[网络][CISCO]Cisco-PIX配置详解

Cisco PIX防火墙配置指南

任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,使内部网络与Internet之间或与其他外部网络互相隔离,并限制网络互访,从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。

在众多的企业级主流防火墙中,Cisco PIX防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号:PIX506、515、520、525、535。其中PIX535是PIX 500系列中最新、功能最强大的一款,适用于大型的ISP等服务提供商。然而,PIX特有的OS操作系统使得大多数管理是通过命令行来实现的,这给初学者带来不便。本文将通过实例介绍如何配置Cisco PIX防火墙。

防火墙的物理特性

防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口。当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:

  • 内部区域(内网):企业内部网络或其一部分,是互连网络的信任区域,受到防火墙的保护。
  • 外部区域(外网):通常指Internet或非企业内部网络,是互连网络中不被信任的区域。外部区域想要访问内部区域的主机和服务时,需要通过防火墙实现有限制的访问。
  • 停火区(DMZ):一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机,通常放置Web服务器、Mail服务器等。停火区对外部用户通常是可访问的,但不允许他们访问企业内部网络。注意:2个接口的防火墙是没有停火区的。

由于PIX535在企业级别不具有普遍性,下面主要说明PIX525在企业网络中的应用。

管理访问模式

PIX防火墙提供4种管理访问模式:

  1. 非特权模式 :开机自检后处于此模式,系统显示为 pixfirewall>
  2. 特权模式 :输入 enable 进入特权模式,可以改变当前配置,显示为 pixfirewall#
  3. 配置模式 :输入 configure terminal 进入此模式,绝大部分的系统配置都在这里进行,显示为 pixfirewall(config)#
  4. 监视模式 :在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。可以更新操作系统映像和口令恢复,显示为 monitor>

配置步骤

配置PIX防火墙有6个基本命令:nameifinterfaceip addressnatglobalroute。以下是配置的基本步骤:

1. 配置防火墙接口的名字,并指定安全级别(nameif)

复制代码
Pix525(config)# nameif ethernet0 outside security0
Pix525(config)# nameif ethernet1 inside security100
Pix525(config)# nameif dmz security50

提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100。安全级别取值范围为1~99,数字越大安全级别越高。

2. 配置以太口参数(interface)

复制代码
Pix525(config)# interface ethernet0 auto
Pix525(config)# interface ethernet1 100full
Pix525(config)# interface ethernet1 100full shutdown

注:shutdown选项表示关闭这个接口,若启用接口去掉该选项。

3. 配置内外网卡的IP地址(ip address)

复制代码
Pix525(config)# ip address outside 61.144.51.42 255.255.255.248
Pix525(config)# ip address inside 192.168.0.1 255.255.255.0

4. 指定要进行转换的内部地址(nat)

复制代码
Pix525(config)# nat (inside) 1 0 0

例:表示启用nat,内网的所有主机都可以访问外网。

5. 指定外部地址范围(global)

复制代码
Pix525(config)# global (outside) 1 61.144.51.42-61.144.51.48

6. 设置指向内网和外网的静态路由(route)

复制代码
Pix525(config)# route outside 0 0 61.144.51.168 1

高级配置

a. 配置静态IP地址翻译(static)

复制代码
Pix525(config)# static (inside, outside) 61.144.51.62 192.168.0.8

b. 管道命令(conduit)

复制代码
Pix525(config)# conduit permit tcp host 192.168.0.8 eq www any

c. 配置fixup协议

复制代码
Pix525(config)# fixup protocol ftp 21

d. 设置telnet

复制代码
Pix525(config)# telnet local_ip [netmask]

配置实例

复制代码
welcome to the pix firewall type help or '?' for a list of available commands.
pix525> en
password: 
pix525# sh config : saved : pix version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 7y051hhccoirtsqz encrypted
hostname pix525
domain-name 123.com
fixup protocol ftp 21
fixup protocol http 80
global (outside) 1 61.144.51.46
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1

维护命令

  • show interface:查看端口状态
  • show static:查看静态地址映射
  • show ip:查看接口IP地址
  • ping outside | inside ip_address:确定连通性
相关推荐
William一直在路上6 小时前
KONG API Gateway中的核心概念
网络·gateway·kong
sakoba9 小时前
Docker学习其二(容器卷,Docker网络,Compose)
运维·网络·学习·docker·容器·基础
惜.己11 小时前
appium中urllib3.exceptions.LocationValueError: No host specified. 的错误解决办法
网络·appium
吉凶以情迁11 小时前
window服务相关问题探索 go语言服务开发探索调试
linux·服务器·开发语言·网络·golang
专注VB编程开发20年11 小时前
UDP受限广播地址255.255.255.255的通信机制详解
网络·udp·智能路由器
1892280486112 小时前
NX947NX955美光固态闪存NX962NX966
大数据·服务器·网络·人工智能·科技
Sadsvit13 小时前
Linux 进程管理与计划任务
linux·服务器·网络
一碗白开水一14 小时前
【模型细节】FPN经典网络模型 (Feature Pyramid Networks)详解及其变形优化
网络·人工智能·pytorch·深度学习·计算机视觉
什么都想学的阿超14 小时前
【网络与爬虫 38】Apify全栈指南:从0到1构建企业级自动化爬虫平台
网络·爬虫·自动化
D-海漠15 小时前
安全光幕Muting功能程序逻辑设计
服务器·网络·人工智能