我想应该是跟Cisco 路由器使用差不多吧,于是用配置线从电脑的COM2连到PIX 525的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默然。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。  

进入Pix 525采用超级用户(enable),默然密码为空,修改密码用passwd 命令。一般情况下Firewall配置,我们需要做些什么呢?当时第一次接触我也不知道该做些什么,随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用,用于几个小时把几百面的英文书看完了,对命令的使用的知道了一点了,但是对如何配置PIX还是不大清楚该从何入手,我想现在只能去找cisco了,于是在www.cisco.com下载了一些资料,边看边实践了PIX。  

防火墙是处网络系统里,因此它跟网络的结构密切相关,一般会涉及的有Route(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。  

下面我讲一下一般用到的最基本配置  

1、 建立用户和修改密码  

跟Cisco IOS路由器基本一样。  

2、 激活以太端口  

必须用enable进入,然后进入configure模式  

PIX525>enable  

Password:  

PIX525#config t  

PIX525(config)#interface ethernet0 auto  

PIX525(config)#interface ethernet1 auto  

在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。  

3、 命名端口与安全级别  

采用命令nameif  

PIX525(config)#nameif ethernet0 outside security0  

PIX525(config)#nameif ethernet0 outside security100  

security0是外部端口outside的安全级别(0安全级别最高)  

security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。  

4、 配置以太端口IP 地址  

采用命令为:ip address  

如:内部网络为:192.168.1.0 255.255.255.0  

外部网络为:222.20.16.0 255.255.255.0  

PIX525(config)#ip address inside 192.168.1.1 255.255.255.0  

PIX525(config)#ip address outside 222.20.16.1 255.255.255.0  

5、 配置远程访问[telnet]  

在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。  

PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside  

PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside  

测试telnet  

在[开始]->[运行]  

telnet 192.168.1.1  

PIX passwd:  

输入密码:cisco  

6、 访问列表(access-list)  

此功能与Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80  

PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www  

PIX525(config)#access-list 100 deny ip any any  

PIX525(config)#access-group 100 in interface outside  

7、 地址转换(NAT)和端口转换(PAT)  

NAT跟路由器基本是一样的,  

首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。  

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0  

PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0  

如果是内部全部地址都可以转换出去则:  

PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0  

则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:  

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0  

PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0  

PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0  

8、 DHCP Server  

在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面简单配置DHCP Server,地址段为192.168.1.100—192.168.168.1.200  

DNS: 主202.96.128.68 备202.96.144.47  

主域名称:abc.com.cn  

DHCP Client 通过PIX Firewall  

PIX525(config)#ip address dhcp  

DHCP Server配置  

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside  

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47  

PIX525(config)#dhcp domain abc.com.cn  

9、 静态端口重定向(Port Redirection with Statics)  

在PIX 版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX 传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。  

命令格式:  

static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip  

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]  

static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip  

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]  

!----外部用户直接访问地址222.20.16.99 telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。  

PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0  

!----外部用户直接访问地址222.20.16.99 FTP,通过PIX重定向到内部192.168.1.3的FTP Server。  

PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0  

!----外部用户直接访问地址222.20.16.208 www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。  

PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0  

!----外部用户直接访问地址222.20.16.201 HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。  

PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0  

!----外部用户直接访问地址222.20.16.5 smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)  

PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0  

10、显示与保存结果  

采用命令show config  

保存采用write memory 

文章作者:未知  更新日期:2005-11-17
[文章浏览:][打印文章][发送文章
相关文章
·Cisco LRE 解决方案2013-07-02
阅读说明
·本站大部分文章转载于网络,如有侵权请留言告知,本站即做删除处理。
·本站法律法规类文章转载自[中国政府网(www.org.cn)],相关法律法规如有修订,请浏览[中国政府网]网站。
·本站转载的文章,不为其有效性,实效性,安全性,可用性等做保证。
·如果有什么问题,或者意见建议,请联系[网站管理员]
  原“浪人文章”和“浪人下载”网站已合并为“老若尔文章软件站”,域名:https://lre.cn
  本站使用【啊估文章软件站】网站系统    网站管理员留言簿〗〖捐助     闽ICP备08009617号