1.开始进入:
pix515> enable
Password:
pix515#
改名字:
pixfirewall# conf t
pixfirewall(config)# hostname pix515
pix515(config)# domain-name test.com
pix515(config)#
pix515> enable
Password:
pix515#
改名字:
pixfirewall# conf t
pixfirewall(config)# hostname pix515
pix515(config)# domain-name test.com
pix515(config)#
2.设置telnet登录的口令
pix515(config)# password 123456
pix515(config)# password 123456
设置特权口令:
pix515(config)# enable password 123456
pix515(config)# enable password 123456
3.激活接口
pix515# conf t
pix515(config)# interface inside ?
Usage: interface <hardware_id> [<hw_speed> [shutdown]]
[no] interface <hardware_id> <vlan_id> [logical|physical] [shutdown]
interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id>
show interface
pix515(config)# interface ethernet0 auto
pix515(config)# interface ethernet1 auto
pix515# conf t
pix515(config)# interface inside ?
Usage: interface <hardware_id> [<hw_speed> [shutdown]]
[no] interface <hardware_id> <vlan_id> [logical|physical] [shutdown]
interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id>
show interface
pix515(config)# interface ethernet0 auto
pix515(config)# interface ethernet1 auto
4. 命名端口与安全级别
采用命令nameif
pix515(config)#nameif ethernet0 outside security0
pix515(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全级别(0安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为dmz(demilitarized zones非武装区域)。
5.设置内部及外部地址:
pix515(config)# ip address inside 192.168.2.1 255.255.255.0
pix515(config)# ip address outside 10.6.6.1 255.0.0.0
6. 配置远程访问[telnet]
在默然情况下,pix的以太端口是不允许telnet的,这一点与路由器有区别。inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
pix515(config)# telnet 192.168.2.1 255.255.255.0 inside
pix515(config)# telnet 10.6.6.1 255.0.0.0 outside
在默然情况下,pix的以太端口是不允许telnet的,这一点与路由器有区别。inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
pix515(config)# telnet 192.168.2.1 255.255.255.0 inside
pix515(config)# telnet 10.6.6.1 255.0.0.0 outside
7.设置上网:
pix515(config)# global (outside) 1 10.6.6.211 netmask 255.0.0.0
Global 10.6.6.211 will be Port Address Translated
pix515(config)# global (outside) 1 10.6.6.211 netmask 255.0.0.0
Global 10.6.6.211 will be Port Address Translated
pix515(config)# global (outside) 1 10.6.6.150 - 10.6.6.200 netmask 255.0.0.0
Global 10.6.6.150 will be Port Address Translated
pix515(config)# nat (inside) 1 192.168.2.0 255.255.255.0
pix515(config)# nat (inside) 1 0.0.0.0 0.0.0.0 表允许全部上网
Global 10.6.6.150 will be Port Address Translated
pix515(config)# nat (inside) 1 192.168.2.0 255.255.255.0
pix515(config)# nat (inside) 1 0.0.0.0 0.0.0.0 表允许全部上网
8.下面这句允许ping
pix515(config)#conduit permit icmp any any
pix515(config)#conduit permit icmp any any
9.PAT映射
现内部有一台机器192.168.2.11是一台FREEBSD系统,想用SSH服务
pix515(config)# static (inside,outside) tcp 10.6.6.211 22 192.168.2.11 22 netmask 255.255.255.255 0 0
定义外部允许访问内部主机的服务
pix515(config)# conduit permit tcp host 10.6.6.211 eq ssh any
conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255 (这种写法,是信任某个IP)
现内部有一台机器192.168.2.11是一台FREEBSD系统,想用SSH服务
pix515(config)# static (inside,outside) tcp 10.6.6.211 22 192.168.2.11 22 netmask 255.255.255.255 0 0
定义外部允许访问内部主机的服务
pix515(config)# conduit permit tcp host 10.6.6.211 eq ssh any
conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255 (这种写法,是信任某个IP)
10. dhcp server
在内部网络,为了维护的集中管理和充分利用有限ip地址,都会启用动态主机分配ip地址服务器(dhcp server),cisco firewall pix都具有这种功能,下面简单配置dhcp server,地址段为192.168.1.100—192.168.168.1.200
dns: 主61.177.7.1 备61.155.24.123
主域名称:test.com
dhcp client 通过pix firewall
pix515(config)#ip address dhcp
dhcp server配置
pix515(config)#dhcpd enable inside (开启内网DHCP服务器)
pix515(config)#dhcpd auto_config outside(自动配置外网DHCP服务参数)
pix515(config)#dhcpd address 192.168.2.150-192.168.2.200 inside (内网DHCP分配的IP地址范围)
pix515(config)#dhcpd dns 61.177.7.1 61.155.24.123
pix515(config)#dhcpd domain test.com
11.访问列表(access-list)
此功能与cisco ios基本上是相似的,也是firewall的主要部分,有permit和deny两个功能,网络协议一般有ip|tcp|udp|icmp等等,如:只允许访问主机:222.20.16.254的www,端口为:80
pix515(config)#access-list 100 permit ip any host 222.20.16.254 eq www
pix515(config)#access-list 100 deny ip any any
pix515(config)#access-group 100 in interface outside
12.保存
pix515(config)# write mem
Building configuration...
Cryptochecksum: 5641ca9c 2ef4c53c 0dc8a8f9 75d47f09
[OK]
pix515(config)#
13.备份及恢复:
pix515(config)# write net 192.168.2.111:pix515.rtf
Building configuration...
TFTP write 'pix515.rtf' at 192.168.2.111 on interface 1
[OK]
pix515(config)# clear config all 是清除所有配置
如何想要通过tftp恢复,得要先配置一下inside接口地址:
pixfirewall(config)# ip add inside 192.168.2.1 255.255.255.0
如何想要通过tftp恢复,得要先配置一下inside接口地址:
pixfirewall(config)# ip add inside 192.168.2.1 255.255.255.0
pixfirewall(config)# ping 192.168.2.111 测试一下到TFTP服务器是否通
192.168.2.111 response received -- 0ms
192.168.2.111 response received -- 0ms
192.168.2.111 response received -- 0ms
pix515(config)# configure net 192.168.2.111:pix515.rtf
Global 10.6.6.151 will be Port Address Translated
Global 10.6.6.150 will be Port Address Translated
Global 10.6.6.211 will be Port Address Translated
.
Cryptochecksum(unchanged): ead0c833 1ed19938 b863ace2 4902f21b
Config OK
192.168.2.111 response received -- 0ms
192.168.2.111 response received -- 0ms
192.168.2.111 response received -- 0ms
pix515(config)# configure net 192.168.2.111:pix515.rtf
Global 10.6.6.151 will be Port Address Translated
Global 10.6.6.150 will be Port Address Translated
Global 10.6.6.211 will be Port Address Translated
.
Cryptochecksum(unchanged): ead0c833 1ed19938 b863ace2 4902f21b
Config OK
13.开启WEB页管理:
可以通过“http server enable(开启HTTP服务模式)
http 192.168.2.1 255.255.255.0 inside(设置内网管理IP地址)
然后打开浏览器, [url]https://192.168.2.1[/url]就可以了,但是记得要装JAVA虚拟机哦!
可以通过“http server enable(开启HTTP服务模式)
http 192.168.2.1 255.255.255.0 inside(设置内网管理IP地址)
然后打开浏览器, [url]https://192.168.2.1[/url]就可以了,但是记得要装JAVA虚拟机哦!
14.查看命令:
show nameif
show conduit
show config
show run
show static
show global
show dhcpd
show nat
show nameif
show conduit
show config
show run
show static
show global
show dhcpd
show nat