Chapter 4 PIX防火墙.docx
- 文档编号:18517143
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:34
- 大小:35.70KB
Chapter 4 PIX防火墙.docx
《Chapter 4 PIX防火墙.docx》由会员分享,可在线阅读,更多相关《Chapter 4 PIX防火墙.docx(34页珍藏版)》请在冰点文库上搜索。
Chapter4PIX防火墙
Chapter 4. PIX防火墙
Cisco公司的PIX系列防火墙是一种基于状态检测的包过滤防火墙。
4.1. 入门
PIX防火墙CLI提供4种访问模式,分别是非特权模式、特权模式、配置模式和监控模式。
前三种模式我们应该很熟悉了,和Cisco交换机和路由器一样。
监控模式用于更新系统映像。
当没有配置的PIX防火墙启动时,它会提示你通过交互的方式进行预先配置。
按向导一步步完成后,就可以通过PDM这个GUI工具登录防火墙进行进一步的配置。
一般在内部网络我们多数都是通过telnet命令登录我们PIX防火墙来进行配置管理的,所以我们要配置PIX允许我们使用telnet登录PIX,默认是不允许的。
按下面的步骤操作打开PIX的telnet功能。
第一次登录时的默认密码是cisco。
debian:
~/c#telnet192.168.10.1
Trying192.168.10.1...
Connectedto192.168.10.1.
Escapecharacteris'^]'.
UserAccessVerification
Password:
Typehelpor'?
'foralistofavailablecommands.
fw>enable#进入特权模式,默认不需要密码,直接回车即可
fw#configureterminla#进入配置模式
fw(config)#telnet192.168.0.246255.255.255.255inside#允许192.168.0.246从内接口登录
fw(config)#telnettimeout30#设置telnet的空闲中断时间为30分钟
fw(config)#passwd12345#设置新的telnet密码
这里我们使用telnet工具登录PIX是不用提供用户名的。
也就是说只能有一个用户可以登录PIX。
我们也可以创创建本地用户数据库,利用数据库中用户进行登录。
使用以下命令启用通过本地用户数据库进行授权和添加本地用户。
fw(config)#aaaauthenticationtelnetconsoleLOCAL#启用本地用户数据库授权
fw(config)#usernamejimspassword12345privilege15#创建拥有最高安全级别的管理员jims
启用本地用户数据库授权后,重新登录PIX时就要求输入用户名了。
进入特权模式要用enable命令,默认不需要密码,直接按回车就可以进入。
接着要为我们的特权模式设置一个安全的密码。
设置进入特权模式密码的命令是enablepassword。
命令格式:
Usage:
enablepassword[
noenablepasswordlevel
showenable#显示密码
password设置密码串,level设置的是特权级别,最高15最低0,encrypted关健字说明密码串为加密后的值。
在PIX中,可在任意地方使用show命令来显示系统状态。
下面几个show命令可以帮助我们了解防火墙的系统信息。
分别是:
showmemory、showversion、showinterface、showipaddress和showcpuusage。
用showrun和writeterminal命令可以显示当前的配置信息。
该信息保存在内存中,重启会丢失。
用writememory命令可把当前配置信息保存在闪存中。
语法:
Usage:
writeerase|floppy|mem|terminal|standby
示例:
fw(config)#wrmem
Buildingconfiguration...
Cryptochecksum:
2014cbd3b91eb007f759bc5836b62288
[OK]
如果我们在使用中CLI时对有些命令不熟悉,可以用help命令显示帮助信息。
fw(config)#helpwrite
USAGE:
writeerase|floppy|mem|terminal|standby
writenet[
DESCRIPTION:
writeWriteconfigtonet,flash,floppy,orterminal,oreraseflash
SYNTAX:
eraseClearstheflashmemoryconfiguration
terminalDisplaythecurrentactiveconfiguration,notnecessarily
thesavedconfiguration
memSavetheactiveconfigurationtotheflash,sothatitwill
betheactiveconfigurationafteraPIXFirewallreload
floppySavetheactiveconfigurationtoafloppydisk.Thisis
highlyrecommendedbetweenPIXFirewallupgrades
seealso:
configure
使用showstartup-config和showconfigure命令可以显示闪存中配置信息。
使用showhistory命令可以显示命令历史。
使用writeerase可清除闪存中的配置信息。
PIX防火墙可以和tftp服务器通信,把配置信息保存在tftp服务器上或从tftp服务器重新读取配置信息。
用tftp-server启用tftp服务器。
命令格式如下:
fw(config)#tftp-server?
Usage:
tftp-server[
[no|show|clear]tftp-server
示例:
fw(config)#tftp-server192.168.0.3firewall/config/506e
使用writenet和configurenet命令读写tftp上的备份配置。
运行configurenet命令会用tftp服务器上的配置文件重建配置,所以如果我们在没有清空现有配置的情况下运行该命令,会显示有重复项目的出错信息。
fw(config)#writenet
Buildingconfiguration...
TFTPwrite'/srv/tftp/pix506e'at192.168.0.3oninterface1
[OK]
fw(config)#configurenet
192.168.3.0isalreadymappedto'anet'!
192.168.4.0isalreadymappedto'bnet'!
Addingobj(port-objectrange26finger)togrp(port)failed;objectalreadyexists
...
reload命令重启PIX防火墙,并从闪存中重新加载配置信息。
重启前,如果当前配置信息没有写到闪中,则重启后,原先所做的修改信息会丢失。
在防火墙中,准确的时间设置是很重要的。
用clockset命令设置时间,用clearclock删除时间设置。
clockset命令格式:
clocksethh:
mm:
ssmonthdayyear
示例:
clockset09:
59:
00sep142007
4.2. ASA安全级别
ASA是一种基于状态的安全防护方式。
每个进来的数据包(从低安全级别主机到高安全级别主机)都要根据ASA和PIX防火墙内存中的连接状态信息进行检查。
ASA执行以下任务:
∙ 对经过PIX防火墙的连接执行状态连接控制。
∙ 对内部应用,在没有明确配置情况下,允许单向(出站)连接。
出站的连接指从高安全级别接口向低安全级别接口的连接。
∙ 监视返回的数据包,确认其有效性。
∙ 对TCP顺序号进行随机处理,减少被攻击的可能性。
安全级别表明一个接口相对于另一个接口是可信还是不可信。
如果一个接口的安全级别高于另一个接口的安全级别,则这个接口是可信的,如果一个接口的安全级别低于另一个接口的安全级别,则这个接口是不可信的。
安全级别的基本访问规则是:
具有较高安全级别的接口可以访问较低安全级别的接口。
反之,较低安全级别的接口默认不能访问较高安全级别的接口,除非设置了ACL或conduit(管道)。
安全级别的范围是0--100。
下面分别介绍这些安全级别的规则。
∙ 安全级别100。
这是PIX防火墙内部接口的最高级别,是默认设置,且不能改变。
企业内部网络应该连接在该接口上。
外部的网络不能访问该接口,而该接口可以任意访问其它接口。
∙ 安全级别0。
这是PIX防火墙外部接口的最低级别,是默认设置,且不能改变。
一般用以连接Internet。
∙ 安全级别1--99。
与PIX连接的边界接口的安全级别,可根据每台设备的访问情况来给它们分配相应的安全级别。
∙ 安全级别100访问安全级别0时,所有IP数据流都可以通行,除非设置了ACL、认证或授权的限制。
虽然允许IP数据流通行,但还是要通行nat转换才能到达外网口。
∙ 安全级别0要访问安全级别100时,默认禁止所有IP数据流通行,除非设置了ACL以允许数据流通过。
认证和授权机制可进一步限制数据流的通行。
4.3. 基本配置
使用CLI对PIX进行基本需要使用以下几个命令:
∙ nameif,设置接口名称和指定接口安全级别。
∙语法:
∙fw(config)#nameif?
∙Usage:
nameif
∙nameif
∙nonameif
∙
∙示例:
∙fw(config)#nameifethernet0outsidesecurity0
∙fw(config)#nameifethernet1insidesecurity100
PIX的内网接口名(inside)和外网接口名(outside)都是默认的,不能更改。
clearnameif可清除配置,shownameif可显示nameif配置。
∙ interface,设置接口的硬件参数和启动接口。
默认PIX所有接口都是关闭的。
要用没带shutdown参数的interface命令来启用接口。
∙语法:
∙fw(config)#interface?
∙Usage:
interface
∙[no]interface
∙interface
∙showinterface
∙
∙示例:
∙fw(config)#interfaceethernet0auto
∙fw(config)#interfaceethernet1auto
∙ ipaddress,给接口分配固定IP地址。
∙语法:
∙fw(config)#ipaddress?
∙Usage:
[no]ipaddress
∙[no]ipaddress
∙[no]ipaddress
∙[no]ipaddress
∙
∙示例:
∙fw(config)#ipaddressoutside61.28.60.10255.255.255.248
∙fw(config)#ipaddressinside192.168.0.1255.255.255.0
我们也可用ipaddressoutsidedhcp命令启动dhcpclient功能来自动获取IP地址。
使用showipaddressdhcp命令可以查看dhcp租用的相关信息。
重新输入ipaddressoutsidedhcp命令会释放并重新获取outside接口的dhcp租用,也可用clearip命令刷新所有接口的dhcp租用信息。
clearipaddressoutsidedhcp可清除outside接口的dhcp租用信息。
∙ nat,配置内网接口到外网接口的地址转换功能,把内网的私有IP转换为公有IP地址,隐藏内网IP信息。
∙语法:
∙fw(config)#nat?
∙Usage:
[no]nat[(
∙[dns][outside]
∙[
∙[no]nat[(if_name)]0[access-list
∙
∙示例:
∙fw(config)#nat(inside)10.0.0.00.0.0.0
上面的示例表示对内网所有主机的出站通信进行地址转换。
1表示转换后的公网IP地址池,通过global命令指定。
使用nat0命令可以指定某些内部主机禁用地址转换功能。
fw(config)#nat(inside)0192.168.0.0255.255.255.0
192.168.0.0网段所有主机都禁用nat功能。
∙ global,指定公网IP地址池。
∙语法:
∙fw(config)#global?
∙Usage:
[no]global[(
∙
∙示例:
∙fw(config)#global(outside)1192.168.0.20-192.168.0.100
如果使用了interface参数表示使用PAT方式的NAT。
PAT的具体介绍请参考下面的内容。
∙ route,为接口设置路由信息。
∙语法:
∙fw(config)#route?
∙Usage:
[no]route
∙
∙示例:
∙fw(config)#routeoutside0.0.0.00.0.0.061.28.60.101
上例设置了外网口的默认路由。
所有出站信息都会路由到61.28.60.10。
∙ logging,记录目录信息。
∙fw(config)#logging?
∙Usage:
[no]loggingon
∙[no]loggingtimestamp
∙[no]loggingstandby
∙[no]logginghost[
∙[no]loggingconsole
∙[no]loggingbuffered
∙[no]loggingmonitor
∙[no]logginghistory
∙[no]loggingtrap
∙[no]loggingmessage
∙[no]loggingfacility
∙[no]loggingdevice-idhostname|ipaddress
∙|string
∙loggingqueue
∙showlogging[{message[
4.4. PPPoE拔号配置
从软件版本6.2开始,可以把PIX防火墙配置成一个PPPoE客户端。
配置方法如下:
fw(config)#vpdngrouptestrequestdialoutpppoe#设置一个名为test的pppoe拔号连接
fw(config)#vpdngrouptestpppauthenticationPAP#为test拔号连接指定一种用户验证协议
fw(config)#vpdngrouptestlocalnamegzDSL1234#把拔号帐号gzDSL1234和拔号连接test关联起来
fw(config)#vpdnusernamegzDSL1234passowrdxxx#设置ISP提供的ADSL线路的用户名和密码
fw(config)#ipaddressoutsidepppoesetroute#把pppoe连接接口设置为默认路由
用ipaddresspppoe命令启动PPPoE会话。
如果PIX不存在默认路由,则可用ipaddresspppoe命令的setroute选项把pppoe接入服务器的IP地址设置为默认路由。
如果PIX存在默认路由,则不能使用setroute命令。
否则会不能建立pppoe会话。
这是因为pppoe提供的默认网关不能够覆盖已存在的默认网关。
如果想使用pppoe服务器提供的默认网关,则要清除已存在默认网关。
ipaddresspppoe语法:
[no]ipaddress
用showvpdn命令可以查看PPPoE隧道和会话信息。
4.5. NAT
NAT即网络地址转换,把数据包中的私有IP地址转换成公有IP地址用于访问公网或连接另一网络。
在PIX中内网都是要通过NAT转换才能访问外网的。
PIX使用nat命令和global命令来完成NAT的配置。
global命令用来定义转换后的IP地址池,一般是一个或一组公网IP地址。
nat命令使用该地址池进行地址转换。
global命令格式:
Usage:
[no]global[(
示例
global(outsite)1192.168.0.2-192.168.0.10netmask255.255.255.0
定义了地址池1,也就是说nat_id的值为1,地址池的IP范围是192.168.0.2到192.168.0.10
如果地址池使用interface接口参数,则定义了一个PAT(端口地址转换),PAT也是NAT的一种。
PAT把多个内网IP转换成一个固定的外网IP,转换后,通过分配不同的端口号来区分每个数据包。
在中国,由于IP资源的紧缺,每个企业所获得的公网IP地址都不多。
不可能定义一个大的IP地址池来进行IP地址转换。
多数企业都是利用一个外网IP地址,通过配置PAT来使所有内网用户都能连接互联网。
nat命令格式:
fw(config)#nat?
Usage:
[no]nat[(
[dns][outside]
[
[no]nat[(if_name)]0[access-list
∙ 动态内部NAT,把内网私有IP地址动态地转换成一组外部公网IP地址。
∙fw(config)#nat(inside)10.0.0.00.0.0.000
∙fw(config)#global(outside)1192.168.0.2-192.168.0.10netmask255.255.255.0
0.0.0.0可以写成0。
global定义了外网IP地址池1,nat使用标识1将内部网络和外网IP地址池联系起来,实现地址转换。
当内网IP要访问外网时,通过NAT机制从global定义的外网地址池中申请1个外网IP,通过该外网IP与Internet上的主机进行通信。
∙ 静态内部NAT,把一个内网私有IP地址静态地转换成一个公网IP地址。
设置静态NAT要使用static命令。
∙fw(config)#static?
∙Usage:
[no]static[(internal_if_name,external_if_name)]
∙{
∙[
∙[no]static[(internal_if_name,external_if_name)]{tcp|udp}
∙{
∙
∙[
下面示例把内网的IP地址192.168.0.2转换成外网的IP地址61.28.20.11。
fw(config)#stat
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Chapter PIX防火墙 PIX 防火墙