PIX防火墻配置方法

1、pixfirewall#思科PIX防火墻的基礎(chǔ)思科PIX防火墻可以保護(hù)各種網(wǎng)絡(luò)。有用于小型家庭網(wǎng)絡(luò)的PIX防火墻，也有用于大型園區(qū)或者企業(yè)網(wǎng)絡(luò)的PIX防火墻。在本文的例 子中，我們將設(shè)置一種PIX 501型防火墻。PIX 501是用于小型家庭 網(wǎng)絡(luò)或者小企業(yè)的防火墻。PIX防火墻有內(nèi)部和外部接口的概念。內(nèi)部接口是內(nèi)部的，通常 是專(zhuān)用的網(wǎng)絡(luò)。外部接口是外部的，通常是公共的網(wǎng)絡(luò)。你要設(shè)法保 護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的影響。PIX防火墻還使用白適應(yīng)性安全算法（ASA）。這種算法為接口分 配安全等級(jí)，并且聲稱(chēng)如果沒(méi)有規(guī)則許可，任何通信都不得從低等級(jí) 接口（如外部接口）流向高等級(jí)接口（如內(nèi)部接口）。這個(gè)外

2、部接口的安 全等級(jí)是“0”，這個(gè)內(nèi)部接口的安全等級(jí)是“100”。下面是顯示“nameif”命令的輸出情況：pixfirewall# show nameifnameif ethernet0 outside security。nameif ethernetl inside security100請(qǐng)注意，ethernet0（以太網(wǎng)0）接口是外部接口（它的默認(rèn)名字）, 安全等級(jí)是0。另一方面，ethernet1（以太網(wǎng)1）接口是內(nèi)部接口的名 字（默認(rèn)的） ，安全等級(jí)是100。指南在開(kāi)始設(shè)置之前，你的老板已經(jīng)給了你一些需要遵守的指南。這些指南是：所有的口令應(yīng)該設(shè)置為“思科”（實(shí)際上，除了思科之外，你 可

3、設(shè)置為任意的口令）。內(nèi)部網(wǎng)絡(luò)是10.0.0.0，擁有一個(gè)255.0.0.0的子網(wǎng)掩碼。這 個(gè)PIX防火墻的內(nèi)部IP地址應(yīng)該是10.1.1.1。外部網(wǎng)絡(luò)是1.1.1.0，擁有一個(gè)255.0.0.0的子網(wǎng)掩碼。這個(gè)PIX防火墻的外部IP地址應(yīng)該是1.1.1.1。你要?jiǎng)?chuàng)建一個(gè)規(guī)則允許所有在10.0.0.0網(wǎng)絡(luò)上的客戶做端口地址解析并且連接到外部網(wǎng)絡(luò)。他們將全部共享全球IP地址1.1.1.2。然而，客戶只能訪問(wèn)端口80（網(wǎng)絡(luò)瀏覽）。用于外部（互聯(lián)網(wǎng)）網(wǎng)絡(luò)的默認(rèn)路由是1.1.1.254。設(shè)置當(dāng)你第一次啟動(dòng)PIX防火墻的時(shí)候，你應(yīng)該看到一個(gè)這樣的屏幕pixfirewall en顯示:R CMrt 1 SK

4、UftCKT*4(MKltHN4iWNM4IKH4KHIfHHWMKMWMH* HflmirW !*If*4A ICopyright Cc) 1996-2003 I擔(dān)Cisco Sy3tef)#IncrRestricted Rights LegendUSE* duplication, or dlacloaurc by the Govrfent is subject tc restrictions osset forth in aubpororoph (1) (li of the Rightsin Technic! Ota wnd Computer Scftwre clause et DEARS

5、 sec* 2S2.227-7013*Cisco Sy豉59* Inc * 170 Host lastar Drive San JoseFColirornia95上34-1.7。6Crptochecku*(changed)d41d8od9 3?00b20 9800998 ec842為Pre-configure PIX Fircuall nou through Interactive prcMpts Lyes? |*fw*SwHi：W0Ml。榔Cdf -nOO *JM你將根據(jù)提示回答“是”或者“否”來(lái)決定是否根據(jù)這個(gè)互動(dòng)提 示來(lái)設(shè)置PIX防火墻。對(duì)這個(gè)問(wèn)題回答“否”，因?yàn)槟阋獙W(xué)習(xí)如何真 正地設(shè)置

6、防火墻，而不僅僅是回答一系列問(wèn)題。然后，你將看到這樣一個(gè)提示符:pixfirewall在提示符的后面有一個(gè)大于號(hào)“”，你處在PIX用戶模式。使 用en或者enable命令修改權(quán)限模式。在口令提示符下按下“enter鍵。下面是一個(gè)例子：pixfirewall(config)#Password:pixfirewall#你現(xiàn)在擁有管理員模式，可以顯示內(nèi)容，但是，你必須進(jìn)入通用 設(shè)置模式來(lái)設(shè)置這個(gè)PIX防火墻?，F(xiàn)在讓我們學(xué)習(xí)PIX防火墻的基本設(shè)置：PIX防火墻的基本設(shè)置我所說(shuō)的基本設(shè)置包括三樣事情：-設(shè)置主機(jī)名設(shè)置口令（登錄和啟動(dòng)）設(shè)置接口的IP地址-啟動(dòng)接口-設(shè)置一個(gè)默認(rèn)的路由在你做上述任何事情之前

7、， 你需要進(jìn)入通用設(shè)置模式。 要進(jìn)入這 種模式，你要鍵入:pixfirewall# config tPIX1(config)#要設(shè)置主機(jī)名，使用主機(jī)名命令，像這樣：pixfirewall(config)# hostname PIX1PIX1(config)#注意，提示符轉(zhuǎn)變到你設(shè)置的名字。下一步，把登錄口令設(shè)置為“cisco”(思科)，像這樣：PIX1(config)# password ciscoPIX1(config)#這是除了管理員之外獲得訪問(wèn)PIX防火墻權(quán)限所需要的口令?，F(xiàn)在，設(shè)置啟動(dòng)模式口令，用于獲得管理員模式訪問(wèn)。PIX1(config)# enable password cisc

8、oPIX1(config)#現(xiàn)在，我們需要設(shè)置接口的IP地址和啟動(dòng)這些接口。同路由器 一樣，PIX沒(méi)有接口設(shè)置模式的概念。要設(shè)置內(nèi)部接口的IP地址, 使用如下命令：PIX1(config)# ip address inside10.1.1.1 255.0.0.0PIX1(config)#現(xiàn)在，設(shè)置外部接口的IP地址:PIX1(config)# ip address outside 1.1.1.1 255.255.255.0PIX1(config)#下一步，啟動(dòng)內(nèi)部和外部接口。確認(rèn)每一個(gè)接口的以太網(wǎng)電纜線 連接到一臺(tái)交換機(jī)。注意，ethernet0接口是外部接口，它在PIX 501防火墻中只是一

9、個(gè)10base-T接口。ethernet1接口是內(nèi)部接口，是 一個(gè)100Base-T接口。下面是啟動(dòng)這些接口的方法：PIX1(config)#interface ethernet0 10basetPIX1(config)#interface ethernet1 100fullPIX1(config)#注意，你可以使用一個(gè)顯示接口的命令，就在通用設(shè)置提示符命令行使用這個(gè)命令。最后，讓我們?cè)O(shè)置一個(gè)默認(rèn)的路由，這樣，發(fā)送到PIX防火墻的 所有的通訊都會(huì)流向下一個(gè)上行路由器(我們被分配的IP地址是1.1.1.254)。你可以這樣做：PIX1(config)# route outside 0 0 1.1

10、.1.254當(dāng)然，PIX防火墻也支持動(dòng)態(tài)路由協(xié)議(如RIP和OSPFB議)現(xiàn)在，我們接著介紹一些更高級(jí)的設(shè)置。網(wǎng)絡(luò)地址解析由于我們有IP地址連接，我們需要使用網(wǎng)絡(luò)地址解析讓內(nèi)部用 戶連接到外部網(wǎng)絡(luò)。我們將使用一種稱(chēng)作“PAT或者“NATOverload的網(wǎng)絡(luò)地址解析。這樣，所有內(nèi)部設(shè)備都可以共享一個(gè)公共的IP地址(PIX防火墻的外部IP地址)。要做到這一點(diǎn)，請(qǐng)輸入這些命令：PIXI(config)# nat (inside) 1 10.0.0.0 255.0.0.0PIXI(config)# global (outside) 1 1.1.1.2Global 1.1.1.2 will be Po

11、rt Address TranslatedPIX1(config)#使用這些命令之后， 全部?jī)?nèi)部客戶機(jī)都可以連接到公共網(wǎng)絡(luò)的設(shè) 備和共享IP地址1.1.1.2。然而，客戶機(jī)到目前為止還沒(méi)有任何規(guī) 則允許他們這樣做。防火墻規(guī)則這些在內(nèi)部網(wǎng)絡(luò)的客戶機(jī)有一個(gè)網(wǎng)絡(luò)地址解析。 但是，這并不意 味著允許他們?cè)L問(wèn)。他們現(xiàn)在需要一個(gè)允許他們?cè)L問(wèn)外部網(wǎng)絡(luò) (互連 網(wǎng))的規(guī)則。這個(gè)規(guī)則還將允許返回的通信。要制定一個(gè)允許這些客戶機(jī)訪問(wèn)端口80的規(guī)則，你可以輸入如 下命令：PIX1(config)# access-list outbound permit tcp 10.0.0.0255.0.0.0 any eq 80PIX1(config)# access-group outbound in interface insidePIX1(config)#注意：與路由器訪問(wèn)列表不同，