思科PIX防火墙的基础
2007-07-11 16:22:13
2007-07-11 16:22:13
最近有机会使用PIX 501,先看点基础;
PIX防火墙有内部和外部接口的概念。内部接口是内部的,通常是专用的网络。外部接口是外部的,通常是公共的网络。你要设法保护内部网络不受外部网络的影响。
PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。
下面是显示“nameif”命令的输出情况:
pixfirewall# show nameif
nameif ethernet0 outside security0
nameif ethernet1 inside security100
pixfirewall#
请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。
pixfirewall# show nameif
nameif ethernet0 outside security0
nameif ethernet1 inside security100
pixfirewall#
请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。
指南
在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是:
·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。
·内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的 内部IP地址应该是10.1.1.1。
·外部网络是1.1.1.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的 外部IP地址应该是1.1.1.1。
·你要创建一个规则允许所有在10.0.0.0网络上的客户做端口地址解析并且连接到外部网络。他们将全部共享全球IP地址1.1.1.2。
·然而,客户只能访问端口80(网络浏览)。
·用于外部(互联网)网络的默认路由是1.1.1.254
设置
当你第一次启动PIX防火墙的时候,你应该看到一个这样的屏幕显示:
你将根据提示回答“是”或者“否”来决定是否根据这个互动提示来设置PIX防火墙。对这个问题回答“否”,因为你要学习如何真正地设置防火墙,而不仅仅是回答一系列问题。
然后,你将看到这样一个提示符:pixfirewall>
在提示符的后面有一个大于号“>”,你处在PIX用户模式。使用en或者enable命令修改权限模式。在口令提示符下按下“enter”键。下面是一个例子:
pixfirewall> en
Password:
pixfirewall#
你现在拥有管理员模式,可以显示内容,但是,你必须进入通用设置模式来设置这个PIX防火墙。
PIX防火墙的基本设置
我所说的基本设置包括三样事情:
·设置主机名
·设置口令(登录和启动)
·设置接口的IP地址
·启动接口
·设置一个默认的路由
在你做上述任何事情之前,你需要进入通用设置模式。要进入这种模式,你要键入:
pixfirewall# config t
pixfirewall(config)#
001 : 要设置主机名,使用主机名命令,像这样:
pixfirewall(config)# hostname PIX1
PIX1(config)#
注意,提示符转变到你设置的名字。
002 :下一步,把 登录口令设置为“cisco”(思科),像这样:
PIX1(config)# password cisco
PIX1(config)#
这是除了管理员之外获得访问PIX防火墙权限所需要的口令。
003 : 现在,设置 启动模式口令,用于获得管理员模式访问。
PIX1(config)# enable password cisco
PIX1(config)#
004 : 现在,我们需要设置 接口的IP地址和启动这些接口。同路由器不一样,PIX没有接口设置模式的概念。要设置内部接口的IP地址,使用如下命令:
PIX1(config)# ip address inside 10.1.1.1 255.0.0.0
PIX1(config)#
现在,设置外部接口的IP地址:
PIX1(config)# ip address outside 1.1.1.1 255.255.255.0
PIX1(config)#
005 :下一步,启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意,ethernet0接口是外部接口,它在PIX 501防火墙中只是一个10base-T接口。ethernet1接口是内部接口,是一个100Base-T接口。下面是启动这些接口的方法:
PIX1(config)# interface ethernet0 10baset
PIX1(config)# interface ethernet1 100full
PIX1(config)#
注意,你可以使用一个显示接口的命令,就在通用设置提示符命令行使用这个命令。
最后,让我们设置一个默认的路由,这样,发送到PIX防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的IP地址是1.1.1.254)。你可以这样做:
PIX1(config)# route outside 0 0 1.1.1.254
PIX1(config)#
当然,PIX防火墙也支持动态路由协议(如RIP和OSPF协议)。
现在,我们接着介绍一些更高级的设置。
网络地址解析
由于我们有IP地址连接,我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用一种称作“PAT”或者“NAT Overload”的网络地址解析。这样,所有内部设备都可以共享一个公共的IP地址(PIX防火墙的外部IP地址)。要做到这一点,请输入这些命令:
PIX1(config)# nat (inside) 1 10.0.0.0 255.0.0.0
PIX1(config)# global (outside) 1 1.1.1.2
Global 1.1.1.2 will be Port Address Translated
PIX1(config)#
使用这些命令之后,全部内部客户机都可以连接到公共网络的设备和共享IP地址1.1.1.2。然而,客户机到目前为止还没有任何规则允许他们这样做。
防火墙规则
这些在内部网络的客户机有一个网络地址解析。但是,这并不意味着允许他们访问。他们现在需要一个允许他们访问外部网络(互连网)的规则。这个规则还将允许返回的通信。
要制定一个允许这些客户机访问端口80的规则,你可以输入如下命令:
PIX1(config)# access-list outbound permit tcp 10.0.0.0 255.0.0.0 any eq 80
PIX1(config)# access-group outbound in interface inside
PIX1(config)#
注意:与路由器访问列表不同,PIX访问列表使用一种正常的子网掩码,而不是一种通配符的子网掩码。
使用这个访问列表,你就限制了内部主机访问仅在外部网络的Web服务器(路由器)。
显示和存储设置结果
现在你已经完成了PIX防火墙的设置。你可以使用显示命令显示你的设置。
确认你使用写入内存或者“wr m”命令存储你的设置。如果你没有使用这个命令,当关闭PIX防火墙电源的时候,你的设置就会丢失。
在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是:
·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。
·内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的 内部IP地址应该是10.1.1.1。
·外部网络是1.1.1.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的 外部IP地址应该是1.1.1.1。
·你要创建一个规则允许所有在10.0.0.0网络上的客户做端口地址解析并且连接到外部网络。他们将全部共享全球IP地址1.1.1.2。
·然而,客户只能访问端口80(网络浏览)。
·用于外部(互联网)网络的默认路由是1.1.1.254
设置
当你第一次启动PIX防火墙的时候,你应该看到一个这样的屏幕显示:
你将根据提示回答“是”或者“否”来决定是否根据这个互动提示来设置PIX防火墙。对这个问题回答“否”,因为你要学习如何真正地设置防火墙,而不仅仅是回答一系列问题。
然后,你将看到这样一个提示符:pixfirewall>
在提示符的后面有一个大于号“>”,你处在PIX用户模式。使用en或者enable命令修改权限模式。在口令提示符下按下“enter”键。下面是一个例子:
pixfirewall> en
Password:
pixfirewall#
你现在拥有管理员模式,可以显示内容,但是,你必须进入通用设置模式来设置这个PIX防火墙。
PIX防火墙的基本设置
我所说的基本设置包括三样事情:
·设置主机名
·设置口令(登录和启动)
·设置接口的IP地址
·启动接口
·设置一个默认的路由
在你做上述任何事情之前,你需要进入通用设置模式。要进入这种模式,你要键入:
pixfirewall# config t
pixfirewall(config)#
001 : 要设置主机名,使用主机名命令,像这样:
pixfirewall(config)# hostname PIX1
PIX1(config)#
注意,提示符转变到你设置的名字。
002 :下一步,把 登录口令设置为“cisco”(思科),像这样:
PIX1(config)# password cisco
PIX1(config)#
这是除了管理员之外获得访问PIX防火墙权限所需要的口令。
003 : 现在,设置 启动模式口令,用于获得管理员模式访问。
PIX1(config)# enable password cisco
PIX1(config)#
004 : 现在,我们需要设置 接口的IP地址和启动这些接口。同路由器不一样,PIX没有接口设置模式的概念。要设置内部接口的IP地址,使用如下命令:
PIX1(config)# ip address inside 10.1.1.1 255.0.0.0
PIX1(config)#
现在,设置外部接口的IP地址:
PIX1(config)# ip address outside 1.1.1.1 255.255.255.0
PIX1(config)#
005 :下一步,启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意,ethernet0接口是外部接口,它在PIX 501防火墙中只是一个10base-T接口。ethernet1接口是内部接口,是一个100Base-T接口。下面是启动这些接口的方法:
PIX1(config)# interface ethernet0 10baset
PIX1(config)# interface ethernet1 100full
PIX1(config)#
注意,你可以使用一个显示接口的命令,就在通用设置提示符命令行使用这个命令。
最后,让我们设置一个默认的路由,这样,发送到PIX防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的IP地址是1.1.1.254)。你可以这样做:
PIX1(config)# route outside 0 0 1.1.1.254
PIX1(config)#
当然,PIX防火墙也支持动态路由协议(如RIP和OSPF协议)。
现在,我们接着介绍一些更高级的设置。
网络地址解析
由于我们有IP地址连接,我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用一种称作“PAT”或者“NAT Overload”的网络地址解析。这样,所有内部设备都可以共享一个公共的IP地址(PIX防火墙的外部IP地址)。要做到这一点,请输入这些命令:
PIX1(config)# nat (inside) 1 10.0.0.0 255.0.0.0
PIX1(config)# global (outside) 1 1.1.1.2
Global 1.1.1.2 will be Port Address Translated
PIX1(config)#
使用这些命令之后,全部内部客户机都可以连接到公共网络的设备和共享IP地址1.1.1.2。然而,客户机到目前为止还没有任何规则允许他们这样做。
防火墙规则
这些在内部网络的客户机有一个网络地址解析。但是,这并不意味着允许他们访问。他们现在需要一个允许他们访问外部网络(互连网)的规则。这个规则还将允许返回的通信。
要制定一个允许这些客户机访问端口80的规则,你可以输入如下命令:
PIX1(config)# access-list outbound permit tcp 10.0.0.0 255.0.0.0 any eq 80
PIX1(config)# access-group outbound in interface inside
PIX1(config)#
注意:与路由器访问列表不同,PIX访问列表使用一种正常的子网掩码,而不是一种通配符的子网掩码。
使用这个访问列表,你就限制了内部主机访问仅在外部网络的Web服务器(路由器)。
显示和存储设置结果
现在你已经完成了PIX防火墙的设置。你可以使用显示命令显示你的设置。
确认你使用写入内存或者“wr m”命令存储你的设置。如果你没有使用这个命令,当关闭PIX防火墙电源的时候,你的设置就会丢失。
外1.ASA安全等级
默认情况下,Cisco PIX防火墙将安全等级应用到每一个接口。越安全的网络段,
安全级别越高。安全等级的范围从0~100,默认情况下,安全等级0适应于e0,并且它的默认名字是外部(outside),安全等级100适应于e1.并且它的默认名字是inside.
使用name if 可以配置附加的任何接口,安全等级在1~99之间e.g:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
自适应安全算法(ASA)允许流量从高安全等级段流向低安全等级段,不需要在安全策略中使用特定规则来允许这些连接,而只要用一个nat/global命令配置这些接口就行了。
同时如果你想要低安全等级段流向一个高安全等级段的流量必须经过安全策略(如acl或者conduit).
如果你把两个接口的安全等级设置为一样,那流量不能流经这些接口
请记得ASA是cisco pix防火墙上状态连接控制的关键。
默认情况下,Cisco PIX防火墙将安全等级应用到每一个接口。越安全的网络段,
安全级别越高。安全等级的范围从0~100,默认情况下,安全等级0适应于e0,并且它的默认名字是外部(outside),安全等级100适应于e1.并且它的默认名字是inside.
使用name if 可以配置附加的任何接口,安全等级在1~99之间e.g:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
自适应安全算法(ASA)允许流量从高安全等级段流向低安全等级段,不需要在安全策略中使用特定规则来允许这些连接,而只要用一个nat/global命令配置这些接口就行了。
同时如果你想要低安全等级段流向一个高安全等级段的流量必须经过安全策略(如acl或者conduit).
如果你把两个接口的安全等级设置为一样,那流量不能流经这些接口
请记得ASA是cisco pix防火墙上状态连接控制的关键。
转载于:https://blog.51cto.com/acern/69545