好久没有碰CISCO防火墙了,最近朋友让帮忙配置一下PIX525,虽然有的东西记得不是很清了,但是还是答应朋友了。
网络拓扑如下:
配置要求如下,比较简单:
防火墙配置为透明模式,只允许内部用户访问指定网段及服务器。
配置方法:
1、配置防火墙模式为透明模式
pixfirewall(config)# firewall transparent (此条命令回车后,之前的所有配置将自动清除)
2、配置接口
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
!
interface Ethernet1
speed 100
duplex full
nameif inside
security-level 100
3、配置acl
access-list abc remark xxx
access-list abc extended permit icmp any any
access-list abc extended permit ip any x.x.x.x 255.255.255.0
access-group abc in interface outside
access-group abc out interface outside
4、配置个远程登录(内部简单配置就可以telnet,主要配置外部远程登录SSH)
pixfirewall(config)# domain-name xxx.com (配置域名,必须的)
pixfirewall(config)# crypto key generate rsa modulus 1024 noconfirm (有的版本为:ca generate rsa key 2048)
pixfirewall(config)# ca save (保存密钥)
pixfirewall(config)# ssh x.x.x.x 255.255.255.0 (配置允许外部登录的IP或者网段)
pixfirewall(config)# ssh time 5 (配置ssh超时时间/分)
pixfirewall(config)# password xxx (配置ssh登录密码,默认ssh用户名为pix)
SSH登录用户名修改
pixfirewall(config)# aaa authentication ssh console LOCAL
pixfirewall(config)# username xxx password xxx privilege 15 (配置登陆名和密码以及权限)
5、保存
pixfirewall(config)# write memory
至此,配置完毕。
配置完毕几天后,朋友觉得内网用户使用固定IP比较浪费,而且也不易管理,所以又提出新的要求:
在PIX525上启用DHCP服务,配置内网为私有IP地址,内网访问外网时将内网地址转换为固定IP地址。
配置方法:
1、关闭透明模式
pixfirewall(config)# no firewall transparent (此条命令回车后,之前的所有配置将自动清除)
2、配置接口
interface Ethernet0
speed 100
duplex full
nameif outside
ip address 192.168.1.1 255.255.255.0
security-level 0
!
interface Ethernet1
speed 100
duplex full
nameif inside
ip address x.x.x.x 255.255.255.0
security-level 100
3、启用DHCP
pixfirewall(config)# dhcpd domain xxx.com
pixfirewall(config)# dhcpd dns x.x.x.x x.x.x.x
pixfirewall(config)# dhcpd address 192.168.1.2-192.168.1.254 inside
pixfirewall(config)# dhcpd enable
4、配置NAT转换
pixfirewall(config)# global (outside) 1 133.64.1.190-133.64.1.192 netmask 255.255.255.0 (外部转换固定IP地址段)
pixfirewall(config)# nat (outside) 1 0 0 (将内部所有地址进行转换)
5、配置acl
同透明模式
6、配置远程登录
同透明模式
7、保存
pixfirewall(config)# write memory
至此,配置完毕。
实际配置完毕后测试,存在以下两个问题:
一、透明模式和正常模式配置都没有问题,但是在内网访问外网测试时网络延时比较大,偶尔出现丢包。
故障诊断:
1、查看接口状态
全双工100Mbps,实时流量不到1Mbps,排除网络拥塞原因。
2、查看设备CPU、内存利用率
CPU和内存利用率很低。
3、配置优化
检查配置正常,删除部分系统默认配置(IPS、***检测配置等)测试仍存在问题
4、抓包判断
在内网和外网分别抓包分析,并未发现异常
故障解决:
经在cisco.com查询,发现问题出在pix到route的网线上,cisco要求pix接口必须严格遵循相关标准,即pix到switch必须使用平行线(直连线)、pix到route必须使用交叉线。
经查看,实际中pix到route的网线为平行线(直连线),更换为交叉线后测试,一切正常,ping延时骤然减小,故障消除。
二、内网用户访问外部FTP服务器问题(请各位讨论一下)
内网用户使用IE、资源管理器访问外部服务器正常,但使用cmd访问FTP服务器时,无法连接。
故障诊断:
1、配置查看
经对配置进行检查,ftp passive mode正常打开,未发现对ftp端口限制的acl,配置应该没有问题。
2、FTP服务器自查
经检查FTP服务器,无异常,从其他网络访问服务器正常,在内网甩开pix访问FTP服务器正常。
故障解决:
还是从配置入手,怀疑是不是pix默认禁用了入向FTP的端口?
朋友建议放开如向所有流量,于是添加acl:
access-list abc extended permit tcp any any
access-list abc extended permit udp any any
access-group abc in interface inside
access-group abc out interface inside
配置完毕后,故障消除,内网访问ftp服务器正常。
讨论:对于此故障,本人尚不十分明白,为什么使用IE和资源管理器访问FTP服务器正常,但在dos下访问ftp服务器缺无法连接,知道的朋友可以补充一下,个人感觉最后加的acl存在问题,放开了所有入向流量,内网的安全相当于0,没有起到防火墙的作用,反倒是对内网访问外网做了IP限制,外网的安全级别有所上升,希望看到的朋友不吝赐教,能给一些自己的见解,相互学习,共同进步,先谢过了,呵呵。
转载于:https://blog.51cto.com/quanxh/561392