三、对象分组概述
使用这个功能,主要是可以对诸如主机(服务器和客户方)服务,网络等对象进行分组并对各组应用不同的安全策略和规则。
[no] object-group object-type id
在这里 object-group 用来表示索要配置的对象分组类型 , 有如下 4 个选项 :
network
protocol
service
icmp-type
对所分组用一个描述性的名字来替代 grp-id.
[no] object-group object-type id
在这里 object-group 用来表示索要配置的对象分组类型 , 有如下 4 个选项 :
network
protocol
service
icmp-type
对所分组用一个描述性的名字来替代 grp-id.
4.1 network
对象类型
pix(config)#object-group network web_servers
pix(config-network)#description Public web servers
pix(config-network)#network-object host 192.168.1.12
pix(config-network)#network-object host 192.168.1.14
pix(config-network)#exit
pix(config)#access-list 102 permit tcp any object-group web_servers eq www
pix(config)#access-group 102 in interface outside
pix(config)#show object-group
pix(config)#object-group network web_servers
pix(config-network)#description Public web servers
pix(config-network)#network-object host 192.168.1.12
pix(config-network)#network-object host 192.168.1.14
pix(config-network)#exit
pix(config)#access-list 102 permit tcp any object-group web_servers eq www
pix(config)#access-group 102 in interface outside
pix(config)#show object-group
4.2 Protocol
对象类型
要在现存的协议对象分组中加入一项单独的协议,使用 protocol-object protocol 命令
pix(config)#object-group protocol grp_citrix
pix(config-network)#protocol-object tcp
pix(config-network)#protocol-object citrix
pix(config-network)#exit
要在现存的协议对象分组中加入一项单独的协议,使用 protocol-object protocol 命令
pix(config)#object-group protocol grp_citrix
pix(config-network)#protocol-object tcp
pix(config-network)#protocol-object citrix
pix(config-network)#exit
4.3 service
对象类型
service 对象类型定义可以分组的端口号,其在管理应用程序时尤为有用。
[no] object-group service obj_grp_id tcp/UDP/tcp-udp
port-object eq service 命令就会将一个单独的 TCP/UDP 端口号加入到服务对象分组中去 .port-object rang begin_service end_service 则会将一系列
service 对象类型定义可以分组的端口号,其在管理应用程序时尤为有用。
[no] object-group service obj_grp_id tcp/UDP/tcp-udp
port-object eq service 命令就会将一个单独的 TCP/UDP 端口号加入到服务对象分组中去 .port-object rang begin_service end_service 则会将一系列
TCP/UDP
端口号加入到服务对象分组中去
.
pix(config)#object-group service mis_service tcp
pix(config-network)#port-object eq ftp
pix(config-network)#port-object rang 5200 6000
pix(config-network)#exit
pix(config)#object-group service mis_service tcp
pix(config-network)#port-object eq ftp
pix(config-network)#port-object rang 5200 6000
pix(config-network)#exit
4.4关于icmp-type对象类型和嵌套对象分组,省略,基本上用处不大.
四、PIX防火墙举例
PIX506(config)#static(dmz,outside)133.1.0.210.65.1.102;静态
NAT
PIX506(config)#static(inside,dmz)10.66.1.20010.66.1.200;静态 NAT
PIX506(config)#access-list101permitipanyhost133.1.0.1eqwww;设置 ACL
PIX506(config)#access-list101permitipanyhost133.1.0.2eqftp;设置 ACL
PIX506(config)#access-list101denyipanyany;设置 ACL
PIX506(config)#access-group101ininterfaceoutside;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX 的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
PIX506(config)#static(inside,dmz)10.66.1.20010.66.1.200;静态 NAT
PIX506(config)#access-list101permitipanyhost133.1.0.1eqwww;设置 ACL
PIX506(config)#access-list101permitipanyhost133.1.0.2eqftp;设置 ACL
PIX506(config)#access-list101denyipanyany;设置 ACL
PIX506(config)#access-group101ininterfaceoutside;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX 的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为 cisco
Hostname PIX506 ------ 主机名称为 PIX506
Domain-name 123.com ------ 本地的一个域名服务器123.com,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号
names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址 192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix***检测的2个命令。当有数据包具有***或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
pdm history enable ------ PIX设备管理器可以图形化的监视 PIX
arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关 61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱
floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80
Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX506#
PIX506#write memory ------ 将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。ping outside | inside ip_address确定连通性。
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为 cisco
Hostname PIX506 ------ 主机名称为 PIX506
Domain-name 123.com ------ 本地的一个域名服务器123.com,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号
names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址 192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix***检测的2个命令。当有数据包具有***或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
pdm history enable ------ PIX设备管理器可以图形化的监视 PIX
arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关 61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱
floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80
Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX506#
PIX506#write memory ------ 将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。ping outside | inside ip_address确定连通性。
转载于:https://blog.51cto.com/xuhaili100love/393100
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
