PIX防火墙配置命令---笔记1

最新推荐文章于 2021-12-28 14:59:38 发布
最新推荐文章于 2021-12-28 14:59:38 发布
阅读量1.5k 收藏 4
点赞数 2
分类专栏: cisco交换机、路由器和防火墙 文章标签: pix
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41289254/article/details/105454326
版权

1、静态路由

Firewall(config)# route if_ name foreign_ network foreign_mask gateway [metric]

可配置一个静态路由允许防火墙把管理流量发送到不在本地IP子网上的地址。在透明防火墙模式下不支持动态路由选择协议。
远程网络可在名为if_name (如outside) 的防火墙接口上查找到,其网络地址为foreign_ network,子网掩码为foreign_mask.下一 跳路由器地址被设为gateway。也可指定距
离metric,也就是到达网关的路由器跳数。如果忽略metric,默认为1跳。

可以重复此命令定义其他静态路由。

不必为直连防火墙接口的子网配置静态路由。但要定义一个静态路由作为连接外部公共
网络的默认路由。为达到这一- 目的,使用0作为foreign_network 和foreign_mask的值。如果在防火墙内部有其他活动的IP子网,也需要为每个IP子网各自定义一个静态路由。

如例所示,防火墙位于网络10.1.0.0 255.255.0.0。其在外部接口,上的下一跳路由器为
10.1.1.1。 防火墙内部有个路由器位于10.1.1.2, 在那里可查找到子网192.168.1.0/24 和
192.168. 100.0/24。可使用以下命令在透明防火墙上配置这个路由选择信息。

Firewall(config)# route outside 0 0 10.1.1.1 1
Firewall(config)# route inside 192.168.1.0 255.255.255.0 10.1.1.2 1
Firewall(config)# route inside 192.168.100.0 255.255.255.0 10.1.1.2 1

2、static NAT

static (real_ifc,mapped_ifc) {mapped_ip | interface} {real_ip [netmask mask]} [dns] [norandomseq] [max_conns [emb_limit]]

主要是DMZ区的主机映射到outside

例:

1)inside 192.168.1.1 outside 10.0.1.1

static (inside,outside) 10.0.1.1 192.168.1.1 netmask 255.255.255.255 0 0

后面的netmask和0 0都可以省略

2)下面的写法则可以将外部接口地址转换到内部主机地址192.168.1.1,无论外部接口使用的是何种ip地址,都会转换

static (insdie,outside) interface 192.168.1.1 netmask 255.255.255.255

3)允许连接到外部169.65.41.100的入站SMTP和HTTP可发送到两台内部主机,SMTP转移到内部主机192.168.1.100,HTTP转移到192.168.1.200,还要配置一下访问列表,将之应用到outside

static (inside,outside) tcp 169.65.41.100 smtp 192.168.1.100 smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp 169.65.41.100 www 192.168.1.200 www netmask 255.255.255.255 0 0
access-list acl_outside permit tcp any host 169.65.41.100 eq smtp
access-list acl_outside permit tcp any host 169.65.41.100 eq www
access-group acl_outside in interface outside

3、access-list

access-list acl_id [line line_num] [extended] {permit | deny} protocol source_addr source_mask [operator sport] destination_addr destination_mask [operator dport] ...
最低0.47元/天 解锁文章
zwish
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
6-思科防火墙:ASA中Object-group在ACL中的应用
weixin_34270606的博客
07-07 4281
一、实验拓扑:二、实验要求:先定义几个小的,然后用大的包在一起;打包在一起,这就是所谓的嵌套,嵌套在编程里是很长用的东西,叫做Object-group;Object-group比较强大,可以调用普通的object;还可以在组里调用单独的网段、主机。1、放行Outside(202.100.1.0/24)网络去往内部Inside服务器群:FTP/ESP/DNS/ICMP的流量;2、比如Outside有...
gns3 查看网关_gns3常用命令
weixin_39897887的博客
12-19 3014
摘要:gns3常用命令配置端口int f0/0 //初始化f0/0端口ip address 10.1.1.2 255.255.255.0 //为f0/0分配10.1.1.2地址no sh //打开端口配置access-list规则并应用于outside端口上static (inside,outside) 20.1.1.1 10.1.1.101//访问20.1.1.1端口,防火墙将数据包转发给10....
PIX防火墙配置:六大基本命令和高级配置
weixin_33768481的博客
07-28 707
这篇文章为大家呈现的是PIX配置命令,读者跟着我理解了本文介绍的全部命令再结合一些基础的网络知识就可以自行配置PIX设备了。   配置PIX防火墙有六个基本命令:nameif,interface,ip address,nat,global,route。我们先掌握这六个基本命令,然后再学习更高级的配置语句。   配置防火墙接口的名字,并指定安全级别(nameif):   Pi...
Cisco PIX FireWall 基本配置
weixin_33910434的博客
12-16 286
 Cisco PIX防火墙,总结防火墙基本配置几个简单方面的内容。 我最近刚做了个 Cisco Firewall Pix 525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco 路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩...
Cisco PIX防火墙配置指南
weixin_33701564的博客
11-16 958
总结了防火墙基本配置十个方面的内容。 硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种pc式的电脑主机加上闪存(flash)和防火墙操作系统。它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那中eeprom,操作系统跟cisco ios相似,都是命令行(command...
object-group(ASA高级ACL特性)
weixin_33743880的博客
05-10 808
object-group四种类型: 1.Protocol 2.Network 3.Service 4.ICMP-type 1.Protocol object-group protocol tcp_udp_icmp protocol-object tcp protocol-object udp protocol-object icmp 2.N...
PIX防火墙配置命令手册
04-22
帮助你了解PIX防火墙配置命令,方便你配置PIX防火墙设备。了解与其他路由设备的配置区别。
ciscopix防火墙配置命令.pdf
11-03
ciscopix防火墙配置命令.pdf
CiscoPIX防火墙配置命令大全.pdf
11-04
CiscoPIX防火墙配置命令大全.pdf
CiscoPIX防火墙配置命令大全归类.pdf
03-15
CiscoPIX防火墙配置命令大全归类.pdf
Object-group优化ACL
par@ish的博客
12-28 3200
Object-group极大帮助减少ACL条目,降低交换机CPU loading。
Cisco NAT功能执行顺序
ejzhang的专栏
12-11 2266
NAT执行顺序1、首先是nat 0加访问控制列表(BYPASS)2、然后是static加访问控制列表3、然后是点对点的static转换4、然后是nat 1(>=1)加访问控制列表5、然后是nat 0或者(>=1)加网段地址6、global pool7、最后是PAT注意:如果处于同一级别就需要比较访问控制列表的明细程度和网段地址的明细程度,如果前面都一样则写在前面的优先。NAT的排列顺序1、na
Cisco ASA Security Context【虚拟防火墙
网络之路Blog(其他平台同名)
03-06 1463
简介 security Context技术就是把一个防火墙虚拟出多个防火墙,每个虚拟的防火墙有独立的配置、接口、而且互不影响,这对于ISP IDC机房或者一些大学、企业部分做不同的策略控制比较有用。 system config:其实就是物理防火墙本身,在这个模式下的防火墙只能划分不同的Context,对于这些Context做相对应的配置,它并不做实际的流量转发 admin config :它是当转换成multiple后自动会有的一个Context,它用于在system和其他虚拟Context之间进行切换管
PIX配置手册三(nat)
weixin_34396103的博客
06-14 251
一、nat + glob1、内部地址转换外部地址池配置说明:nat (inside) 1 2.2.2.0 255.255.255.0 配置inside表glob (outside)1 1.1.1.10-1.1.1.20 配置outside表sh nat 查看nat inside配置sh glob 查看nat global配置sh user 查看设备登陆用户sh x...
ASA配置命令
热门推荐
chentaocba的专栏
07-04 2万+
要想配置思科的防火墙得先了解这些命令:   常用命令有:nameif、interface、ip address、nat、global、route、static等。   global   指定公网地址范围:定义地址池。   Global命令配置语法:   global (if_name) nat_id ip_address-ip_address [netmark global_mask]
Cisco ASA 5510 端口映射
Leo's Blog
05-17 918
WAN: 221.221.147.195 Gateway: 221.221.147.200 LAN: 192.168.0.1内网中有一台服务器,地址: 192.168.0.10 端口: 8089故障描述: 内网可正常连接至服务器,外网无法连接. 端口映射出现问题.解决方法: 命令行错误, 已更正并解决.问题重点: 采用 "static (insid...
思科nat配置实例_Cisco ASA 5520(8.2.4)配置企业内网案例
weixin_39960019的博客
12-17 1539
思科防火墙ASA5520 外观网络拓扑图如下内网 网段 192.168.2.0/24公网IP地址 118.25.235.100公网IP地址网关:118.25.235.1.1防火墙内网IP:192.168.2.1/24配置步骤:1、基本配置配置内外网接口 conf t hostname ASAFW #设置主机名 enable secret pass123 #设置特权密码 clock timezon...
Network Object NAT配置介绍
weixin_34310127的博客
05-14 1618
1.Dynamic NAT(动态NAT,动态一对一) 实例一: 传统配置方法: nat (Inside) 1 10.1.1.0 255.255.255.0 global (Outside) 1 202.100.1.100-202.100.1.200 新配置方法(Network Object NAT) object network Outside-Nat-Pool rang...
cisco PIX 防火墙学习资料
weixin_34387468的博客
01-19 229
任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。 在众多的企业级主流防火墙中,Cisco PIX防火墙是所有同类产品性能最好的一种。...
全面指南:思科ASA与PIX防火墙配置详解
思科ASA和PIX防火墙配置手册是一份详尽的指南,旨在帮助用户理解和配置这两种著名的网络设备。该手册由ByMast于2007年11月9日发布,涵盖了多个关键章节,包括但不限于: 1. **配置基础**:介绍了用户接口的设置,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值