[网络][CISCO]Cisco-PIX配置详解

Cisco PIX防火墙配置指南

任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,使内部网络与Internet之间或与其他外部网络互相隔离,并限制网络互访,从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。

在众多的企业级主流防火墙中,Cisco PIX防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号:PIX506、515、520、525、535。其中PIX535是PIX 500系列中最新、功能最强大的一款,适用于大型的ISP等服务提供商。然而,PIX特有的OS操作系统使得大多数管理是通过命令行来实现的,这给初学者带来不便。本文将通过实例介绍如何配置Cisco PIX防火墙。

防火墙的物理特性

防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口。当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:

  • 内部区域(内网):企业内部网络或其一部分,是互连网络的信任区域,受到防火墙的保护。
  • 外部区域(外网):通常指Internet或非企业内部网络,是互连网络中不被信任的区域。外部区域想要访问内部区域的主机和服务时,需要通过防火墙实现有限制的访问。
  • 停火区(DMZ):一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机,通常放置Web服务器、Mail服务器等。停火区对外部用户通常是可访问的,但不允许他们访问企业内部网络。注意:2个接口的防火墙是没有停火区的。

由于PIX535在企业级别不具有普遍性,下面主要说明PIX525在企业网络中的应用。

管理访问模式

PIX防火墙提供4种管理访问模式:

  1. 非特权模式 :开机自检后处于此模式,系统显示为 pixfirewall>
  2. 特权模式 :输入 enable 进入特权模式,可以改变当前配置,显示为 pixfirewall#
  3. 配置模式 :输入 configure terminal 进入此模式,绝大部分的系统配置都在这里进行,显示为 pixfirewall(config)#
  4. 监视模式 :在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。可以更新操作系统映像和口令恢复,显示为 monitor>

配置步骤

配置PIX防火墙有6个基本命令:nameifinterfaceip addressnatglobalroute。以下是配置的基本步骤:

1. 配置防火墙接口的名字,并指定安全级别(nameif)

复制代码
Pix525(config)# nameif ethernet0 outside security0
Pix525(config)# nameif ethernet1 inside security100
Pix525(config)# nameif dmz security50

提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100。安全级别取值范围为1~99,数字越大安全级别越高。

2. 配置以太口参数(interface)

复制代码
Pix525(config)# interface ethernet0 auto
Pix525(config)# interface ethernet1 100full
Pix525(config)# interface ethernet1 100full shutdown

注:shutdown选项表示关闭这个接口,若启用接口去掉该选项。

3. 配置内外网卡的IP地址(ip address)

复制代码
Pix525(config)# ip address outside 61.144.51.42 255.255.255.248
Pix525(config)# ip address inside 192.168.0.1 255.255.255.0

4. 指定要进行转换的内部地址(nat)

复制代码
Pix525(config)# nat (inside) 1 0 0

例:表示启用nat,内网的所有主机都可以访问外网。

5. 指定外部地址范围(global)

复制代码
Pix525(config)# global (outside) 1 61.144.51.42-61.144.51.48

6. 设置指向内网和外网的静态路由(route)

复制代码
Pix525(config)# route outside 0 0 61.144.51.168 1

高级配置

a. 配置静态IP地址翻译(static)

复制代码
Pix525(config)# static (inside, outside) 61.144.51.62 192.168.0.8

b. 管道命令(conduit)

复制代码
Pix525(config)# conduit permit tcp host 192.168.0.8 eq www any

c. 配置fixup协议

复制代码
Pix525(config)# fixup protocol ftp 21

d. 设置telnet

复制代码
Pix525(config)# telnet local_ip [netmask]

配置实例

复制代码
welcome to the pix firewall type help or '?' for a list of available commands.
pix525> en
password: 
pix525# sh config : saved : pix version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 7y051hhccoirtsqz encrypted
hostname pix525
domain-name 123.com
fixup protocol ftp 21
fixup protocol http 80
global (outside) 1 61.144.51.46
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1

维护命令

  • show interface:查看端口状态
  • show static:查看静态地址映射
  • show ip:查看接口IP地址
  • ping outside | inside ip_address:确定连通性
相关推荐
Me4神秘8 小时前
电信、移动、联通、广电跨运营商网速慢原因
网络
数通Dinner9 小时前
RSTP 拓扑收敛机制
网络·网络协议·tcp/ip·算法·信息与通信
liulilittle11 小时前
SNIProxy 轻量级匿名CDN代理架构与实现
开发语言·网络·c++·网关·架构·cdn·通信
tan77º11 小时前
【Linux网络编程】Socket - UDP
linux·服务器·网络·c++·udp
小白爱电脑12 小时前
光纤的最小弯曲半径是多少?
网络
花落已飘13 小时前
多线程 vs 异步
linux·网络·系统架构
qq_1715388515 小时前
TCP/IP协议精解:IP协议——互联网世界的邮政编码系统
网络·网络协议·tcp/ip
珹洺16 小时前
计算机网络:(七)网络层(上)网络层中重要的概念与网际协议 IP
网络·tcp/ip·计算机网络
兮动人16 小时前
获取终端外网IP地址
java·网络·网络协议·tcp/ip·获取终端外网ip地址
怦然星动_17 小时前
eNSP中实现vlan间路由通信(路由器)
网络·智能路由器