PIX防火墻基本配置命令和配置實(shí)例_第1頁(yè)
PIX防火墻基本配置命令和配置實(shí)例_第2頁(yè)
PIX防火墻基本配置命令和配置實(shí)例_第3頁(yè)
PIX防火墻基本配置命令和配置實(shí)例_第4頁(yè)
PIX防火墻基本配置命令和配置實(shí)例_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

PIX防火墻基本配置命令和配置實(shí)例PIX防火墻基本配置命令和配置實(shí)例1.

PIX的配置命令(1)

配置防火墻接口的名字,并指定安全級(jí)別(nameif)Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifdmzsecurity50提示:在缺省配置中,以太網(wǎng)0被命名為外部接口(outside),安全級(jí)別是0;以太網(wǎng)1被命名為內(nèi)部接口(inside),安全級(jí)別是100.安全級(jí)別取值范圍為1~99,數(shù)字越大安全級(jí)別越高。若添加新的接口,語(yǔ)句可以這樣寫:Pix525(config)#nameifpix/intf3security40(安全級(jí)別任?。?2)

配置以太口參數(shù)(interface)Pix525(config)#interfaceethernet0auto(auto選項(xiàng)表明系統(tǒng)自適應(yīng)網(wǎng)卡類型)Pix525(config)#interfaceethernet1100full(100full選項(xiàng)表示100Mbit/s以太網(wǎng)全雙工通信)Pix525(config)#interfaceethernet1100fullshutdown(shutdown選項(xiàng)表示關(guān)閉這個(gè)接口,若啟用接口去掉shutdown)(3)

配置內(nèi)外網(wǎng)卡的IP地址(ipaddress)Pix525(config)#ipaddressoutside248Pix525(config)#ipaddressinside很明顯,Pix525防火墻在外網(wǎng)的ip地址是2,內(nèi)網(wǎng)ip地址是(4)

指定外部地址范圍(global)Global命令的配置語(yǔ)法:global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]global命令把內(nèi)網(wǎng)的IP地址翻譯成外網(wǎng)的IP地址或一段地址范圍。其中(if_name)表示外網(wǎng)接口名字,例如outside。Nat_id用來標(biāo)識(shí)全局地址池,使它與其相應(yīng)的NAT命令相匹配,ip_address-ip_address表示翻譯后的單個(gè)IP地址或一段IP地址范圍。[netmarkglobal_mask]表示全局IP地址的網(wǎng)絡(luò)掩碼。例1.

Pix525(config)#global(outside)12-8表示內(nèi)網(wǎng)的主機(jī)通過pix防火墻要訪問外網(wǎng)時(shí),pix防火墻將使用2-8這段IP地址池為要訪問外網(wǎng)的主機(jī)分配一個(gè)全局IP地址。例2.

Pix525(config)#global(outside)12表示內(nèi)網(wǎng)要訪問外網(wǎng)時(shí),pix防火墻將為訪問外網(wǎng)的所有主機(jī)統(tǒng)一使用2這個(gè)單一IP地址。例3.

Pix525(config)#noglobal(outside)12表示刪除這個(gè)全局表項(xiàng)。(5)

指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址(NAT)NAT命令配置語(yǔ)法:nat(if_name)nat_idlocal_ip[netmark]。網(wǎng)絡(luò)地址翻譯(nat)作用是將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)的公有IP。其中(if_name)表示內(nèi)網(wǎng)接口名字,例如inside.Nat_id用來標(biāo)識(shí)全局地址池,使它與其相應(yīng)的global命令相匹配,local_ip表示內(nèi)網(wǎng)被分配的IP地址。[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。例如表示內(nèi)網(wǎng)所有主機(jī)可以對(duì)外訪問。Nat命令總是與global命令一起使用,這是因?yàn)閚at命令可以指定一臺(tái)主機(jī)或一段范圍的主機(jī)訪問外網(wǎng),訪問外網(wǎng)時(shí)需要利用global所指定的地址池進(jìn)行對(duì)外訪問。例4.

Pix525(config)#nat(inside)100表示啟用nat,內(nèi)網(wǎng)的所有主機(jī)都可以訪問外網(wǎng),用0可以代表例5.

Pix525(config)#nat(inside)1表示只有這個(gè)網(wǎng)段內(nèi)的主機(jī)可以訪問外網(wǎng)。(6)

設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由(route)定義一條靜態(tài)路由:Route命令配置語(yǔ)法:route(if_name)00gateway_ip[metric]其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示網(wǎng)關(guān)路由器的IP地址。[metric]表示到gateway_ip的跳數(shù),通常缺省是1。例6.

Pix525(config)#routeoutside00681表示一條指向邊界路由器(IP地址68)的缺省路由。例7.

Pix525(config)#routeinside1表示創(chuàng)建了一條到網(wǎng)絡(luò)的靜態(tài)路由,靜態(tài)路由的下一跳路由器IP地址是例8.

Pix525(config)#routeinside1如果內(nèi)部網(wǎng)絡(luò)只有一個(gè)網(wǎng)段,按照例6那樣設(shè)置一條缺省路由即可;如果內(nèi)部存在多個(gè)網(wǎng)絡(luò),需要配置一條以上的靜態(tài)路由。(7)

配置靜態(tài)IP地址翻譯(static)如果從外網(wǎng)發(fā)起一個(gè)會(huì)話,會(huì)話的目的地址是一個(gè)內(nèi)網(wǎng)的ip地址,static就把內(nèi)部地址翻譯成一個(gè)指定的全局地址,允許這個(gè)會(huì)話建立。Static命令配置語(yǔ)法:static(internal_if_name,external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口,安全級(jí)別較高,如inside;external_if_name為外部網(wǎng)絡(luò)接口,安全級(jí)別較低,如outside等;outside_ip_address為正在訪問的較低安全級(jí)別的接口上的IP地址;inside_ip_address為內(nèi)部網(wǎng)絡(luò)的本地IP地址。例9.

Pix525(config)#static(inside,outside)2Fixupprotocolhttp80fixupprotocolh3231720fixupprotocolrsh514fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060當(dāng)前啟用的一些服務(wù)或協(xié)議,注意rsh服務(wù)是不能改變端口號(hào)names解析本地主機(jī)名到ip地址,在配置中可以用名字代替ip地址,當(dāng)前沒有設(shè)置,所以列表為空pagerlines24每24行一分頁(yè)interfaceethernet0autointerfaceethernet1auto設(shè)置兩個(gè)網(wǎng)卡的類型為自適應(yīng)mtuoutside1500mtuinside1500以太網(wǎng)標(biāo)準(zhǔn)的MTU長(zhǎng)度為1500字節(jié)ipaddressoutside248ipaddressinsidepix外網(wǎng)的地址2,內(nèi)網(wǎng)的地址ipauditinfoactionalarmipauditattackactionalarmpix入侵檢測(cè)的2個(gè)命令。當(dāng)有數(shù)據(jù)包具有攻擊或報(bào)告型特征碼時(shí),pix將采取報(bào)警動(dòng)作(缺省動(dòng)作),向指定的日志記錄主機(jī)產(chǎn)生系統(tǒng)日志消息;此外還可以作出丟棄數(shù)據(jù)包和發(fā)出tcp連接復(fù)位信號(hào)等動(dòng)作,需另外配置。pdmhistoryenablePIX設(shè)備管理器可以圖形化的監(jiān)視PIXarptimeout14400arp表的超時(shí)時(shí)間global(outside)16如果你訪問外部論壇或用QQ聊天等,上面顯示的ip就是這個(gè)nat(inside)100static(inside,outside)3netmask5500conduitpermiticmpanyanyconduitpermittcphost3eqwwwanyconduitpermitudphost3eqdomainany用3這個(gè)ip地址提供domain-name服務(wù),而且只允許外部用戶訪問domain的udp端口routeoutside11外部網(wǎng)關(guān)1timeoutxlate3:00:00某內(nèi)部設(shè)備向外部發(fā)出的ip包經(jīng)過翻譯(global)后,在缺省3小時(shí)之后此數(shù)據(jù)包若沒有活動(dòng),此前創(chuàng)建的表項(xiàng)將從翻譯表中刪除,釋放該設(shè)備占用的全局地址。timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absoluteAAA認(rèn)證的超時(shí)時(shí)間,absolute表示連續(xù)運(yùn)行uauth定時(shí)器,用戶超時(shí)后,將強(qiáng)制重新認(rèn)證aaa-serverTACACS+protocoltacacs+aaa-serverRADIUSprotocolradiusAAA服務(wù)器的兩種協(xié)議。AAA是指認(rèn)證,授權(quán),審計(jì)。Pix防火墻可以通過AAA服務(wù)器增加內(nèi)部網(wǎng)絡(luò)的安全nosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublic由于沒有設(shè)置snmp工作站,也就沒有snmp工作站的位置和聯(lián)系人nosnmp-serverenabletraps發(fā)送snm

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論