Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1365452
  • 博文数量: 416
  • 博客积分: 10495
  • 博客等级: 上将
  • 技术积分: 4258
  • 用 户 组: 普通用户
  • 注册时间: 2005-04-23 22:13
文章分类

全部博文(416)

文章存档

2015年(7)

2014年(42)

2013年(35)

2012年(14)

2011年(17)

2010年(10)

2009年(18)

2008年(127)

2007年(72)

2006年(23)

2005年(51)

分类: 网络与安全

2005-09-02 08:31:58

 三、Cisco PIX防火墙的基本配置

  1. 同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口;

  2. 开启所连电脑和防火墙的电源,进入Windows系统自带的"超级终端",通讯参数可按系统默然。进入防火墙初始化配置,在其中主要设置有:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。此时的提示符为:pix255>。

  3. 输入enable命令,进入Pix 525特权用户模式,默然密码为空。

  如果要修改此特权用户模式密码,则可用enable password命令,命令格式为:enable password password [encrypted],这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。

  4、 定义以太端口:先必须用enable命令进入特权用户模式,然后输入configure terminal(可简称为config t),进入全局配置模式模式。具体配置

  pix525>enable

    Password:

    pix525#config t

    pix525 (config)#interface ethernet0 auto

    pix525 (config)#interface ethernet1 auto

  在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。

  5. clock

  配置时钟,这也非常重要,这主要是为防火墙的日志记录而资金积累的,如果日志记录时间和日期都不准确,也就无法正确分析记录中的信息。这须在全局配置模式下进行。

  时钟设置命令格式有两种,主要是日期格式不同,分别为:

  clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year

  前一种格式为:小时:分钟:秒 月 日 年;而后一种格式为:小时:分钟:秒 日 月 年,主要在日、月份的前后顺序不同。在时间上如果为0,可以为一位,如:21:0:0。

  6. 指定接口的安全级别

  指定接口安全级别的命令为nameif,分别为内、外部网络接口指定一个适当的安全级别。在此要注意,防火墙是用来保护内部网络的,外部网络是通过外部接口对内部网络构成威胁的,所以要从根本上保障内部网络的安全,需要对外部网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系列防火墙中,安全级别的定义是由security()这个参数决定的,数字越小安全级别越高,所以security0是最高的,随后通常是以10的倍数递增,安全级别也相应降低。如下例:

  pix525(config)#nameif ethernet0 outside security0 # outside是指外部接口

    pix525(config)#nameif ethernet1 inside security100 # inside是指内部接口

    7. 配置以太网接口IP地址

  所用命令为:ip address,如要配置防火墙上的内部网接口IP地址为:192.168.1.0 255.255.255.0;外部网接口IP地址为:220.154.20.0 255.255.255.0。 配置方法如下:

    pix525(config)#ip address inside 192.168.1.0 255.255.255.0

    pix525(config)#ip address outside 220.154.20.0 255.255.255.0

  8. access-group

  这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为:access-group acl_ID in interface interface_name,其中的"acl_ID"是指访问控制列表名称,interface_name为网络接口名称。如:

  access-group acl_out in interface outside,在外部网络接口上绑定名称为"acl_out"的访问控制列表。

    clear access-group:清除所有绑定的访问控制绑定设置。

    no access-group acl_ID in interface interface_name:清除指定的访问控制绑定设置。

    show access-group acl_ID in interface interface_name:显示指定的访问控制绑定设置。

  9.配置访问列表

  所用配置命令为:access-list,合格格式比较复杂,如下:

  标准规则的创建命令:access-list [ normal   special ] listnumber1 { permit   deny } source-addr [ source-mask ]

    扩展规则的创建命令:access-list [ normal   special ] listnumber2 { permit   deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ]   icmp-type [ icmp-code ] ] [ log ]

  它是防火墙的主要配置部分,上述格式中带"[]"部分是可选项,listnumber参数是规则号,标准规则号(listnumber1)是1~99之间的整数,而扩展规则号(listnumber2)是100~199之间的整数。它主要是通过访问权限"permit"和"deny"来指定的,网络协议一般有IP TCP UDP ICMP等等。如只允许访问通过防火墙对主机:220.154.20.254进行www访问,则可按以下配置:

  pix525(config)#access-list 100 permit 220.154.20.254 eq www

  其中的100表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。关于这个命令还将在下面的高级配置命令中详细介绍。

    10. 地址转换(NAT)

  防火墙的NAT配置与路由器的NAT配置基本一样,首先也必须定义供NAT转换的内部IP地址组,接着定义内部网段。

  定义供NAT转换的内部地址组的命令是nat,它的格式为:nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]],其中if_name为接口名;nat_id参数代表内部地址组号;而local_ip为本地网络地址;netmask为子网掩码;max_conns为此接口上所允许的最大TCP连接数,默认为"0",表示不限制连接;em_limit为允许从此端口发出的连接数,默认也为"0",即不限制。如:

  nat (inside) 1 10.1.6.0 255.255.255.0

  表示把所有网络地址为10.1.6.0,子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。

  随后再定义内部地址转换后可用的外部地址池,它所用的命令为global,基本命令格式为:

  global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ,各参数解释同上。如:

  global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0

  将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址,其子网掩耳盗铃码为255.255.255.0。

  11. Port Redirection with Statics

  这是静态端口重定向命令。在Cisco PIX版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器,这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。

  命令格式有两种,分别适用于TCP/UDP通信和非TCP/UDP通信:

  (1). static[(internal_if_name, external_if_name)]{global_ip interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]

  (2). static [(internal_if_name, external_if_name)] {tcp udp}{global_ip interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]

  此命令中的以上各参数解释如下:

  internal_if_name:内部接口名称;external_if_name:外部接口名称;{tcp udp}:选择通信协议类型;{global_ip interface}:重定向后的外部IP地址或共享端口;local_ip:本地IP地址;[netmask mask]:本地子网掩码;max_conns:允许的最大TCP连接数,默认为"0",即不限制;emb_limit:允许从此端口发起的连接数,默认也为"0",即不限制;norandomseq:不对数据包排序,此参数通常不用选。

阅读(2221) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~