Chinaunix首页 | 论坛 | 博客

qsh

  • 博客访问: 4034418
  • 博文数量: 1015
  • 博客积分: 15904
  • 博客等级: 上将
  • 技术积分: 8572
  • 用 户 组: 普通用户
  • 注册时间: 2008-07-04 19:16
文章分类

全部博文(1015)

文章存档

2019年(1)

2017年(1)

2016年(19)

2015年(27)

2014年(30)

2013年(95)

2012年(199)

2011年(72)

2010年(109)

2009年(166)

2008年(296)

分类:

2012-10-12 13:33:41

http://blog.chinaunix.net/uid-7411781-id-3256214.html
 
 


环境: outside(121.8.210.o)---pix----inside(192.168.99.i)
|
dmz口(192.168.191.d)
pix版本:Cisco PIX Security Appliance Software Version 8.0(4) 7.2版本也差不多,估计7.0以下的配置方面有区别了。
配置防火墙永远把握一个原则:访问由低到高需要做静态映射(dnat,也叫发布服务器);访问从高安全级到低安全级需要做nat转换(snat,如访问外网),access-group dmz_access_in in interface dmz在接口上应用acl,来控制ip之间的访问。

目的:
1、内网中的指定用户(如192.168.99.10)可以防问Internet和DMZ中的WEB服务器(如192.168.191.100)。并且内网所有用户都可访问dmz区域服务器。

2、外网的用户可以防问DMZ区的Web平台(192.168.191.100)。
3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器。
用到的关键词:NAT、PAT、端口重定向、ACL和route功能。
部分基本配置:
Pix防火墙每个接口定义一条静态或缺省路由:route outside 0 0 外网关
route inside 192.168.0.0 255.255.0.0 192.168.99.i(如果是多网段情况下,这里写内部网络三层网关)
route dmz 192.168.191.0 255.255.255.0 192.168.191.d (个人觉得这条可要可不要,没有做拿掉测试)
实现目的1配置:
1:access-list nonat extended permit ip 192.168.0.0 255.255.0.0 192.168.191.0 255.255.255.0
2:pix(config)# global (outside) 1 interface
3:pix(config)# global (dmz) 1 192.168.191.200-192.168.191.220 netmask 255.255.255.0
4:pix(config)# nat (inside) 1 192.168.99.10 255.255.255.255
5:pix(config)# nat (dmz) 1 192.168.191.0 255.255.255.0
6:pix(config)#nat(inside)0 access-list nonat
解析:
第1条定义一个acl允许内网ip访问dmz口的网段;
第2条定义内部和dmz口主机访问outside区域电脑的时候的转换用的ip地址,此处为端口地址复用;
第3条定义内部主机访问dmz口主机的时候,转换使用的ip地址池(应该也能端口地址复用,没有做过测试);
第4个nat命令允许在安全级别为100的内部接口上的主机99.10,去连接那些安全级别比它低的接口上的主机,这里低安全级别接口上的主机包括外部接口上的主机和非军事区/DMZ/上的主机。
第5个nat命令允许在安全级别为50的DMZ上的主机,去连接那些安全级别比它低的接口上的主机。此处,低安全级别的接口只包含外部接口。
第6条允许内网主机符合acl规则的定义的访问的不进行nat转换;
以上配置可能对实现目的1有些多余,为配置好看,先放到一起。
由以上解析可推断:
当内部接口上用户访问DMZ上的主机时,它的源地址被转换成global (dmz)命令定义的192.18.191.200-220范围中的某一个地址。当内部接口上的主机防问Internet时,它的源地址将被转换成 global (outside)命令定义的接口地址和一个源端口大于1024的结合。
当DMZ上用户访问外部主机时,它的源地址被转换成global (outside)命令定义的接口和一个源端口大于1024的结合。Global (dmz)命令只在内部用户访问DMZ接口上的Web服务器时起作用。
实现目的2配置:
static (dmz,outside) tcp interface www 192.168.191.100 www netmask 255.255.255.255 0 0 dns
access-list 101 extended permit tcp any interface outside eq www
access-group 101 in interface outside
这里不做解析了。有以下一点需要需要注意Static静态转换中“DNS”表示进行“DNS记录转换”;
DNS记录转换应用在当内部的主机通过域名连接处于内部的(或者dmz口)服务器,并且用来进行域名解析的服务器处于PIX防火墙外部的情况下。
一个处于内网中的客户端通过域名向地址为192.168.191.100的Web服务器发送一个HTTP请示。
首先要通过PIX防火墙外部接口上的DNS服务器进行域名解析,因此客户端将DNS解析请求包发送到PIX防火墙上。
当PIX防火墙收到客户端的DNS解析请求包时,将IP头中不可路由的源地址(静态映射只有www协议,全映射的情况没有测试过,不过应该道理是一样的)进行转换,并且将这个DNS解析请求转发到处于PIX防火墙外部接口上的DNS服务器。DNS服务器通过A-记录进行地址解析,并将结果返回到客户端。
当PIX防火墙收到DNS解析回复后,它不仅要将目的地址进行转换,而且还要将DNS解析回复中的地址替换成Web服务器的实际地址。然后PIX防火墙将DNS解析发回客户端。这样所产生的结果是,当客户端收到这个DNS解析回复,它会认为它与Web服务器处于内部网络中,可以通过DMZ接口直接到达。
以上废话来自网络,简单一句话,内部主机访问dmz主机或者内网主机的www应用的时候,不通过外网口转,直达dmz口主机或者内网主机。

实现目的3配置:
方法1:静态映射
static (inside,dmz) 192.168.191.100 192.168.99.** netmask 255.255.255.255 0 0
access-list dmz_access_in extend permit ip any any
access-group dmz_access_in in interface dmz
静态内部地址转换可以让一台内部主机固定地使用PIX防火墙全局网络中的一个地址。使用Static命令可以配置静态转换。Static命令创建一个在本地IP地址和一个全局IP地址之间的永久映射(被称为静态转换槽或xlate),可以用来创建入站和出站之间的转换。
除了Static命令之外,还必须配置一个适当的访问控制列表(ACL),用来允许外部网络对内部服务器的入站访问.
简单一句话:将内部数据库服务器的所有ip协议的应用只针对dmz区域发布出去。这里属于从低访问高安全性范围。
另外一种办法(待总结)也可以做到,继续完善中。
pix到各个段路由通是前提。
access-list dmz_access_in extend permit ip any any
access-group dmz_access_in in interface dmz
access-list nonat extended permit ip 192.168.0.0 255.255.0.0 192.168.191.0 255.255.255.0
pix(config)#nat(inside)0 access-list nonat

不做转换,在show xlate的时候不出现。但是你可以在内网和dmz口之间相互ping通,在内网dmz口地址却无法ping通,在dmz口也无法ping通内网口地址。
阅读(4301) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~