硬件防火墻,是網(wǎng)絡(luò)間的墻,防止非法侵入,過(guò)濾信息等,從結(jié)構(gòu)上講,簡(jiǎn)單地說(shuō)是一種pc式的電腦主機(jī)加上閃存(flash)和防火墻操作系統(tǒng)。它的硬件跟共控機(jī)差不多,都是屬于能適合24小時(shí)工作的,外觀造型也是相類(lèi)似。閃存基本上跟路由器一樣,都是那中 eeprom,操作系統(tǒng)跟cisco ios相似,都是命令行(command)式。
防火墻是cisco firewall pix 515e,是一種機(jī)架式標(biāo)準(zhǔn)(即能安裝在標(biāo)準(zhǔn)的機(jī)柜里),有1u的高度,正面看跟cisco 路由器一樣,只有一些指示燈,從背板看,有三個(gè)以太口(rj-45網(wǎng)卡),一個(gè)配置口(console),2個(gè)usb,一個(gè)15針的failover口,還有pci擴(kuò)展口。
如何開(kāi)始cisco firewall pix呢?應(yīng)該是跟cisco 路由器使用差不多吧,于是用配置線從電腦的com2連到pix 515e的console口,進(jìn)入pix操作系統(tǒng)采用windows系統(tǒng)里的“超級(jí)終端”,通訊參數(shù)設(shè)置為默然。初始使用有一個(gè)初始化過(guò)程,主要設(shè)置: date(日期)、time(時(shí)間)、hostname(主機(jī)名稱(chēng))、inside ip address(內(nèi)部網(wǎng)卡ip地址)、domain(主域)等,如果以上設(shè)置正確,就能保存以上設(shè)置,也就建立了一個(gè)初始化設(shè)置了。
進(jìn)入pix 515e采用超級(jí)用戶(enable),默然密碼為空,修改密碼用passwd 命令。一般情況下firewall配置
下面講一下一般用到的最基本配置
1、 建立用戶和修改密碼
跟cisco ios路由器基本一樣。
2、 激活以太端口
必須用enable進(jìn)入,然后進(jìn)入configure模式
pix515e>enable
password:
pix515e#config t
pix515e(config)#interface ethernet0 auto
pix515e(config)#interface ethernet1 auto
|
在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了,但是outside必須命令配置激活。
3、 命名端口與安全級(jí)別 采用命令nameif
pix515e(config)#nameif ethernet0 outside security0
pix515e(config)#nameif ethernet0 outside security100
|
security0是外部端口outside的安全級(jí)別(0安全級(jí)別最高)
security100是內(nèi)部端口inside的安全級(jí)別,如果中間還有以太口,則security10,security20等等命名,多個(gè)網(wǎng)卡組成多個(gè)網(wǎng)絡(luò),一般情況下增加一個(gè)以太口作為dmz(demilitarized zones非武裝區(qū)域)。
4、 配置以太端口ip 地址
采用命令為:ip address
如:內(nèi)部網(wǎng)絡(luò)為:192.168.1.0 255.255.255.0
外部網(wǎng)絡(luò)為:222.20.16.0 255.255.255.0
pix515e(config)#ip address inside 192.168.1.1 255.255.255.0
pix515e(config)#ip address outside 222.20.16.1 255.255.255.0
|
5、 配置遠(yuǎn)程訪問(wèn)[telnet] 在默然情況下,pix的以太端口是不允許telnet的,這一點(diǎn)與路由器有區(qū)別。inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關(guān)。
pix515e(config)#telnet 192.168.1.1 255.255.255.0 inside
pix515e(config)#telnet 222.20.16.1 255.255.255.0 outside
測(cè)試telnet
在[開(kāi)始]->[運(yùn)行]
telnet 192.168.1.1
pix passwd:
輸入密碼:cisco
|
6、 訪問(wèn)列表(access-list) 此功能與cisco ios基本上是相似的,也是firewall的主要部分,有permit和deny兩個(gè)功能,網(wǎng)絡(luò)協(xié)議一般有ip|tcp|udp|icmp等等,如:只允許訪問(wèn)主機(jī):222.20.16.254的www,端口為:80
pix515e(config)#access-list 100 permit ip any host 222.20.16.254 eq www
pix515e(config)#access-list 100 deny ip any any
pix515e(config)#access-group 100 in interface outside
|
7、 地址轉(zhuǎn)換(nat)和端口轉(zhuǎn)換(pat)
nat跟路由器基本是一樣的,
首先必須定義ip pool,提供給內(nèi)部ip地址轉(zhuǎn)換的地址段,接著定義內(nèi)部網(wǎng)段。
pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix515e(config)#nat (outside) 1 192.168.0.0 255.255.255.0
|
如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則:
pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0
|
則某些情況下,外部地址是很有限的,有些主機(jī)必須單獨(dú)占用一個(gè)ip地址,必須解決的是公用一個(gè)外部ip(222.20.16.201),則必須多配置一條命令,這種稱(chēng)為(pat),這樣就能解決更多用戶同時(shí)共享一個(gè)ip,有點(diǎn)像代理服務(wù)器一樣的功能。配置如下:
pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix515e(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0 |
8、 dhcp server 在內(nèi)部網(wǎng)絡(luò),為了維護(hù)的集中管理和充分利用有限ip地址,都會(huì)啟用動(dòng)態(tài)主機(jī)分配ip地址服務(wù)器(dhcp server),cisco firewall pix都具有這種功能,下面簡(jiǎn)單配置dhcp server,地址段為192.168.1.100—192.168.168.1.200
dns: 主202.96.128.68 備202.96.144.47
主域名稱(chēng):abc.com.cn
dhcp client 通過(guò)pix firewall
pix515e(config)#ip address dhcp
dhcp server配置
pix515e(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
pix515e(config)#dhcp dns 202.96.128.68 202.96.144.47
pix515e(config)#dhcp domain abc.com.cn
|
9、 靜態(tài)端口重定向(port redirection with statics) 在pix 版本6.0以上,增加了端口重定向的功能,允許外部用戶通過(guò)一個(gè)特殊的ip地址/端口通過(guò)firewall pix 傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。這種功能也就是可以發(fā)布內(nèi)部www、ftp、mail等服務(wù)器了,這種方式并不是直接連接,而是通過(guò)端口重定向,使得內(nèi)部服務(wù)器很安全。
命令格式:
static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用戶直接訪問(wèn)地址222.20.16.99 telnet端口,通過(guò)pix重定向到內(nèi)部主機(jī)192.168.1.99的telnet端口(23)。
pix515e(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用戶直接訪問(wèn)地址222.20.16.99 ftp,通過(guò)pix重定向到內(nèi)部192.168.1.3的ftp server。
pix515e(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用戶直接訪問(wèn)地址222.20.16.208 www(即80端口),通過(guò)pix重定向到內(nèi)部192.168.123的主機(jī)的www(即80端口)。
pix515e(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問(wèn)地址222.20.16.201 http(8080端口),通過(guò)pix重定向到內(nèi)部192.168.1.4的主機(jī)的www(即80端口)。
pix515e(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問(wèn)地址222.20.16.5 smtp(25端口),通過(guò)pix重定向到內(nèi)部192.168.1.5的郵件主機(jī)的smtp(即25端口)
pix515e(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
|
10、顯示與保存結(jié)果
采用命令show config
保存采用write memory |
