1.interface command
在配置用户接口的时候我们经常听到关于接口的专有名词
hardware_id 指ethernet 0,e1,e2
interface_name 指outside,inside,dmz
hardware_speed,通产设置为自动,但是cisco 推荐我们手动配置速度.关于速度
和你选择的网络传输介质有关.
no shutdown 在router 上用户激活这个端口,在pix 中,没有no shutdown 命
令,只有使用到shutdown 这个参数,主要用于管理关闭接口.
interface hardware_id hardware_speed [shutdown]
interface e0 auto
interface e1 auto
interface e2 auto
2.nameif command
nameif 主要用于命令一个接口,并且给它分配一个从1 到99 的安全值,因为外
部接口和内部接口都是默认的,分别是0 和100,同时默认情况下e0 是外部接口,
e1 是指内部接口.
nameif hardware_id if_name security_level
nameif e0 outside 0
nameif e1 inside 100
nameif e2 dmz 50
使用show nameif 来查看配置情况
关于security_level 值得区别,请都看看我前面写的.从高安全段的流量到低安
全段的流量怎么走,放过又怎么走,需要什么条件才能流进流出.
3.ip address command
cisco pix 接口的ip 地址可以从两个地方来获得,分别是 manual 和dhcp
ip address 用于手动配置一个接口上的ip address,通过将一个逻辑地址添加到
一个硬件ID 上.
ip address if_name ip_address [netmask]
ip address inside 192.168.6.0 255.255.255.0
Remove the currently configured ip address pix(config)#clear ip
address (全部清除ip address)
pix(config)#no ip address inside 192.168.6.0 255.255.255.0(清除这个接
口的ip address)
4.Nat command
用于一组ip 地址转换成另外一组ip 地址,昨天我看到6.2 版本支持nat
outside ip address,不知道这个究竟在什么环境才用到,呵呵
在用nat 命令的时候,有个特别的注意点:nat 0 有特殊含义,其次nat 总是和
global 一起使用.
nat (if_name) nat_id local_ip [netmas]
nat (inside) 1 192.168.6.0 255.255.255.0
5.Global command
global 命令用于定义用nat 命令转换成的地址或者地址范围,注意global 命令
中的nat_id 需要和你配置的nat 命令中的nat_id 相同.
global (if_name) nat_id global_ipglobal_ip-global_ip [netmask]
global (outside) 1 10.0.0.1 255.0.0.0 (PAT 转换,当你用这个命令,CLI
会给你一个警告信息指出pix 要PAT 的所有地址)
global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0
这里有这样一个命令可以在pix 检测转换表中查看你是否有这个特定ip 的入
口.show xlate,一般一个被转换的ip address 保存在转换表中的默认时间是3
个小时.你可以通过timeout xlate hh:ss 来更改这个设置.
这里你也同样需要了解PAT 是怎么工作的,同样你要知道PAT 也有局限,不能支
持H.323 和高速缓存使用的名称服务器,老实说我也不知道这两个是什么东东:(
6.route command,very important!!!
route 告诉我们要在那个特定的接口转发,并指定那个特定的网络地址.使用
route 命令向pix 增加一个静态路由.
route if_name ip_address netmask gateway_ip [metric]
说明一下if_name 指你数据要离开处的那个端口
ip_address 被路由的ip address
netmask 被路由的ip address 的网络掩码
gateway_ip 下一跳的ip address
metric 到下一个设备的跳数
在pix 上用的最多的是配置一个默认路由
route outside 0 0 192.168.1.3 1 其中0 0 表示网段内所有的ip address 从
outside ip address 是192.168.1.3 出去
如果你想要测试新的路由配置,在这之前用clear arp 清除pix firewall 的arp
高速缓存is a good idea.
7.RIP command
不讲,不想了解,也不知道,没有见过那个人在配置PIX 用过RIP 协议的
需要了解的人查书吧,如果你有这方面的经验,可以写出来大家share 一下:)
8.测试你的配置,
一般有几种,首先查看一下你的配置命令是否正确,show xxxxx
来查看。show interface,show nameif,show ip address,show route,show
nat,show global 等等.其次使用ping 命令,前提是你需要使用icmp permit any
any outside,因为默认情况下pix 是拒绝所有来自于外部接口的输入流量的,
除非你使用conduit permit icmp any any ,但是这个命令使你不能ping 通外
部接口的ip address.最后是用debug 命令,debug icmp trace,建议大家可以看
看,但是看了之后最好关掉,以便影响pix 的performance.
9.配置每一个pix 命令
是在pix 立刻反应出来的,所以你可以尝试配置,但是不
要配置,等你有把握时在保存wr m,但你配置错误,你可以reload 一下就可以
了.
10.pix 对dhcp 支持
10.1 首先是可以将pix 配置为dhcp server.PIX dhcp 服务器只能在pix 的
内部接口上激活,同时你需要查找资料,因为个别的如506/506e,由于OS 版本
不同,对client ip address 支持数目也不同.
dhcpd enable inside
dhcpd address 192.168.10.0-192.168.10.200 255.255.255.0
dhcpd lease 2700 (授权用户的租借长度,默认时间是3600s)
dhcpd dns 61.177.7.1
dhcpd wins 61.177.7.1
dhcpd domain testing.cn
10.2 可以将pix 的外部接口配置为从ISP 处接收地址
ip address outside dhcp [setroute] [retry retry_cnt]
setroute 告诉pix 防火墙使用默认网关参数设置的DHCP 服务器返回
的默认路由,当使用setroute 选项时不再配置默认路由
同样可以使用ip address dhcp 来释放和重建一个外部接口的ip address
通过show ip address dhcp 来查看当前的租借信息.
11.时间设置和NTP 支持
手动配置和通过NTP 服务器获得系统时间.
手动配置clock set hh:mm:ss month day year,关于通过NTP 来配置,大家查
查资料吧,也没有见过别人来做过,安全要求太高了.
1.ASA 安全等级
默认情况下,Cisco PIX 防火墙将安全等级应用到每一个接口。越安全的网络段,
安全级别越高。安全等级的范围从0~100,默认情况下,安全等级0 适应于e0,
并且它的默认名字是外部(outside),安全等级100 适应于e1.并且它的
默认名字是inside.
使用name if 可以配置附加的任何接口,安全等级在1~99 之间
e.g:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
1.1 自适应安全算法(ASA)允许流量从高安全等级段流向低安全等级段,不需
要在安全策略中使用特定规则来允许这些连接,而只要用一个nat
/global 命令配置这些接口就行了。
1.2 同时如果你想要低安全等级段流向一个高安全等级段的流量必须经过安
全策略(如acl 或者conduit).
1.3 如果你把两个接口的安全等级设置为一样,那流量不能流经这些接口
请记得ASA 是cisco pix 防火墙上状态连接控制的关键。
2.传输协议
2.1 首先请理解一下OSI 的7 层模型,说实话,如果你要做IT,那么这个OSI
的7 层模型一定要搞懂,也就像windows 的DNS 一样,一定要花工夫在
上面。其中1~7 是从物理层向上数的,物理层为第一层,应用层为第七层。
应用层 数据
表示层 数据
会话层 数据
传输层 Segment
网络层 Packet
数据链路层 Frame
物理层 Bit
2.2 了解一下TCP/IP
通俗的讲TCP/IP 包含两个传输协议TCP,UDP,当然还包括其他,TCP/IP
是一个协议族,是对OSI 理论的一个实现,是真正应用到网络中的一个
工业协议族。
TCP-它是一个基于连接的传输协议,负责节点间通信的可靠性和效率,通过创建
virtual circuits 的连接来源端和目的端担当双向通信来完
成这些任务,由于开销很大,所以传输速度变慢。
UDP-它是一个非连接的传输协议,用于向目的端发送数据
理解没有PIX 的节点间的TCP 通信(三次握手)
理解有一个PIX 的节点间TCP 通信
2.3 注意默认的安全策略允许UDP 分组从一个高安全等级段送到一个低安全等
级段。
cisco pix 防火墙用下列的方法来处理UDP 流量:
2.3.1 源及其开始UDP 连接,Cisco pix 防火墙接收这个连接,并将它路由到目
的端。Pix 应用默认规则和任何需要的转换,在状态表中创
建一个会话对象,并允许连接通过外部接口
2.3.2 任何返回流量要与绘画对象匹配,并且应用会话超时,默认的会话超时
是2 分钟.如果响应不匹配会话对象,或者超时,分组就会被
丢弃,如果一切匹配,就会允许响应信号传送到发送请求的源端
2.3.3 任何从一个低安全等级段到一个高安全等级段的入站的UDP 会话都必须
经安全策略允许,或者中断连接.
3.网络地址转换
理解RFC1918 的三类地址空间:
10.0.0.0~10.255.255.255
172.16.0.0~172.16.255.255
192.168.0.0~192.168.255.255
地址转换是cisco pix 防火墙为内部节点提供的使用专用IP 地址访问internet
的一种方法.被转换的地址称为内部地址,转换后的地址称为全局地址.
这里有一句话要记住:将一个接口的任何地址转换成其他任何地址接口的另外一
个地址是可能的,这句话意思是如果你的网段内部地址可以转换
成outside 的地址,也可以转换成DMZ 的地址,只要正确的使用了nat 和global
命令.
如:
global (outside) 1 interface
global (dmz) 1 xxx.xxx.xxx.xxx
nat (inside) 1 192.168.6.0 255.255.255.0 0 0
动态地址转换涉及到NAT 和PAT,静态地址也就是我们通常所说的给DMZ 接口的
地址作一个静态隐射,通常用于如web site 和mail server 等相对关键
的业务.以便Internet 上的用户可以通过他们的全局地址连接这些服务器.
NAT 命令
pix(config)#nat inside 1 192.168.6.0 255.255.255.0
pix(config)#global (outside) 1 10.0.0.1~10.0.0.255 netmask 255.0.0.0
注意命令中的1 在nat 和global 命令必须相同,它允许指派特定的地址进行转换.
在这里1 不能换0,你可以换其他的数,因为nat 0 在pix 有特定的含义,nat 0
表示在pix 上用于检测不能被转换的地址,我们通常在做acl 转换也应用到这
个命令.
PAT 命令:
PAT 允许将本地地址转换成一个单一的全局地址,执行NAT 和PAT 命令有所相似,
不同的是PAT 是定义一个单一的全局地址而不是像NAT 一样定义一
定范围的地址.
pix(config)#nat (inside) 1 0.0.0.0 0.0.0.0 表示转换网段中的所以地
址
pix(config)#global (inside) 10.0.0.1 255.0.0.0
静态地址:
通常将static 和conduit 命令一起使用,或者可以使用acl 来代替conduit
static 命令只配置地址转换,为了允许来自一个从低安全等级接口对本地节点
的访问,我们前面讲过,需要配置ACL 或者建立一个通道.
pix(config)#static (inside,outside) 10.0.0.1 192.168.0.9
pix(config)#conduit permit tcp host 192.168.0.9 eq www any
(这里host 表示的是指一个特定的主机host 192.168.0.9 表示 192.168.0.9
255.255.255.255 为什么要是255.255.255.255,别搞成为subnet mask,它是
wildcard,也就是通配符,any 表示任何源地址和目的地址,0.0.0.0
255.255.255.255.eq is mean the match only packets on a given port number.)
这里我们可以把conduit 转换成ACL
pix(config)#access-list 101 permit tcp any host 192.168.0.9 eq www
pix(config)#access-group 101 in interface outside
使用static 命令实现端口重定向
pix(config)#static (inside,outside) tcp 192.168.0.9 ftp 10.10.10.9 2100
netmask 255.255.255.255. 0.0
其中ftp 可以用21 来表示,在这里的服务与前面的协议对应,是tcp 还是
udp,ftp 当然对应tcp.
这个命令的意思我通过在低安全等级访问192.168.0.9 的21 端口,它自动转到
10.10.10.9 2100 这个端口上.
在6.2 版本以上支持双向网络地址转换,我不知道这个是什么意思?
他说可以对外部源IP 地址的NAT,以便将外部接口的分组发送到一个内部接口上
两个重要的命令:
show xlate 查看转换表
show conn 查看连接状况
有很多命令选项,大家可以在cli 下show xlate ?查看一下,对你处理故障非常
有用.
5.配置DNS 支持
在默认情况下,PIX 鉴别每个输出的DNS 请求,并且只允许一个对这些请求的响应.
随后所有对原始查询的响应会被丢弃.
所以有时候我们在pix 使用show conn 看到有很多去DNS 的响应都被丢掉,这个
是合理的现象.
总结了防火墙基本配置十个方面的内容。
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种
pc 式的电脑主机加上闪存(flash)和防火墙操作系统。它的硬件跟共控机差不多,都是属
于能适合24 小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那中eeprom,
操作系统跟cisco ios 相似,都是命令行(command)式。
防火墙是cisco firewall pix 515e,是一种机架式标准(即能安装在标准的机柜里),有1u 的
高度,正面看跟cisco 路由器一样,只有一些指示灯,从背板看,有三个以太口(rj-45 网卡),
一个配置口(console),2 个usb,一个15 针的failover 口,还有pci 扩展口。
如何开始 cisco firewall pix 呢?应该是跟cisco 路由器使用差不多吧,于是用配置线从电脑
的com2 连到pix 515e 的console 口,进入pix 操作系统采用windows 系统里的“超级终端”,
通讯参数设置为默然。初始使用有一个初始化过程,主要设置:date(日期)、time(时间)、
hostname(主机名称)、inside ip address(内部网卡ip 地址)、domain(主域)等,如果以上设置正
确,就能保存以上设置,也就建立了一个初始化设置了。
进入 pix 515e 采用超级用户(enable),默然密码为空,修改密码用passwd 命令。一般情况下
firewall 配置
下面讲一下一般用到的最基本配置
1、建立用户和修改密码
跟 cisco ios 路由器基本一样。
2、激活以太端口
必须用 enable 进入,然后进入configure 模式
pix515e>enable
password:
pix515e#config t
pix515e(config)#interface ethernet0 auto
pix515e(config)#interface ethernet1 auto
在默然情况下ethernet0 是属外部网卡outside, ethernet1 是属内部网卡inside, inside 在初始化
配置成功的情况下已经被激活生效了,但是outside 必须命令配置激活。
3、命名端口与安全级别
采用命令 nameif
pix515e(config)#nameif ethernet0 outside security0
pix515e(config)#nameif ethernet0 outside security100
security0 是外部端口outside 的安全级别(0 安全级别最高)
security100 是内部端口inside 的安全级别,如果中间还有以太口,则security10,security20 等
等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为dmz(demilitarized zones
非武装区域)。
4、配置以太端口ip 地址
采用命令为:ip address
如:内部网络为:192.168.1.0 255.255.255.0
外部网络为:222.20.16.0 255.255.255.0
pix515e(config)#ip address inside 192.168.1.1 255.255.255.0
pix515e(config)#ip address outside 222.20.16.1 255.255.255.0
5、配置远程访问[telnet]
在默然情况下,pix 的以太端口是不允许telnet 的,这一点与路由器有区别。inside 端口可以
做telnet 就能用了,但outside 端口还跟一些安全配置有关。
pix515e(config)#telnet 192.168.1.1 255.255.255.0 inside
pix515e(config)#telnet 222.20.16.1 255.255.255.0 outside
测试telnet
在[开始]->[运行]
telnet 192.168.1.1
pix passwd:
输入密码:cisco
6、访问列表(access-list)
此功能与cisco ios 基本上是相似的,也是firewall 的主要部分,有permit 和deny 两个功能,
网络协议一般有ip|tcp|udp|icmp 等等,如:只允许访问主机:222.20.16.254 的www,端口为:
80
pix515e(config)#access-list 100 permit ip any host 222.20.16.254 eq www
pix515e(config)#access-list 100 deny ip any any
pix515e(config)#access-group 100 in interface outside
7、地址转换(nat)和端口转换(pat)
nat 跟路由器基本是一样的,
首先必须定义 ip pool,提供给内部ip 地址转换的地址段,接着定义内部网段。
pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix515e(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个ip 地址,必须解决的是
公用一个外部ip(222.20.16.201),则必须多配置一条命令,这种称为(pat),这样就能解决更
多用户同时共享一个ip,有点像代理服务器一样的功能。配置如下:
pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix515e(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0
8、 dhcp server
在内部网络,为了维护的集中管理和充分利用有限ip 地址,都会启用动态主机分配ip 地址
服务器(dhcp server),cisco firewall pix 都具有这种功能,下面简单配置dhcp server,地址段
为192.168.1.100—192.168.168.1.200
dns: 主202.96.128.68 备202.96.144.47
主域名称:abc.com.cn
dhcp client 通过pix firewall
pix515e(config)#ip address dhcp
dhcp server 配置
pix515e(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
pix515e(config)#dhcp dns 202.96.128.68 202.96.144.47
pix515e(config)#dhcp domain abc.com.cn
9、静态端口重定向(port redirection with statics)
在pix 版本6.0 以上,增加了端口重定向的功能,允许外部用户通过一个特殊的ip 地址/端
口通过firewall pix 传输到内部指定的内部服务器。这种功能也就是可以发布内部www、ftp、
mail 等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99 telnet 端口,通过pix 重定向到内部主机192.168.1.99
的telnet 端口(23)。
pix515e(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask
255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.99 ftp,通过pix 重定向到内部192.168.1.3 的ftp server。
pix515e(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask
255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.208 www(即80 端口),通过pix 重定向到内部
192.168.123 的主机的www(即80 端口)。
pix515e(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask
255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.201 http(8080 端口),通过pix 重定向到内部192.168.1.4
的主机的www(即80 端口)。
pix515e(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask
255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.5 smtp(25 端口),通过pix 重定向到内部192.168.1.5 的
邮件主机的smtp(即25 端口)
pix515e(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask
255.255.255.255 0 0
10、显示与保存结果
采用命令 show config
保存采用write memory
转载于:https://blog.51cto.com/1841cisco/1228152