注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

good luck guys

welcome

 
 
 

日志

 
 

求高手指点思科的PIX501防火墙的详细配置 - 思科技术 - 51CTO技术论坛_中国领先的IT技术社区  

2011-08-26 12:56:57|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
CISCO-PIX500详细配置以及命令注释

一、防火墙的几个模式
PIXfirewall>:用户模式
password:     
PIXfirewall#:特权模式(用enable可进入此模式)         
PIXfirewall(config)#:配置模式(用configure terminal可进入此模式)
monitor>:ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
建立用户和修改密码 (跟cisco ios路由器基本一样)

二、防火墙的基本配置命令
配置Cisco PIX防火墙有如下几个基本命令:nameif,interface,ip address,global,natl,route,static,conduit,ACL,fixup,telnet,show,DHCP。
  这些命令在配置PIX是必须的。以下是配置的基本步骤:
1.  nameif(配置防火墙接口的名字,并指定安全级别)
  Pix506(config)#nameif ethernet0 outside security0
  Pix506(config)#nameif ethernet1 inside security100
  Pix506(config)#nameif dmz security50
  提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100。安全级别取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句可以这样写:
  Pix506(config)#nameif pix/intf3 security40 (安全级别任取)

2.  interface(配置以太口参数)
配置以太口工作状态,常见状态有:auto、100full、shutdown。
auto:设置网卡工作在自适应状态。
100full:设置网卡工作在100Mbit/s,全双工状态。
shutdown:设置网卡接口关闭,否则为激活。  
Pix506(config)#interface ethernet0 auto(auto选项表明系统自适应网卡类型 )
  Pix506(config)#interface ethernet1 100full(100full选项表示100Mbit/s以太网全双工通信 )
  Pix506(config)#interface ethernet1 100full shutdown(shutdown选项表示关闭这个接口,若启用接口去掉shutdown )
在默认情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。

3.  ip address(配置内外网卡的IP地址)
  Pix506(config)#ip address outside 61.144.51.42 255.255.255.248
  Pix506(config)#ip address inside 192.168.0.1 255.255.255.0
Pix506 (config)#clear ip address (全部清除ip address)
Pix506 (config)#no ip address inside 192.168.6.0 255.255.255.0(清除这个接口的ip address)


4.  global(指定外部地址范围)
  global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。注意global命令中的nat_id需要和你配置的nat命令中的nat_id相同。Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmask global_mask]
  其中(if_name)表示外网接口名字,例如outside.。Nat_id用来标识全局地址池(nat要引用),使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
  例1. Pix506(config)#global (outside) 1 61.144.51.42-61.144.51.48
  表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
  例2. Pix506(config)#global (outside) 1 61.144.51.42
  表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。
  例3. Pix506(config)#no global (outside) 1 61.144.51.42
  表示删除这个全局表项。
        例4. Pix506(config)#global (outside) 1 10.0.0.1 255.0.0.0  (PAT转换,当你用这个命令,CLI会给你一个警告信息指出pix要PAT的所有地址)
例5. Pix506(config)#global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0
这里有这样一个命令可以在pix检测转换表中查看你是否有这个特定ip的入口.show xlate,一般一个被转换的ip address保存在转换表中的默认时间是3个小时.你可以通过timeout xlate hh:ss来更改这个设置.
这里你也同样需要了解PAT是怎么工作的,同样你要知道PAT也有局限,不能支持H.323和高速缓存使用的名称服务器,老实说我也不知道这两个是什么东东

5.  nat(指定要进行转换的内部地址)
  网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法:nat (if_name) nat_id local_ip [netmark] ,其中:
if_name表示内网接口名字,例如inside.
Nat_id用来标识全局地址池,使它与其相应的global命令相匹配
local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。
[netmark]表示内网ip地址的子网掩码。
  在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过nat_id联系在一起
例1.Pix506(config)#nat (inside) 1 0 0
  表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
  例2.Pix506(config)#nat (inside) 1 172.16.5.0 255.255.0.0
  表示只有172.16.5.0这个网段内的主机可以访问外网。

nat 0命令
如果在内部网络有一个公用地址,要想内部主机不经过转换去外部网络,可以让NAT停止作用。nat 0命令禁止地址转换,所以对外部网络来说,内部ip 地址是可见的,重要的是要注意到nat 0是与acl联合起来使用的,提供对发生于内部主机/网络不经过转换到外部网络的流量的访问
access-list acl_nonat permit 192.168.43.0 255.255.255.0 192.168.6.0
nat (inside) 0 acl_nonat
使用static命令或nat 0命令时要求使用访问列表来对已识别的主机/网络建立一个连接.

地址转换(nat)和端口转换(pat)
nat跟路由器基本是一样的,首先必须定义ip pool,提供给内部ip地址转换的地址段,接着定义内部网段。
pix506e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix506e(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
pix506e(config)#nat (outside) 1 0.0.0.0 0.0.0.0
在某些情况下,外部地址是很有限的,有些主机必须单独占用一个ip地址,必须解决的是公用一个外部ip(222.20.16.201),则必须多配置一条命令,这种称为(pat),这样就能解决更多用户同时共享一个ip,有点像代理服务器一样的功能。配置如下:
pix506e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix506e(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
pix506e(config)#nat (outside) 1 0.0.0.0 0.0.0.0

5.  nat(指定要进行转换的内部地址)
  网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法:nat (if_name) nat_id local_ip [netmark] ,其中:
if_name表示内网接口名字,例如inside.
Nat_id用来标识全局地址池,使它与其相应的global命令相匹配
local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。
[netmark]表示内网ip地址的子网掩码。
  在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过nat_id联系在一起
例1.Pix506(config)#nat (inside) 1 0 0
  表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
  例2.Pix506(config)#nat (inside) 1 172.16.5.0 255.255.0.0
  表示只有172.16.5.0这个网段内的主机可以访问外网。

nat 0命令
如果在内部网络有一个公用地址,要想内部主机不经过转换去外部网络,可以让NAT停止作用。nat 0命令禁止地址转换,所以对外部网络来说,内部ip 地址是可见的,重要的是要注意到nat 0是与acl联合起来使用的,提供对发生于内部主机/网络不经过转换到外部网络的流量的访问
access-list acl_nonat permit 192.168.43.0 255.255.255.0 192.168.6.0
nat (inside) 0 acl_nonat
使用static命令或nat 0命令时要求使用访问列表来对已识别的主机/网络建立一个连接.

地址转换(nat)和端口转换(pat)
nat跟路由器基本是一样的,首先必须定义ip pool,提供给内部ip地址转换的地址段,接着定义内部网段。
pix506e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix506e(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
pix506e(config)#nat (outside) 1 0.0.0.0 0.0.0.0
在某些情况下,外部地址是很有限的,有些主机必须单独占用一个ip地址,必须解决的是公用一个外部ip(222.20.16.201),则必须多配置一条命令,这种称为(pat),这样就能解决更多用户同时共享一个ip,有点像代理服务器一样的功能。配置如下:
pix506e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix506e(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
pix506e(config)#nat (outside) 1 0.0.0.0 0.0.0.0

6.  route(设置指向内网和外网的静态路由)
  定义一条静态路由。route命令配置语法:route if_name ip_address netmask gateway_ip [metric]
  其中(if_name)表示接口名称,指你数据要离开处的那个端口,例如inside,outside。ip_address被路由的ip address。netmask被路由的ip address的网络掩码。Gateway_ip 下一跳的ip address。[metric]表示到gateway_ip的跳数。通常缺省是1。
  例1. Pix506(config)#route outside 0 0 61.144.51.168 1
  表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。0 0:表示所有主机,任意网络。
  例2. Pix506(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
  Pix506(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
  如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一条路由器ip地址是172.16.0.1。
如果你想要测试新的路由配置,在这之前用clear arp清除pix firewall的arp高速缓存is a good idea.

7.  static(配置静态IP地址翻译port redirection with statics)
  如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口,安全级别较高。如inside。  external_if_name为外部网络接口,安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。
  例1. Pix506(config)#static (inside, outside) 61.144.51.62 192.168.0.8
  表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。
  例2. Pix506(config)#static (inside, outside) 192.168.0.2 10.0.1.3
  例3. Pix506(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
  注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
配置静态IP地址翻译,使内部地址与外部地址一一对应。     语法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address      其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
PIX506(config)#static(inside,outside)133.0.0.1192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
PIX506(config)#static(dmz,outside)133.0.0.1172.16.0.2
中间区域ip地址172.16.0.2,访问外部时被翻译成133.0.0.1全局地址。
在pix 版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的ip地址/端口通过firewall pix 传输到内部指定的内部服务器。这种功能也就是可以发布内部www、ftp、mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99 telnet端口,通过pix重定向到内部主机192.168.1.99的telnet端口(23)。
pix506e(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.99 ftp,通过pix重定向到内部192.168.1.3的ftp server。
pix506e(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.208 www(即80端口),通过pix重定向到内部192.168.123的主机的www(即80端口)。
pix506e(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.201 http(8080端口),通过pix重定向到内部192.168.1.4的主机的www(即80端口)。
pix506e(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.5 smtp(25端口),通过pix重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
pix506e(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0

配置经由PIX的入站访问
  有一个方法可以让从低安全级界面的连接访问高安全级的界面
  1.1 静态网络地址转换,为了使外部主机向内部主机发送数据,需要为内部主机配置一个静态转换列表,这也可以通过使用一个nat 0 access-list地址转换规则来完成.
static (inside,outside) 192.168.100.10 10.1.100.10 netmask 255.255.255.0
10.1.100.10是将被映射的地址
192.168.100.10是real_address转换而成的地址.
可以通过static命令来转换一个ip 子网
static (inside,outside) 192.168.1.0 10.1.100.0 netmask 255.255.255.0
  关于静态端口地址转换,使用static命令的interface选项,可以运用静态PAT来允许外部主机访问归于一台内部主机的TCP/UDP服务.
8.  conduit(管道命令)
  前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
  conduit命令配置语法:
  conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
  permit | deny 允许 | 拒绝访问
  global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
  port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
  protocol 指的是连接协议,比如:TCP、UDP、ICMP等。
  foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
  例1. Pix506(config)#conduit permit tcp host 192.168.0.8 eq www any
  这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。
  例2. Pix506(config)#conduit deny tcp any eq ftp host 61.144.51.89
  表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
  例3. Pix506(config)#conduit permit icmp any any
  表示允许icmp消息向内部和外部通过。
  例4. Pix506(config)#static (inside, outside) 61.144.51.62 192.168.0.3
  Pix506(config)#conduit permit tcp host 61.144.51.62 eq www any
  这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3->61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

9.  ACL(访问控制列表)
访问控制列表的命令与couduit命令类似
access-list id action protocol source_address s_mask s_port destination_address d_mask d_port
通过access-group应用到相应的pix界面上.
access-group id ininterface interface_name
注意在cisco ios软件访问列表时,在定义子网掩码时,pix使用规则标准的子网掩码,而像router等等设备使用通配符
pix(config)#static (inside,outside) 192.168.1.10 10.1.100.10 netmask 255.255.255.255
使用static命令将10.1.100.10转换成192.168.1.10
pix(config)#access-list acl_out permit tcp any host 192.168.1.10 eq www
acl命令允许http只是访问主机10.1.100.10,已经被转换成192.168.1.10
pix(config)#access-group acl_out in interface outside
将acl运用到外部界面
**对于入站访问,必须先拒绝然后再许可
**对于进站访问,必须先许可然后再拒绝
限制内部用户对位于端口80的一个外部网络服务器的访问
pix(config)#access-list acl_in dengy tcp any host 172.16.68.20 eq www
pix(config)#access-list acl_in permit ip any any
pix(config)#access-group acl_in in interface inside

9.  fixup(配置协议 )
  fixup命令作用是启用或禁止一个服务或协议,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。  
由fixup命令所制定的端口是pix监听到的对象,fixup命令可以用来改变缺省的端口分配.
[no] fixup protocol [protocol] [port]
no pix protocol命令来重设对缺省配置的应用程序检查条目。
clear fixup命令从添加的配置中移除fixup 命令,但其并不移除缺省的fixup protocol命令
所以这里需要记住,如果你只用protocol protocol http 8080,并没有改变默认的fixup protocol http 80,通过show fixup你可以看到pix在端口80,8080,8888监听到http流量
经验,我做过一个cisco vpn client访问公司的lotus notes信箱,很有意思的是我不能直接打开lotus notes,而只能在island状态下作replication,后来我关闭了no fixup protocol smtp 25,就可以了。
no fixup protocol ftp命令来使ftp fixups失去作用,出站用户只能以被动模式来发起连接,而所有的入站ftp都被静止。见下面例子:
  例1. Pix506(config)#fixup protocol ftp 21
  启用ftp协议,并指定ftp的端口号为21
  例2. Pix506(config)#fixup protocol http 80
  Pix506(config)#fixup protocol http 1080
  为http协议指定80和1080两个端口。
  例3. Pix506(config)#no fixup protocol smtp 80
  禁用smtp协议。


10.  telnet (配置远程访问)
  telnet有一个版本的变化。在pix OS 5.0(pix操作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnet到PIX防火墙,PIX支持SSH1和SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。
  telnet配置语法:telnet local_ip [netmask]
  local_ip 表示被授权通过telnet访问到pix的ip地址。在默然情况下,pix的以太端口是不允许telnet的,这一点与路由器有区别。inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。如果不设此项,pix的配置方式只能由console进行。当从外部接口要telnet到PIX防火墙时,telnet数据流需要用vpn隧道ipsec提供保护或在PIX上配置SSH,然后用SSHclient从外部到PIX防火墙。
pix506e(config)#telnet 192.168.1.1 255.255.255.0 inside
pix506e(config)#telnet 222.20.16.1 255.255.255.0 outside
测试telnet         
在[开始]->[运行]      
telnet 192.168.1.1
pix passwd:
输入密码:cisco
11.  show(显示命令)
show interface ;查看端口状态。
show static;查看静态地址映射。
show ip;查看接口ip地址。
show config;查看配置信息。
show run;显示当前配置信息。
write terminal;将当前配置信息写到终端。
show cpu usage;显示CPU利用率,排查故障时常用。
show traffic;查看流量。
show blocks;显示拦截的数据包。
show mem;显示内存


12.  DHCP(服务)
在内部网络,为了维护的集中管理和充分利用有限ip地址,都会启用动态主机分配ip地址服务器(dhcp server),cisco firewall pix都具有这种功能,下面简单配置dhcp server,地址段为192.168.1.100—192.168.168.1.200
dns: 主202.96.128.68 备202.96.144.47
主域名称:abc.com.cn
dhcp client 通过pix firewall
pix506e(config)#ip address dhcp
dhcp server配置
pix506e(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
pix506e(config)#dhcp dns 202.96.128.68 202.96.144.47
pix506e(config)#dhcp domain abc.com.cn

10.pix对dhcp支持
10.1首先是可以将pix配置为dhcp server.PIX dhcp服务器只能在pix的内部接口上激活,同时你需要查找资料,因为个别的如506/506e,由于OS版本不同,对client ip address支持数目也不同.
dhcpd enable inside
dhcpd address 192.168.10.0-192.168.10.200 255.255.255.0
dhcpd lease 2700 (授权用户的租借长度,默认时间是3600s)
dhcpd dns 61.177.7.1
dhcpd wins 61.177.7.1
dhcpd domain testing.cn
10.2可以将pix的外部接口配置为从ISP处接收地址
ip address outside dhcp [setroute] [retry retry_cnt]
setroute告诉pix防火墙使用默认网关参数设置的DHCP服务器返回的默认路由,当使用setroute选项时不再配置默认路由
同样可以使用ip address dhcp来释放和重建一个外部接口的ip address
通过show ip address dhcp来查看当前的租借信息.
测试你的配置,其次使用ping命令,前提是你需要使用icmp permit any any outside,因为默认情况下pix是拒绝所有来自于外部接口的输入流量的,除非你使用conduit permit icmp any any ,但是这个命令使你不能ping通外部接口的ip address.最后是用debug命令,debug icmp trace,建议大家可以看看,但是看了之后最好关掉,以便影响pix的performance.

注意:配置每一个pix命令是在pix立刻反应出来的,所以你可以尝试配置,但是不要配置,等你有把握时在保存wr m,但你配置错误,你可以reload一下就可以了.
三、对象分组概述
使用这个功能,主要是可以对诸如主机(服务器和客户方)服务,网络等对象进行分组并对各组应用不同的安全策略和规则。
[no] object-group object-type id
在这里object-group用来表示索要配置的对象分组类型,有如下4个选项:
network
protocol
service
icmp-type
对所分组用一个描述性的名字来替代grp-id.
4.1 network对象类型
pix(config)#object-group network web_servers
pix(config-network)#description Public web servers
pix(config-network)#network-object host 192.168.1.12
pix(config-network)#network-object host 192.168.1.14
pix(config-network)#exit
pix(config)#access-list 102 permit tcp any object-group web_servers eq www
pix(config)#access-group 102 in interface outside
pix(config)#show object-group
4.2 Protocol对象类型
要在现存的协议对象分组中加入一项单独的协议,使用protocol-object protocol命令
pix(config)#object-group protocol grp_citrix
pix(config-network)#protocol-object tcp
pix(config-network)#protocol-object citrix
pix(config-network)#exit
4.3 service对象类型
service对象类型定义可以分组的端口号,其在管理应用程序时尤为有用。
[no] object-group service obj_grp_id tcp/UDP/tcp-udp
port-object eq service命令就会将一个单独的TCP/UDP端口号加入到服务对象分组中去.port-object rang begin_service end_service则会将一系列
TCP/UDP端口号加入到服务对象分组中去.
pix(config)#object-group service mis_service tcp
pix(config-network)#port-object eq ftp
pix(config-network)#port-object rang 5200 6000
pix(config-network)#exit
4.4关于icmp-type对象类型和嵌套对象分组,省略,基本上用处不大.

四、PIX防火墙举例
PIX506(config)#static(dmz,outside)133.1.0.210.65.1.102;静态NAT
PIX506(config)#static(inside,dmz)10.66.1.20010.66.1.200;静态NAT
PIX506(config)#access-list101permitipanyhost133.1.0.1eqwww;设置ACL
PIX506(config)#access-list101permitipanyhost133.1.0.2eqftp;设置ACL
PIX506(config)#access-list101denyipanyany;设置ACL
PIX506(config)#access-group101ininterfaceoutside;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。

  Nameif ethernet0 outside security0
  Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
  Enable password 7Y051HhCcoiRTSQZ encrypted
  Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
  Hostname PIX506 ------ 主机名称为PIX506
  Domain-name 123.com ------ 本地的一个域名服务器123.com,通常用作为外部访问
  Fixup protocol ftp 21
  Fixup protocol http 80
  fixup protocol h323 1720
  fixup protocol rsh 514
  fixup protocol smtp 25
  fixup protocol sqlnet 1521
  fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号
  names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
  pager lines 24 ------ 每24行一分页
  interface ethernet0 auto
  interface ethernet1 auto ------ 设置两个网卡的类型为自适应
  mtu outside 1500
  mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
  ip address outside 61.144.51.42 255.255.255.248
  ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
  ip audit info action alarm
  ip audit attack action alarm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
  pdm history enable ------ PIX设备管理器可以图形化的监视PIX
  arp timeout 14400 ------ arp表的超时时间
  global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
  nat (inside) 1 0.0.0.0 0.0.0.0 0 0
  static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
  conduit permit icmp any any
  conduit permit tcp host 61.144.51.43 eq www any
  conduit permit udp host 61.144.51.43 eq domain any
  ------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
  route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
  timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
  timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
  aaa-server TACACS+ protocol tacacs+
  aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
  no snmp-server location
  no snmp-server contact
  snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
  no snmp-server enable traps ------ 发送snmp陷阱
  floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完
  no sysopt route dnat
  telnet timeout 5
  ssh timeout 5 ------ 使用ssh访问pix的超时时间
  terminal width 80
  Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
  PIX506#
  PIX506#write memory ------ 将配置保存
  上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。ping outside | inside ip_address确定连通性。
五、案例分析
(1)pix pppoe 拨号的配置
pixfirewall# sh run
: Saved
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
no fixup protocol skinny 2000
names
pager lines 24
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 10.80.1.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.80.0.0 255.255.0.0 0 0
conduit permit icmp any any
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet 10.80.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
vpdn group pppoex request dialout pppoe
vpdn group pppoex localname xxxxxx
vpdn group pppoex ppp authentication pap
vpdn username xxxxxx password *********
terminal width 80
Cryptochecksum:b68ce36b87522b2c412c29c6291ce5cc
: end

(2)外网192.168.1.X--(192.168.1.2)PIX 506E(192.168.10.2)--192.168.10.X 内网
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname MCPIX
domain-name MCPIX
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names     
access-list 100 permit icmp any any                                   
access-list 100 permit tcp any any eq www                                         
access-list no-nat permit ip 192.168.10.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list no-nat permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list no-nat permit ip any any
access-list no-nat permit icmp any any
access-list 100 permit ip 192.168.10.0 255.255.255.0 192.168.10.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.1.220 255.255.255.0
ip address inside 192.168.10.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool dialer 192.168.10.150-192.168.10.200
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list no-nat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp 192.168.1.220 www 192.168.10.24 www netmask 255.255.255.255 0 0
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 outside
http 192.168.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set aaades esp-des esp-md5-hmac
crypto dynamic-map dynomap 10 set transform-set aaades
crypto map vpnpeer 20 ipsec-isakmp dynamic dynomap
crypto map vpnpeer client configuration address initiate
crypto map vpnpeer client configuration address respond
crypto map vpnpeer client authentication LOCAL
crypto map vpnpeer interface outside
isakmp enable outside
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
isakmp client configuration address-pool local dialer outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup student0 address-pool dialer
vpngroup student0 idle-time 1800
vpngroup student0 password ********
telnet 192.168.10.0 255.255.255.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 2
terminal width 80
Cryptochecksum:e9f237a2bab164d66cca0398c122b0dc
: end
(3)益高电动车制造有限公司的CISCO-PIX506E详细配置
: Saved
:
PIX Version 6.3(5)                                                                ---- PIX当前的操作系统版本为6.3
interface ethernet0 auto                                                        ----设定防火墙外网端口E0 速率为auto
interface ethernet1 auto                                                        ----设定防火墙内网端口E1 速率为auto
nameif ethernet0 outside security0                                 ----设定防火墙外网端口E0名称为outside安全级别为0
nameif ethernet1 inside security100                                ----设定防火墙内网端口E1名称为inside安全级别为100
enable password 8Ry2YjIyt7RRXU24 encrypted                ----配置防火墙特权配置模式的密码(此密码为加密的)
passwd 2KFQnbNIdI.2KYOU encrypted                        ----配置防火墙TELNET 远程登陆的密码
hostname eagle                                                                ----设定防火墙的名称
fixup protocol dns maximum-length 512                        ----防火墙默认启用的协议和端口号
fixup protocol ftp 21                                              ----防火墙默认启用的协议和端口号
fixup protocol h323 h225 1720                                      ----防火墙默认启用的协议和端口号
fixup protocol h323 ras 1718-1719                              ----防火墙默认启用的协议和端口号
fixup protocol http 80                                        ----防火墙默认启用的协议和端口号
fixup protocol rsh 514                                              ----防火墙默认启用的协议和端口号
fixup protocol rtsp 554                                      ----防火墙默认启用的协议和端口号
fixup protocol sip 5060                                      ----防火墙默认启用的协议和端口号
fixup protocol sip udp 5060                                    ----防火墙默认启用的协议和端口号
fixup protocol skinny 2000                                    ----防火墙默认启用的协议和端口号
fixup protocol smtp 25                                       ----防火墙默认启用的协议和端口号
fixup protocol sqlnet 1521                                    ----防火墙默认启用的协议和端口号
fixup protocol tftp 69                                        ----防火墙默认启用的协议和端口号

access-list nonat permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
----建立名为nonat的访问控制列表,且允许10.0.0.0这个网段不通过NAT转换,直接穿过nat去访问192.168.1.0这个网段
access-list nonat permit ip 192.168.0.0 255.255.255.0 10.0.0.0 255.0.0.0
----建立名为nonat的访问控制列表,且允许192.168.1.0这个网段不通过NAT转换,直接穿过nat去访问10.0.0.0这个网段
access-list nonat permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0
----建立名为nonat的访问控制列表,且允许172.16.1.0这个网段不通过NAT转换,直接穿过nat去访问192.168.1.0这个网段
access-list nonat permit ip 192.168.0.0 255.255.255.0 172.16.1.0 255.255.255.0
----建立名为nonat的访问控制列表,且允许192.168.0.0这个网段不通过NAT转换,直接穿过nat去访问172.16.1.0这个网段
access-list 110 permit ip 192.168.0.0 255.255.255.0 172.16.1.0 255.255.255.0
-----建立名为110的访问控制列表,且允许192.168.0.0这个网段不通过NAT转换,直接穿过nat去访问172.16.1.0这个网段
access-list 110 permit ip 172.16.1.0 255.255.255.0 192.168.0.0 255.255.255.0
----建立名为110的访问控制列表,且允许172.16.1.0这个网段不通过NAT转换,直接穿过nat去访问192.168.1.0这个网段
pager lines 24                                                           ----配置的时候每24行一分页(自动默认)
mtu outside 1500                                                                ----以太网标准的MTU长度为1500字节(自动默认)
mtu inside 1500                                                                 ----以太网标准的MTU长度为1500字节(自动默认)
ip address outside 58.211.149.78 255.255.255.248        ----设置防火墙外网端口的IP地址
ip address inside 172.16.1.1 255.255.255.0              ----设置防火墙内网端口的IP地址
ip audit info action alarm
ip audit attack action alarm
----pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息
ip local pool vpnpool 192.168.1.1-192.168.1.255
----建立名为vpnpool的地址池,起始地址段为 192.168.1.1-192.168.1.255
pdm history enable                                                          ----PIX设备管理器可以图形化的监视(自动默认)
arp timeout 14400                                                          ----arp表的超时时间(自动默认)
global (outside) 1 interface                                           ----定义内部网络地址将要翻译成的全局地址出口
nat (inside) 0 access-list nonat                                         
----使得符合访问列表为nonat的地址不通过翻译,对外部网络是可见的
nat (inside) 1 0.0.0.0 0.0.0.0 0 0                                          ----内部全部地址都可以转换出去
conduit permit icmp any any                                             ----设置管道:允许任何地址都可进行PING测试
route outside 0.0.0.0 0.0.0.0 58.211.149.73 1                 ----设置默认路由到网关出口
timeout xlate 3:00:00                 
----某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址(自动默认)
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
----AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证(自动默认)
aaa-server TACACS+ protocol tacacs+                            ----AAA认证服务协议(自动默认)
aaa-server TACACS+ max-failed-attempts 3                 ----AAA认证服务协议(自动默认)
aaa-server TACACS+ deadtime 10                              ----AAA认证服务协议(自动默认)
aaa-server RADIUS protocol radius                              ----AAA认证服务协议(自动默认)
aaa-server RADIUS max-failed-attempts 3                         ----AAA认证服务协议(自动默认)
aaa-server RADIUS deadtime 10                                         ----AAA认证服务协议(自动默认)
aaa-server LOCAL protocol local                                         ----AAA认证服务协议(自动默认)
no snmp-server location                                                        ----无snmp-server工作站的位置(自动默认)
no snmp-server contact                                                        ----无snmp-server工作站的联系人(自动默认)
snmp-server community public                                        ----snmp-server工作站的通讯(自动默认)
no snmp-server enable traps                                                ----发送snmp陷阱(自动默认)
floodguard enable                                                                ----防止有人伪造大量认证请求,将pix的AAA资源用完

sysopt connection permit-ipsec                                         ----允许进行ipsec连接
crypto ipsec transform-set eagle esp-des esp-md5-hmac        ----定义一个名称为eagle的交换集
crypto dynamic-map dynamap 10 set transform-set eagle   
----根据eagle交换集产生名称为dynmap的动态加密图集
crypto map mymap 10 ipsec-isakmp dynamic dynamap   
----将dynmap动态加密图集应用为IPSEC的策略模板
crypto map mymap client configuration address initiate  
----指示PIX防火墙试图为每个对等体设置IP地址
crypto map mymap client configuration address respond  
----指示PIX防火墙接受来自任何请求对等体的IP地址请求
crypto map mymap interface outside                                  ----将加密图应用到防火墙的外部接口

isakmp enable outside                                           ----在外部接口启用IKE协商
isakmp identity address                                           ----isakmp身份设置成接口的IP地址
isakmp client configuration address-pool local vpnpool outside
----将VPN client地址池绑定到isakmp
isakmp nat-traversal 20                                                         ----IKE策略穿越NAT
isakmp policy 20 authentication pre-share                          ----预共享密钥作为认证手段
isakmp policy 20 encryption des  ----指定56位DES作为将被用于IKE策略的加密算法
isakmp policy 20 hash md5                  ----指定MD5 (HMAC变种)作为将被用于IKE策略的散列算法
isakmp policy 20 group 2            ----指定1024比特Diffie-Hellman组将被用于IKE策略
isakmp policy 20 lifetime 86400                         ----每个安全关联的生存周期为86400秒(1天)
vpngroup vpntest address-pool vpnpool  
----定义VPN client:vpntest拨入使用的vpngroup所分配的IP池
vpngroup vpntest dns-server 61.177.7.1        ----定义VPN client:vpntest拨入使用的电信DNS来解析
vpngroup vpntest split-tunnel 110
----定义VPN client:vpntest符合名为110的访问控制列表允许通过隧道传输
vpngroup vpntest idle-time 1800                                        ----定义vpngroup的空闲时间
vpngroup vpntest password ********                                ----定义VPN client:vpntest的密码为********
telnet timeout 5                                                                ----TELNET登录超时时间
ssh timeout 5                                                                  ----SSH超时时间
console timeout 0
terminal width 80
Cryptochecksum:d341e9092b1b3f71f8100c1d45eeb8cc
: end



引文来源  求高手指点思科的PIX501防火墙的详细配置 - 思科技术 - 51CTO技术论坛_中国领先的IT技术社区
  评论这张
 
阅读(662)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017