Cisco PIX防火墙配置指南
任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,使内部网络与Internet之间或与其他外部网络互相隔离,并限制网络互访,从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
在众多的企业级主流防火墙中,Cisco PIX防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号:PIX506、515、520、525、535。其中PIX535是PIX 500系列中最新、功能最强大的一款,适用于大型的ISP等服务提供商。然而,PIX特有的OS操作系统使得大多数管理是通过命令行来实现的,这给初学者带来不便。本文将通过实例介绍如何配置Cisco PIX防火墙。
防火墙的物理特性
防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口。当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
- 内部区域(内网):企业内部网络或其一部分,是互连网络的信任区域,受到防火墙的保护。
- 外部区域(外网):通常指Internet或非企业内部网络,是互连网络中不被信任的区域。外部区域想要访问内部区域的主机和服务时,需要通过防火墙实现有限制的访问。
- 停火区(DMZ):一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机,通常放置Web服务器、Mail服务器等。停火区对外部用户通常是可访问的,但不允许他们访问企业内部网络。注意:2个接口的防火墙是没有停火区的。
由于PIX535在企业级别不具有普遍性,下面主要说明PIX525在企业网络中的应用。
管理访问模式
PIX防火墙提供4种管理访问模式:
- 非特权模式 :开机自检后处于此模式,系统显示为
pixfirewall>
。 - 特权模式 :输入
enable
进入特权模式,可以改变当前配置,显示为pixfirewall#
。 - 配置模式 :输入
configure terminal
进入此模式,绝大部分的系统配置都在这里进行,显示为pixfirewall(config)#
。 - 监视模式 :在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。可以更新操作系统映像和口令恢复,显示为
monitor>
。
配置步骤
配置PIX防火墙有6个基本命令:nameif
、interface
、ip address
、nat
、global
、route
。以下是配置的基本步骤:
1. 配置防火墙接口的名字,并指定安全级别(nameif)
Pix525(config)# nameif ethernet0 outside security0
Pix525(config)# nameif ethernet1 inside security100
Pix525(config)# nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100。安全级别取值范围为1~99,数字越大安全级别越高。
2. 配置以太口参数(interface)
Pix525(config)# interface ethernet0 auto
Pix525(config)# interface ethernet1 100full
Pix525(config)# interface ethernet1 100full shutdown
注:
shutdown
选项表示关闭这个接口,若启用接口去掉该选项。
3. 配置内外网卡的IP地址(ip address)
Pix525(config)# ip address outside 61.144.51.42 255.255.255.248
Pix525(config)# ip address inside 192.168.0.1 255.255.255.0
4. 指定要进行转换的内部地址(nat)
Pix525(config)# nat (inside) 1 0 0
例:表示启用nat,内网的所有主机都可以访问外网。
5. 指定外部地址范围(global)
Pix525(config)# global (outside) 1 61.144.51.42-61.144.51.48
6. 设置指向内网和外网的静态路由(route)
Pix525(config)# route outside 0 0 61.144.51.168 1
高级配置
a. 配置静态IP地址翻译(static)
Pix525(config)# static (inside, outside) 61.144.51.62 192.168.0.8
b. 管道命令(conduit)
Pix525(config)# conduit permit tcp host 192.168.0.8 eq www any
c. 配置fixup协议
Pix525(config)# fixup protocol ftp 21
d. 设置telnet
Pix525(config)# telnet local_ip [netmask]
配置实例
welcome to the pix firewall type help or '?' for a list of available commands.
pix525> en
password:
pix525# sh config : saved : pix version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 7y051hhccoirtsqz encrypted
hostname pix525
domain-name 123.com
fixup protocol ftp 21
fixup protocol http 80
global (outside) 1 61.144.51.46
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1
维护命令
show interface
:查看端口状态show static
:查看静态地址映射show ip
:查看接口IP地址ping outside | inside ip_address
:确定连通性