PIX 防火墙
---恢复内容开始---
一 , PIX 防火墙的认识
PIX 是cisco 的硬件防火墙 硬件防火墙的工作速度快,使用方便.
PIX 有很多型号,并发连接数是PIX防火墙的重要参数 PIX 25是典型的设备
PIX 防火墙常见的接口: console Faliover Ethernet USB
网络区域:
内部区域: inside
外部区域: outside
中间区域: 称之为DMZ(停火区域) 放置对外开放的服务器
二, 防火墙的配置规则
没有连接的状态(没有握手或者握手不成功或者非法的数据包),任何数据包无法穿过防火墙.(内部发起的连接可ui会包,通过ACL 开放的服务区允许外部发起连接)
inside 可以访问 outside 和 dmz
dmz 可以访问 outside区域
inside 访问dmz 需要配合static(静态地址转换).
outside访问dmz 需要配合ACL (访问控制列表)
三, PIX 防火墙的配置模式
PIX 防火墙 配置模式与路由器类似 ,有4中管理模式:
PIXfirewall> : 用户模式
PIZfirewall # 特权模式
PIXfirewall(config)# : 配置模式
monitor> : ROM监视模式 开机按住{ESC}键或者大宋一个break字符,进入监视模式
四.PIX 基本配置命令
常用的命令:
nameif:
设置接口的名称,并制定安全级别, 安全的级别取值范围为1~100 ,数值越大级别越高.
:
ethernet0 命名为外部接口 outside 安全级别 0
ethernet1 命令为内部接口 inside, 安全级别是100
ethernet2 命名为DMZ 安全界别为50
命令配置:
PIX635(config)#nameif ethernet0 outside security 0
PIX635(config)#nameif ethernet1 outside security 100
PIX(config)#nameif ethernet2 outside security 50
interface:
配置以太网接口工作状态,常见的状态有: auto 100full shutdown
aotu: 设置网卡工作再自适应状态.
100full: 设置网卡工作再100mbit/s 全双工状态.
shutdown: 设置网卡接口关闭,否者为激活
配置命令
interface ethernet0 auto interface ethernet1 100full
interface ethernet1 100full shutdown
ip address:
配置网络接口的ip地址.例如:
PIX(config)#ip address outside 133.0.0.1 255.255.255.252 PIX(config)#ip address intside 192.168.0.1 255.255.255.252
###内网inside接口使用私有地址192.168.0.1 ,外网outside接口使用公网地址133.0.0.1 .
global
指定公网地址范围: 定义地址次
GlaBal的命令语法
global (if _name) nat_id ip_adress-ip_address[netmark global_mask]
其中:
(if_name):表示外网接口名称, 一般为outside
nat_id : 简历地址池标识(nat要应用)
ip_adress-ip_address :表示一个IP地址的范围
[network global_mask] : 表示全局ip地址的网络掩码
例如:
PIX(config)#global (outside) 1 133.0.0.1-133.0.0.15
地址次1对应的ip是:133.0.0.1-133.0.0.15
PIX(config)#global (outside) 1 133.0.0.1
地址池只有一个ip
PIX(config)#noglobal (outside) 1133.0.0.1-133.0.0.15
删除这个全局表项
nat:
地址转换命令,讲内网的私有ip 转换为外网公网ip
nat命令配置语法:nat( if_name) nat_id local_ip [network]
(if_name): 表示接口名称, 一般为inside
nat_id 表示地址池,有global命令定义
local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。
[network]:表示内网ip地址的子网掩码。
再试剂配制中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过net_id联系在一起。
例如:
PIX(config)#nat (inside) 100
表示内网的所有主机 (00) 都可以访问由 global 指定的外网。
PIX(config)# nat (inside) 1 172.16.5.0 255.255.0.0
表示只有 172.16.5.0/16 网段的主机可以访问 global 指定的外网。
router:
route 命令定义静态路由。
语法:
route (if_name) 00 gateway_ip [metric]
其中:
(if_name) :表示接口名称。
00:表示所有主机
Gateway_ip :表示网关路由器的 ip 地址或下一跳。
[metric] :路由花费。缺省值是 1。
例如:
PIX(config)#route outside 00 133.0.0.11
设置缺省路由从 outside 口送出,下一跳是 133.0.0.1 。 00 代表 0.0.0.00.0.0.0 ,表示任意网络。
PIX(config)#route inside10.1.0.0255.255.0.010.8.0.11 设置到 10.1.0.0 网络下一跳是 10.8.0.1 。最后的 “ 1” 市话费
state:
配置静态 IP 地址翻译,使内部地址与外部地址一一对应。
语法:
static (internal_if_name,external_if_name) outside_ip_addr inside_ip_address
其中:
internal_if_name 表示内部网络接口,安全级别较高,如 inside 。
external_if_name 表示外部网络接口,安全级别较低,如 outside 。 outside_ip_address 表示外部网络的公有 ip 地址。
inside_ip_address 表示内部网络的本地 ip 地址。
(括号内序顺是先内后外,外边的顺序是先外后内 )
例如:
PIX(config)#static (inside ,outside) 133.0.0.1 192.168.0.8
表示内部 ip 地址 192.168.0.8 ,访问外部时被翻译成 133.0.0.1 全局地址。 PIX(config)#static(dmz ,outside)133.0.0.1172.16.0.2
中间区域 ip 地址 172.16.0.2 ,访问外部时被翻译成 133.0.0.1 全局地址
conduit
管道 conduit 命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 例如允许从 outside 到 DMZ 或 inside 方向的会话 (作用同访问控制列表 )。
语法:
conduit permit|deny protocol global_ip port [-port] foreign_ip [netmask]
其中:
global_ip 是一台主机时前面加 host 参数,所有主机时用 any 表示。
foreign_ip 表示外部 ip。
[netmask] 表示可以是一台主机或一个网络。
例如:
PIX(config)#static(inside ,outside)133.0.0.1192.168.0.3
PIX(config)#conduitpermittcphost133.0.0.1eqwwwany
这个例子说明 static 和 conduit 的关系。 192.168.0.3 是内网一台 web 服务器,
现在希望外网的用户能够通过 PIX 防火墙访问 web 服务。
所以先做 static 静态映射: 192.168.0.3 ->133.0.0.1
然后利用 conduit 命令允许任何外部主机对全局地址 133.0.0.1 进行 http 访问。
访问控制列表 ACL
访问控制列表的命令与 couduit 命令类似,
例:
PIX(config)#access-list 100 permit ip any host133.0.0.1eqwww
PIX(config)#access-list 100 deny ip any any
PIX(config)#access-group 100 in interface outside
侦听命令 fixup
作用是启用或禁止一个服务或协议,
通过指定端口设置 PIX 防火墙要侦听 listen 服务的端口。
例:
PIX(config)#fixup prot ocol ftp 21
启用 ftp 协议,并指定 ftp 的端口号为 21
PIX(config)#fixup prot ocol http 8080
PIX(config)#no fixup prot ocol http80
启用 http 协议 8080 端口,禁止 80 端口。
telnet
当从外部接口要 telnet 到 PIX 防火墙时, telnet 数据流需要用 vpn 隧道 ipsec 提供保护或 在 PIX 上配置 SSH ,然后用 SSHclient 从外部到 PIX 防火墙。
例:
telnet local_ip [netmask]
local_ip 表示被授权可以通过 telnet 访问到 PIX 的 ip 地址。
如果不设此项, PIX 的配置方式只能用 console 口接超级终端进行。
显示命令:
show interface ;查看端口状态。
show static ;查看静态地址映射。
show ip ;查看接口 ip 地址。
show config ;查看配置信息。
show run ;显示当前配置信息。
write terminal ;将当前配置信息写到终端。
show cpuusage ;显示 CPU 利用率,排查故障时常用。
show traffic ;查看流量。
show blocks ;显示拦截的数据包。
show mem ;显示内存
DHCP
PIX 具有 DHCP 服务功能。
例:
PIX(config)#ip address dhcp
PIX(config)#dhcp daddress 192.168.1.100-192.168.1.200 inside
PIX(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX(config)#dhcp domain abc.com.cn
PIX防火墙举例
设:
ethernet0 命名为外部接口 outside ,安全级别是 0。
ethernet1 被命名为内部接口 inside ,安全级别 100。
ethernet2 被命名为中间接口 dmz ,安全级别 50。
PIX#conft
PIX(config)#nameif ethernet0 outside security 0
PIX(config)#nameif ethernet1 inside security 100
PIX(config)#nameif ethernet2 dmz security50
PIX(config)#interface ethernet0 auto
PIX(config)#interface ethernet1 100full
PIX(config)#interface ethernet2 100full
PIX(config)#ip address outside 133.0.0.1 255.255.255.252; 设置接口 IP
PIX(config)#ip address inside 10.66.1.200 255.255.0.0; 设置接口 IP
PIX(config)#ip address dmz 10.65.1.200 255.255.0.0; 设置接口 IP
PIX(config)#global (outside) 1 133.1.0.1-133.1.0.14; 定义的地址池
PIX(config)#nat (inside) 1 00 ;00 表示所有
PIX(config)#route outside 00 133.0.0.2; 设置默认路由
PIX(config)#static (dmz ,outside) 133.1.0.1 10.65.1.101; 静态 NAT
PIX(config)#static (dmz ,outside) 133.1.0.2 10.65.1.102; 静态 NAT
PIX(config)#static (inside ,dmz)10.66.1.20010.66.1.200; 静态 NAT
PIX(config)#access-list 101 permit ip any host 133.1.0.1 eq www; 设置 ACL
PIX(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp; 设置 ACL
PIX(config)#access-list 101 deny ip any any; 设置 ACL
PIX(config)#access-group 101 ininterface outside; 将 ACL 应用在 outside 端口
当内部主机访问外部主机时,通过 nat 转换成公网 IP,访问 internet 。
当内部主机访问中间区域 dmz 时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的 IP,到外部去找。
当外部主机访问中间区域 dmz 时,对 133.0.0.1 映射成 10.65.1.101 , static 是双向的。 PIX 的所有端口默认是关闭的,进入 PIX 要经过 acl 入口过滤。
静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。
---恢复内容结束---
PIX 防火墙的更多相关文章
- Cisco PIX防火墙PPPoE拨号配置视频教学
Cisco PIX防火墙PPPoE拨号配置视频教学 本文出自 "李晨光原创技术博客" 博客,请务必保留此出处http://chenguang.blog.51cto.com/35 ...
- PIX防火墙配置A/S故障切换
PIX防火墙配置A/S故障切换 1.基本命令 failover show failover failover lan enable failover lan interface zwish e2 fa ...
- ASA与PIX的区别
很多年来,Cisco PIX一直都是Cisco确定的防火墙.但是在2005年5月,Cisco推出了一个新的产品——适应性安全产品(ASA,Adaptive Security Appliance).不过 ...
- cisco-GNS3-pix防火墙基本配置实操(持续更新)
一.ASA和PIX基础配置 1.ASA防火墙配置 1.GNS配置 因为使用的GNS3的版本可能不同,gns配置asa防火墙的步骤可能不同 在低版本的gns中直接在qemu选项里可以直接配置,参考:ht ...
- SNMP简单网络管理协议
声明:以下内容是学习谌玺老师视频整理出来(http://edu.51cto.com/course/course_id-861.html) SNMP(Simple Network Management ...
- Pyhton开源框架(加强版)
info:Djangourl:https://www.oschina.net/p/djangodetail: Django 是 Python 编程语言驱动的一个开源模型-视图-控制器(MVC)风格的 ...
- Python开源框架
info:更多Django信息url:https://www.oschina.net/p/djangodetail: Django 是 Python 编程语言驱动的一个开源模型-视图-控制器(MVC) ...
- VPN工作原理
引言 在过去几十年中,世界发生了很大的变化.现在很多公司除了处理本地或地区性事务外,还要考虑全球市场和物流的问题.很多公司在全国甚至全球都设有分支机构,而这些公司都需要做的一件事情就是:找到能够与分公 ...
- CCNA网络工程师学习进程(9)GNS3的安装与配置
本节将简单介绍一下网络设备模拟软件GNS3的配置和使用方法. (1)GNS3概述: GNS3是一款具有图形化界面可以运行在多平台(包括Windows, Linux, and MacOS ...
随机推荐
- codeforces 610D D. Vika and Segments(离散化+线段树+扫描线算法)
题目链接: D. Vika and Segments time limit per test 2 seconds memory limit per test 256 megabytes input s ...
- asteris录音设置
[macro-recording] exten =>s,1,Set(CALLFILENAME=${STRFTIME(${EPOCH},UTC-8,%Y-%m-%d-%H-%M-%S)}-${CA ...
- 构建基于虚拟用户的vsftpd服务器
安装: [root@server ~]# yum install -y vsftpd [root@server ~]# rpm -ql vsftpd /etc/logrotate.d/vsftpd / ...
- AtCoder Grand Contest #026 B - rng_10s
Time Limit: 2 sec / Memory Limit: 1024 MB Score : 600600 points Problem Statement Ringo Mart, a conv ...
- bzoj 4003: 城池攻占 左偏树
题目大意 http://www.lydsy.com/JudgeOnline/problem.php?id=4003 题解 一开始看漏条件了 题目保证当占领城池可以使攻击力乘上\(v_i\)时,一定有\ ...
- asm 兼容性、asm 主要参数管理
一 ASM instance 与 Database instance 的版本兼容性说明 1. Oracle 11gR2 的ASM 支持11g和10g的数据库实例.但是在Oracle Clusterwa ...
- 云-资讯-Micron-Insight:云的形成方式 — 以及它的发展方向
ylbtech-云-资讯-Micron-Insight:云的形成方式 — 以及它的发展方向 1.返回顶部 1. 云的形成方式 — 以及它的发展方向 当你坐下来开始一天工作的时候,你可能不会考虑到你所做 ...
- Python中with...as的用法
原文:http://blog.csdn.net/magicharvey/article/details/20226969 这个语法是用来代替传统的try...finally语法的. with EXPR ...
- 在python 3.6下用pip 安装第三方库,比如pip install requests,老是报错 Fatal error in launcher: Unable to create process using '"'
解决办法:我把python.exe 修改为了python3.exe ,为了兼容python2, 后来把python2从环境变量里删除,把python3.exe修改为了python.exe 就解决了,再 ...
- MVVM里绑定TreeView控件的SelectedItem
<TreeView x:Name="treeView"> <i:Interaction.Triggers> <i:EventTrigger Event ...