PIX 防火墙

---恢复内容开始---

一 , PIX 防火墙的认识

　　PIX 是cisco 的硬件防火墙 硬件防火墙的工作速度快,使用方便.

　　PIX 有很多型号,并发连接数是PIX防火墙的重要参数   PIX 25是典型的设备

　　PIX 防火墙常见的接口: console Faliover Ethernet USB

　　网络区域:

　　　　内部区域: inside

　　　　外部区域: outside

　　　　中间区域: 称之为DMZ(停火区域) 放置对外开放的服务器

二, 防火墙的配置规则

　　没有连接的状态(没有握手或者握手不成功或者非法的数据包),任何数据包无法穿过防火墙.(内部发起的连接可ui会包,通过ACL 开放的服务区允许外部发起连接)

　　

　　inside 可以访问 outside 和 dmz

　　dmz 可以访问 outside区域

　　inside 访问dmz 需要配合static(静态地址转换).

　　outside访问dmz 需要配合ACL (访问控制列表)

三, PIX 防火墙的配置模式

　　PIX 防火墙 配置模式与路由器类似 ,有4中管理模式:

　　PIXfirewall> : 用户模式

　　PIZfirewall # 特权模式

　　PIXfirewall(config)# : 配置模式

　　monitor> : ROM监视模式 开机按住{ESC}键或者大宋一个break字符,进入监视模式

四.PIX 基本配置命令

　　常用的命令:　　

　　　　nameif:

　　　　　　设置接口的名称,并制定安全级别, 安全的级别取值范围为1~100 ,数值越大级别越高.

　　　　　　　　:

　　　　　　　　ethernet0 命名为外部接口 outside 安全级别 0

　　　　　　　　ethernet1 命令为内部接口 inside, 安全级别是100

　　　　　　　　ethernet2 命名为DMZ 安全界别为50

　　　　　　　命令配置:　　　　　　　　

PIX635(config)#nameif ethernet0 outside security 0
PIX635(config)#nameif ethernet1 outside security 100
PIX(config)#nameif ethernet2 outside security 50

　　　interface:

　　　　　　配置以太网接口工作状态,常见的状态有: auto 100full shutdown

　　　　　　aotu:　　设置网卡工作再自适应状态.

　　　　　　100full:    设置网卡工作再100mbit/s 全双工状态.

　　　　　　shutdown: 设置网卡接口关闭,否者为激活

　　　　　　　　配置命令

　　　　　　　　　　interface ethernet0 auto
 
　　　　　　　　　　interface ethernet1 100full
　　　　　　　　　　interface ethernet1 100full shutdown

　　　　ip address:

　　　　　　配置网络接口的ip地址.例如:

　　　　　　　　PIX(config)#ip address outside 133.0.0.1 255.255.255.252
 
　　　　　　　　PIX(config)#ip address intside 192.168.0.1 255.255.255.252

　　　　　　　　###内网inside接口使用私有地址192.168.0.1 ,外网outside接口使用公网地址133.0.0.1　　.

　　　　global

　　　　　　　指定公网地址范围:　　定义地址次

　　　　　　　GlaBal的命令语法

　　　　　　　　global (if _name) nat_id ip_adress-ip_address[netmark global_mask]

　　　　　　　　其中:

　　　　　　　　　　　(if_name):表示外网接口名称, 一般为outside

　　　　　　　　　　　nat_id : 简历地址池标识(nat要应用)

　　　　　　　　　　　ip_adress-ip_address :表示一个IP地址的范围

　　　　　　　　　　　[network global_mask] : 表示全局ip地址的网络掩码

　　　　　　　　　　　　　　例如:

　　　　　　　　　　　　　　　　PIX(config)#global (outside) 1 133.0.0.1-133.0.0.15

　　　　　　　　　　　　　　　　地址次1对应的ip是:133.0.0.1-133.0.0.15

　　　　　　　　　　　　　　　　PIX(config)#global (outside) 1 133.0.0.1

　　　　　　　　　　　　　　　　地址池只有一个ip　　

　　　　　　　　　　　　　　　　PIX(config)#noglobal (outside) 1133.0.0.1-133.0.0.15

　　　　　　　　　　　　　　　　删除这个全局表项

　　　　nat:

　　　　　　　　地址转换命令,讲内网的私有ip 转换为外网公网ip

　　　　　　　　nat命令配置语法:nat( if_name) nat_id local_ip [network]

　　　　　　　　　　(if_name): 表示接口名称, 一般为inside

　　　　　　　　　　nat_id 表示地址池,有global命令定义

　　　　　　　　　　local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。
　　　　　　　　　　[network]：表示内网ip地址的子网掩码。
　　　　　　　　　　再试剂配制中nat命令总是与global命令配合使用。
　　　　　　　　　　一个指定外部网络,一个指定内部网络,通过net_id联系在一起。
 　　　　　　　　　　例如：

　　　　　　　　　　　PIX(config)#nat (inside) 100　

　　　　　　　　　　　 表示内网的所有主机 (00) 都可以访问由 global 指定的外网。
　　　　　　　　　　　PIX(config)# nat (inside) 1 172.16.5.0 255.255.0.0
　　　　　　　　　　　表示只有 172.16.5.0/16 网段的主机可以访问 global 指定的外网。

　　router:

　　　　　　route 命令定义静态路由。
　　　　　　语法：
　　　　　　　　route (if_name) 00 gateway_ip [metric]
　　　　　　其中：
　　　　　　　　(if_name) ：表示接口名称。
　　　　　　　　00：表示所有主机
　　　　　　　　Gateway_ip ：表示网关路由器的 ip 地址或下一跳。

　　　　　　　　[metric] ：路由花费。缺省值是 1。
　　　　　　例如：
　　　　　　　　PIX(config)#route outside 00 133.0.0.11
　　　　　　　　设置缺省路由从 outside 口送出，下一跳是 133.0.0.1 。 00 代表 0.0.0.00.0.0.0 ，表示任意网络。
　　　　　　　　PIX(config)#route inside10.1.0.0255.255.0.010.8.0.11 设置到 10.1.0.0 网络下一跳是 10.8.0.1 。最后的 “ 1” 市话费

　　state:

　　　　　　配置静态 IP 地址翻译，使内部地址与外部地址一一对应。
　　　　　　语法：
　　　　　　　　static (internal_if_name,external_if_name) outside_ip_addr inside_ip_address
　　　　　　其中：
　　　　　　　　internal_if_name 表示内部网络接口，安全级别较高，如 inside 。
　　　　　　　　external_if_name 表示外部网络接口，安全级别较低，如 outside 。 outside_ip_address 表示外部网络的公有 ip 地址。
　　　　　　　　inside_ip_address 表示内部网络的本地 ip 地址。
　　　　　　　　(括号内序顺是先内后外，外边的顺序是先外后内 )
　　　　　　例如：
　　　　　　　　PIX(config)#static (inside ，outside) 133.0.0.1 192.168.0.8
　　　　　　　　表示内部 ip 地址 192.168.0.8 ，访问外部时被翻译成 133.0.0.1 全局地址。 PIX(config)#static(dmz ，outside)133.0.0.1172.16.0.2
　　　　　　　　中间区域 ip 地址 172.16.0.2 ，访问外部时被翻译成 133.0.0.1 全局地址

　　conduit

　　　　　　管道 conduit 命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 例如允许从 outside 到 DMZ 或 inside 方向的会话 (作用同访问控制列表 )。
　　　　　　语法：
　　　　　　　　conduit permit|deny protocol global_ip port [-port] foreign_ip [netmask]
　　　　　　其中：
　　　　　　　　global_ip 是一台主机时前面加 host 参数，所有主机时用 any 表示。
　　　　　　　　foreign_ip 表示外部 ip。
　　　　　　　　[netmask] 表示可以是一台主机或一个网络。
　　　　　　　　例如：
　　　　　　　　PIX(config)#static(inside ，outside)133.0.0.1192.168.0.3
　　　　　　　　PIX(config)#conduitpermittcphost133.0.0.1eqwwwany
　　　　　　　　这个例子说明 static 和 conduit 的关系。 192.168.0.3 是内网一台 web 服务器，
　　　　　　　　现在希望外网的用户能够通过 PIX 防火墙访问 web 服务。
　　　　　　　　所以先做 static 静态映射： 192.168.0.3 －>133.0.0.1
　　　　　　　　然后利用 conduit 命令允许任何外部主机对全局地址 133.0.0.1 进行 http 访问。

　　　　　　访问控制列表 ACL

　　　　　　　　访问控制列表的命令与 couduit 命令类似，
　　　　　　　　　　例：
　　　　　　　　　　PIX(config)#access-list 100 permit ip any host133.0.0.1eqwww
　　　　　　　　　　PIX(config)#access-list 100 deny ip any any
　　　　　　　　　　PIX(config)#access-group 100 in interface outside

　　　　　　侦听命令 fixup
　　　　　　　　作用是启用或禁止一个服务或协议，
　　　　　　　　通过指定端口设置 PIX 防火墙要侦听 listen 服务的端口。
　　　　　　　　例：
　　　　　　　　PIX(config)#fixup prot ocol ftp 21
　　　　　　　　启用 ftp 协议，并指定 ftp 的端口号为 21
　　　　　　　　PIX(config)#fixup prot ocol http 8080
　　　　　　　　PIX(config)#no fixup prot ocol http80
　　　　　　　　启用 http 协议 8080 端口，禁止 80 端口。

　　　telnet

　　　　　　　　当从外部接口要 telnet 到 PIX 防火墙时， telnet 数据流需要用 vpn 隧道 ipsec 提供保护或 在 PIX 上配置 SSH ，然后用 SSHclient 从外部到 PIX 防火墙。
　　　　　　　　例：
　　　　　　　　telnet local_ip [netmask]
　　　　　　　　local_ip 表示被授权可以通过 telnet 访问到 PIX 的 ip 地址。
　　　　　　　　如果不设此项， PIX 的配置方式只能用 console 口接超级终端进行。

　　　　　　显示命令：　　　　

show interface ；查看端口状态。
show static ；查看静态地址映射。
show ip ；查看接口 ip 地址。
show config ；查看配置信息。
show run ；显示当前配置信息。
write terminal ；将当前配置信息写到终端。
show cpuusage ；显示 CPU 利用率，排查故障时常用。
show traffic ；查看流量。
show blocks ；显示拦截的数据包。
show mem ；显示内存

　　　DHCP

　　　　　　　　PIX 具有 DHCP 服务功能。
　　　　　　　　例：
　　　　　　　　PIX(config)#ip address dhcp
　　　　　　　　PIX(config)#dhcp daddress 192.168.1.100-192.168.1.200 inside 　　

　　　　　　　　PIX(config)#dhcp dns 202.96.128.68 202.96.144.47
　　　　　　　　PIX(config)#dhcp domain abc.com.cn

　　　　　　PIX防火墙举例

　　　　　　　　

设：
ethernet0 命名为外部接口 outside ，安全级别是 0。
ethernet1 被命名为内部接口 inside ，安全级别 100。
ethernet2 被命名为中间接口 dmz ，安全级别 50。
PIX#conft
PIX(config)#nameif ethernet0 outside security 0
PIX(config)#nameif ethernet1 inside security 100
PIX(config)#nameif ethernet2 dmz security50
PIX(config)#interface ethernet0 auto
PIX(config)#interface ethernet1 100full
PIX(config)#interface ethernet2 100full
PIX(config)#ip address outside 133.0.0.1 255.255.255.252; 设置接口 IP
PIX(config)#ip address inside 10.66.1.200 255.255.0.0; 设置接口 IP
PIX(config)#ip address dmz 10.65.1.200 255.255.0.0; 设置接口 IP
PIX(config)#global (outside) 1 133.1.0.1-133.1.0.14; 定义的地址池
PIX(config)#nat (inside) 1 00 ;00 表示所有
PIX(config)#route outside 00 133.0.0.2; 设置默认路由
PIX(config)#static (dmz ，outside) 133.1.0.1 10.65.1.101; 静态 NAT
PIX(config)#static (dmz ，outside) 133.1.0.2 10.65.1.102; 静态 NAT
PIX(config)#static (inside ，dmz)10.66.1.20010.66.1.200; 静态 NAT
PIX(config)#access-list 101 permit ip any host 133.1.0.1 eq www; 设置 ACL
PIX(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp; 设置 ACL
PIX(config)#access-list 101 deny ip any any; 设置 ACL
PIX(config)#access-group 101 ininterface outside; 将 ACL 应用在 outside 端口
当内部主机访问外部主机时，通过 nat 转换成公网 IP，访问 internet 。
当内部主机访问中间区域 dmz 时，将自己映射成自己访问服务器，否则内部主机将会
映射成地址池的 IP，到外部去找。
当外部主机访问中间区域 dmz 时，对 133.0.0.1 映射成 10.65.1.101 ， static 是双向的。 PIX 的所有端口默认是关闭的，进入 PIX 要经过 acl 入口过滤。
静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。

---恢复内容结束---