如何配置Cisco PIX防火墻

Word如何配置CiscoPIX防火墻

如何配置Cisco（PI）X防火墻

在配置PIX防火墻之前，先來介紹一下防火墻的物理特性。防火墻通常具有至少3個（接口），但許多早期的防火墻只具有2個接口；當使用具有3個接口的防火墻時，就至少產(chǎn)生了3個網(wǎng)絡(luò)，描述如下：

內(nèi)部區(qū)域（內(nèi)網(wǎng)）。內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡(luò)或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。它是互連網(wǎng)絡(luò)的信任區(qū)域，即受到了防火墻的保護。

外部區(qū)域（外網(wǎng)）。外部區(qū)域通常指Internet或者非企業(yè)內(nèi)部網(wǎng)絡(luò)。它是互連網(wǎng)絡(luò)中不被信任的區(qū)域，當外部區(qū)域想要訪問內(nèi)部區(qū)域的主機和服務(wù)，通過防火墻，就可以實現(xiàn)有限制的訪問。

停火區(qū)（DMZ）。?；饏^(qū)是一個隔離的網(wǎng)絡(luò)，或幾個網(wǎng)絡(luò)。位于?；饏^(qū)中的主機或服務(wù)器被稱為堡壘主機。一般在停火區(qū)內(nèi)可以放置Web服務(wù)器，Mail服務(wù)器等。停火區(qū)對于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業(yè)的公開信息，但卻不允許他們訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。注意：2個接口的防火墻是沒有?；饏^(qū)的。

由于PIX535在企業(yè)級別不具有普遍性，因此下面主要說明PIX525在企業(yè)網(wǎng)絡(luò)中的應用。

PIX防火墻提供4種管理訪問模式：

2非特權(quán)模式。PIX防火墻開機自檢后，就是處于這種模式。系統(tǒng)顯示為pixfirewall>

2特權(quán)模式。輸入enable進入特權(quán)模式，可以改變當前配置。顯示為pixfirewall#

2配置模式。輸入configure（te）r（mi）nal進入此模式，絕大部分的系統(tǒng)配置都在這里進行。顯示為pixfirewall(config)#

2監(jiān)視模式。PIX防火墻在開機或重啟過程中，按住Escape鍵或發(fā)送一個“Break”（字符），進入監(jiān)視模式。這里可以更新操作系統(tǒng)映象和口令恢復。顯示為monitor>

配置PIX防火墻有6個基本命令：name（if），interface，ip（ad）dress，nat，global，route.

這些命令在配置PIX是必須的。以下是配置的基本步驟：

1.配置防火墻接口的名字，并指定安全級別（nameif）。

Pix525(config)#nameif（ethernet）0outsidesecurity0

Pix525(config)#nameifethernet1insidesecurity100

Pix525(config)#nameifethernet2dmzsecurity50

提示：在缺省配置中，（以太網(wǎng)）0被命名為外部接口（outside），安全級別是0；以太網(wǎng)1被命名為內(nèi)部接口（inside），安全級別是100.安全級別取值范圍為1～99，數(shù)字越大安全級別越高。若添加新的接口，語句可以這樣寫：

Pix525(config)#nameifpix/intf3security40（安全級別任取）

2.配置以太口參數(shù)（interface）

Pix525(config)#interfaceethernet0auto（auto選項表明系統(tǒng)自適應網(wǎng)卡類型）

Pix525(config)#interfaceethernet1100full（100full選項表示100Mbit/s以太網(wǎng)全雙工通信）

Pix525(config)#interfaceethernet1100fullshutdown（shutdown選項表示關(guān)閉這個接口，若啟用接口去掉shutdown）

3.配置內(nèi)外網(wǎng)卡的IP地址（ipaddress）

Pix525(config)#ipaddressoutside248

Pix525(config)#ipaddressinside

很明顯，Pix525防火墻在外網(wǎng)的ip地址是2，內(nèi)網(wǎng)ip地址是

4.指定要進行轉(zhuǎn)換的內(nèi)部地址（nat）

網(wǎng)絡(luò)地址翻譯（nat）作用是將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)的公有ip.Nat命令總是與global命令一起使用，這是因為nat命令可以指定一臺主機或一段范圍的主機訪問外網(wǎng)，訪問外網(wǎng)時需要利用global所指定的地址池進行對外訪問。nat命令配置語法：nat(if_name)nat_idlocal_ip[netmark]

其中（if_name）表示內(nèi)網(wǎng)接口名字，例如inside.Nat_id用來標識全局地址池，使它與其相應的global命令相匹配，local_ip表示內(nèi)網(wǎng)被分配的ip地址。例如表示內(nèi)網(wǎng)所有主機可以對外訪問。[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。

例1．Pix525(config)#nat(inside)100

表示啟用nat,內(nèi)網(wǎng)的所有主機都可以訪問外網(wǎng)，用0可以代表

例2．Pix525(config)#nat(inside)1

表示只有這個網(wǎng)段內(nèi)的主機可以訪問外網(wǎng)。

5.指定外部地址范圍（global）

global命令把內(nèi)網(wǎng)的ip地址翻譯成外網(wǎng)的ip地址或一段地址范圍。Global命令的配置語法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中（if_name）表示外網(wǎng)接口名字，例如outside.。Nat_id用來標識全局地址池，使它與其相應的nat命令相匹配，ip_address-ip_address表示翻譯后的單個ip地址或一段ip地址范圍。[netmarkglobal_mask]表示全局ip地址的網(wǎng)絡(luò)掩碼。

例1．Pix525(config)#global(outside)12-8

表示內(nèi)網(wǎng)的主機通過pix防火墻要訪問外網(wǎng)時，pix防火墻將使用2-8這段ip地址池為要訪問外網(wǎng)的主機分配一個全局ip地址。

例2．Pix525(config)#global(outside)12

表示內(nèi)網(wǎng)要訪問外網(wǎng)時，pix防火墻將為訪問外網(wǎng)的所有主機統(tǒng)一使用2這個單一ip地址。

例3.Pix525(config)#noglobal(outside)12

表示刪除這個全局表項。

6.設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由（route）

定義一條靜態(tài)路由。route命令配置語法：route(if_name)00gateway_ip[metric]

其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示網(wǎng)關(guān)路由器的ip地址。[metric]表示到gateway_ip的跳數(shù)。通常缺省是1。

例1．Pix525(config)#routeoutside00681

表示一條指向邊界路由器（ip地址68）的缺省路由。

例2．Pix525(config)#routeinside1

Pix525(config)#routeinside1

如果內(nèi)部網(wǎng)絡(luò)只有一個網(wǎng)段，按照例1那樣設(shè)置一條缺省路由即可；如果內(nèi)部存在多個網(wǎng)絡(luò)，需要配置一條以上的靜態(tài)路由。上面那條命令表示創(chuàng)建了一條到網(wǎng)絡(luò)的靜態(tài)路由，靜態(tài)路由的下一條路由器ip地址是

OK，這6個基本命令若理解了，就可以進入到pix防火墻的一些高級配置了。

A.配置靜態(tài)IP地址翻譯（staTIc）

如果從外網(wǎng)發(fā)起一個會話，會話的目的地址是一個內(nèi)網(wǎng)的ip地址，staTIc就把內(nèi)部地址翻譯成一個指定的全局地址，允許這個會話建立。staTIc命令配置語法：staTIc(internal_if_name，external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口，安全級別較高。如inside.

external_if_name為外部網(wǎng)絡(luò)接口，安全級別較低。如outside等。outside_ip_address為正在訪問的較低安全級別的接口上的ip地址。inside_ip_address為內(nèi)部網(wǎng)絡(luò)的本地ip地址。

例1．Pix525(config)#static(inside,outside)2

表示ip地址為的主機，對于通過pix防火墻建立的每個會話，都被翻譯成2這個全局地址，也可以理解成static命令創(chuàng)建了內(nèi)部ip地址和外部ip地址2之間的靜態(tài)映射。

例2．Pix525(config)#static(inside,outside)

例3．Pix525(config)#static(dmz,outside)

解釋同例1。通過以上幾個例子說明使用static命令可以讓我們?yōu)橐粋€特定的內(nèi)部ip地址設(shè)置一個永久的全局ip地址。這樣就能夠為具有較低安全級別的指定接口創(chuàng)建一個入口，使它們可以進入到具有較高安全級別的指定接口。

B.管道命令（conduit）

前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創(chuàng)建了一個靜態(tài)映射，但從外部到內(nèi)部接口的連接仍然會被pix防火墻的自適應安全算法(ASA)阻擋，conduit命令用來允許數(shù)據(jù)流從具有較低安全級別的接口流向具有較高安全級別的接口，例如允許從外部到DMZ或內(nèi)部接口的入方向的會話。對于向內(nèi)部接口的連接，static和conduit命令將一起使用，來指定會話的建立。

conduit命令配置語法：

conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]

permit|deny允許|拒絕訪問

global_ip指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0；如果global_ip是一臺主機，就用host命令參數(shù)。

port指的是服務(wù)所作用的端口，例如www使用80，（smt）p使用25等等，我們可以通過服務(wù)名稱或端口數(shù)字來指定端口。

protocol指的是連接協(xié)議，比如：TCP、UDP、ICMP等。

foreign_ip表示可訪問global_ip的外部ip。對于任意主機，可以用any表示。如果foreign_ip是一臺主機，就用host命令參數(shù)。

例1.Pix525(config)#conduitpermittcphosteqwwwany

這個例子表示允許任何外部主機對全局地址的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eqftp就是指允許或拒絕只對ftp的訪問。

例2.Pix525(config)#conduitdenytcpanyeqftphost9

表示不允許外部主機9對任何全局地址進行ftp訪問。

例3.Pix525(config)#conduitpermiticmpanyany

表示允許icmp消息向內(nèi)部和外部通過。

例4.Pix525(config)#static(inside,outside)2

Pix525(config)#conduitpermittcphost2eqwwwany

這個例子說明static和conduit的關(guān)系。在內(nèi)網(wǎng)是一臺web服務(wù)器，現(xiàn)在希望外網(wǎng)的用戶能夠通過pix防火墻得到web服務(wù)。所以先做static靜態(tài)映射：－>2（全局），然后利用conduit命令允許任何外部主機對全局地址2進行http訪問。

C.配置fixup協(xié)議

fixup命令作用是啟用，禁止，改變一個服務(wù)或協(xié)議通過pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽的服務(wù)。見下面例子：

例1．Pix525(config)#fixupprotocolftp21

啟用ftp協(xié)議，并指定ftp的端口號為21

例2．Pix525(config)#fixupprotocolhttp80

Pix525(config)#fixupprotocolhttp1080

為http協(xié)議指定80和1080兩個端口。

例3．Pix525(config)#nofixupprotocolsmtp80

禁用smtp協(xié)議。

D.設(shè)置telnet

telnet有一個版本的變化。在pixOS5.0（pix操作系統(tǒng)的版本號）之前，只能從內(nèi)部網(wǎng)絡(luò)上的主機通過telnet訪問pix。在pixOS5.0及后續(xù)版本中，可以在所有的接口上啟用telnet到pix的訪問。當從外部接口要telnet到pix防火墻時，telnet數(shù)據(jù)流需要用ipsec提供保護，也就是說用戶必須配置pix來建立一條到另外一臺pix，路由器或vpn客戶端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSHclient從外部telnet到PIX防火墻，PIX支持SSH1和SSH2，不過SSH1是免費（軟件），SSH2是商業(yè)軟件。相比之下cisco路由器的telnet就作的不怎么樣了。

telnet配置語法：telnetlocal_ip[netmask]

local_ip表示被授權(quán)通過telnet訪問到pix的ip地址。如果不設(shè)此項，pix的配置方式只能由console進行。

說了這么多，下面給出一個配置實例供大家參考。

WelcometothePIXfirewall

Typehelpor'?'foralistofav（ai）lablecommands.

PIX525>en

Password:

PIX525#shconfig

:Saved

:

PIXVersion6.0(1)PIX當前的操作系統(tǒng)版本為6.0

Nameifethernet0outsidesecurity0

Nameifethernet1insidesecurity100顯示目前pix只有2個接口

Enablepassword7Y051HhCcoiRTSQZencrypted

Passed7Y051HhCcoiRTSQZencryptedpix防火墻密碼在默認狀態(tài)下已被加密，在配置文件中不會以明文顯示，telnet密碼缺省為cisco

HostnamePIX525主機名稱為PIX525

Domain-name123.com本地的一個域名服務(wù)器123.com，通常用作為外部訪問

Fixupprotocolftp21

Fixupprotocolhttp80

fixupprotocolh3231720

fixupprotocol（rs）h514

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060當前啟用的一些服務(wù)或協(xié)議，注意rsh服務(wù)是不能改變端口號

names解析本地主機名到ip地址，在配置中可以用名字代替ip地址，當前沒有設(shè)置，所以列表為空

pagerlines24每24行一分頁

interfaceethernet0auto

interfaceethernet1auto設(shè)置兩個網(wǎng)卡的類型為自適應

mtuoutside1500

mtuinside1500以太網(wǎng)標準的MTU長度為1500字節(jié)

ipaddressoutside248

ipaddressinsidepix外網(wǎng)的ip地址2，內(nèi)網(wǎng)的ip地址

ipauditinfoactional（arm）

ipauditattackactionalarmpix入侵檢測的2個命令。當有數(shù)據(jù)包具有攻擊或報告型特征碼時，pix將采取報警動作（缺省動作），向指定的日志記錄主機產(chǎn)生系統(tǒng)日志消息；此外還可以作出丟棄數(shù)據(jù)包和發(fā)出tcp連接復位信號等動作，需另外配置。

pdmhistoryenablePIX設(shè)備管理器可以圖形化的監(jiān)視PIX

arp（ti）meout14400arp表的超時時間

global(outside)16如果你訪問外部（論壇）或用聊天等等，上面顯示的ip就是這個

nat(inside)100

static(inside,outside)3netmask5500

conduitpermiticmpanyany

conduitpermittcphost3eqwwwany

conduitpermitudphost3eqdomainany

用3這個ip地址提供domain-name服務(wù)，而且只允許外部用戶訪問domain的udp端口

routeoutside11外部網(wǎng)關(guān)1

timeoutxlate3:00:00某個內(nèi)部設(shè)備向外部發(fā)出的ip包經(jīng)過翻譯(global)后，在缺省3個小時之后此數(shù)據(jù)包若沒有活動，此前創(chuàng)建的表項將從翻譯表中刪除，釋放該設(shè)備占用的全局地址

timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00

timeoutuauth0:05:00absoluteAAA認證的超時時間，absolute表示連續(xù)運行uauth（定時器），用戶超時后，將強制重新認證

aaa-serverTACACS+protocoltacacs+

aaa-serverRADIUSprotocolradiusAAA服務(wù)器的兩種協(xié)議。AAA是指認證，授權(quán)，審計。Pix防火墻可以通過AAA服務(wù)器增加內(nèi)部網(wǎng)絡(luò)的安全

nosnmp-serverlocation

nosnmp-servercontact

snmp-servercommunitypublic由于沒有設(shè)置snmp工作站，也就沒有snmp工作站的位置和聯(lián)系人

nosnmp-serverenabletraps發(fā)送snmp陷阱

floodguardenable防止有人偽造大量認證請求，將pix的AAA資源用完

nosysoptroutednat

telnettimeout5

sshtimeout5使用ssh訪問pix的超時時間

terminalwidth80

Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7

PIX525#

PIX525#writememory將配置保存

上面這個配置實例需要說明一下，pix防火墻直接擺在了與internet接口處，此處網(wǎng)絡(luò)環(huán)境有十幾個公有ip,可能會有朋友問如果我的公有ip很有限怎么辦？你可以添加router放在pix的前面，或者global使用單一ip地址，和外部接口的ip地址相同即可。另外有幾個維護命令也很有用，showinterface查看端口狀態(tài)，showstatic查看靜態(tài)地址映射，showip查看接口ip地址，pingoutside|insideip_address確定連通性。

CiscoPIXFirewallVersion6.2(2)

Compi（led）onFri07-Jun-0217:49bymorlee

pixfirewallup13mins35secs

Hardware:

SE440BX2,128MB（RAM）,（CPU）PentiumII350MHz

Flashi28F640J5@0x300,16MB

B（IOS）FlashAT29C257@0xfffd8000,32KB

0:ethernet0:addressis00a0.c92d.c81d,irq11

1:ethernet1:addressis0090.2730.999f,irq15

2:ethernet2:addressis0090.2757.0574,irq10

3:ethernet3:addressis00a0.c976.9cdb,irq9

LicensedFeatures:

Failover:

Enabled

VPN-DES:

Enabled

VPN-3DES:

Disabled

MaximumInterfaces:6

Cut-throughProxy:

Enabled

Guards:

Enabled

URL-filtering:

Enabled

InsideHosts:

Unlimited

Throughput:

Unlimited

IKEpeers:

Unlimited

SerialNumber:18046350(0x1135d8e)

RunningActivationKey:0xd8aad2ba0x5d6504f60x37c4135f0x2422e0f4

Configurationlastmodifiedbyenable_15at20:31:14.287UTCTueNov82021

pixfirewall#

:

PIXVersion6.2(2)

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100

nameifethernet2dmzsecurity50

nameifethernet3intf3security15

enablepassword8Ry2YjIyt7RRXU24encrypted

passwd2KFQnbNIdI.2KYOUencrypted

hostnamepixfirewall

fixupprotocolftp21

fixupprotocolhttp80

fixupprotocolh323h2251720

fixupprotocolh323ras1718-1719

fixupprotocolils389

fixupprotocolrsh514

fixupprotocolrtsp554

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060

fixupprotocolskinny2000

names

pagerlines24

interfaceethernet0auto

inte