防火墙的典型配置.doc

《防火墙的典型配置.doc》由会员分享，可在线阅读，更多相关《防火墙的典型配置.doc（4页珍藏版）》请在咨信网上搜索。

总结了防火墙基本配置十二个方面的内容。 硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单地说是一种PC式的电脑主机加上闪存（Flash）和防火墙操作系统。它的硬件跟共控机差不多，都是属于能适合24小时工作的，外观造型也是相类似。闪存基本上跟路由器一样，都是那中EEPROM，操作系统跟Cisco IOS相似,都是命令行（Command）式。 我第一次亲手那到的防火墙是Cisco Firewall Pix 525，是一种机架式标准（即能安装在标准的机柜里），有2U的高度，正面看跟Cisco 路由器一样，只有一些指示灯，从背板看，有两个以太口（RJ-45网卡）,一个配置口（console）,2个USB,一个15针的Failover口，还有三个PCI扩展口。 如何开始Cisco Firewall Pix呢？我想应该是跟Cisco 路由器使用差不多吧，于是用配置线从电脑的COM2连到PIX 525的console口，进入PIX操作系统采用windows系统里的“超级终端”，通讯参数设置为默然。初始使用有一个初始化过程，主要设置：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，如果以上设置正确，就能保存以上设置，也就建立了一个初始化设置了。 进入Pix 525采用超级用户(enable),默然密码为空，修改密码用passwd 命令。防火墙是处网络系统里，因此它跟网络的结构密切相关，一般会涉及的有Route(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。 下面我讲一下一般用到的最基本配置 1、 建立用户和修改密码 跟Cisco IOS路由器基本一样。 2、 激活以太端口 必须用enable进入，然后进入configure模式 PIX525>enable Password: PIX525#config t PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 auto 在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。 3、 命名端口与安全级别 采用命令nameif PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet0 outside security100 security0是外部端口outside的安全级别（0安全级别最高） security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。 4、 配置以太端口IP 地址 采用命令为：ip address 如：内部网络为：171.16.1.2 255.255.255.0 外部网络为：61.138.123.194 255.255.255.240 PIX525(config)#ip address inside 172.16.1.2 255.255.255.0 PIX525(config)#ip address outside 61.138.123.194 255.255.255.240 5、 配置远程访问[telnet] 在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。 PIX525(config)#telnet 172.16.1.2 255.255.255.0 inside PIX525(config)#telnet 61.138.123.193 255.255.255.240 outside 测试telnet 在[开始]->[运行] telnet 192.168.1.1 PIX passwd: 输入密码：cisco 6、 访问列表(access-list) 此功能与Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny两个功能，网络协议一般有IP|TCP|UDP|ICMP等等，如：只允许访问主机:61.138.123.196的www,端口为：80 PIX525(config)#access-list 101 permit tcp any host 61.138.123.196 eq www PIX525(config)#access-list 101 permit tcp any host 61.138.123.197 eq ftp PIX525(config)#access-list 101 permit tcp any host 61.138.123.198 eq smtp PIX525(config)#access-list 101 permit tcp any host 61.138.123.199 eq sqlnet PIX525(config)#access-list 101 permit tcp any host 61.138.123.200 eq domain PIX525(config)#access-list 101 deny tcp any any PIX525(config)#access-group 101 in interface outside 7、 地址转换（NAT）和端口转换(PAT) NAT跟路由器基本是一样的， 首先必须定义IP Pool，提供给内部IP地址转换的地址段，接着定义内部网段。 PIX525(config)#global (outside) 1 61.138.123.196-61.138.123.205 netmask 255.255.255.240 如果是内部全部地址都可以转换出去则： PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0 则某些情况下，外部地址是很有限的，有些主机必须单独占用一个IP地址，必须解决的是公用一个外部IP(61.138.123.205),则必须多配置一条命令，这种称为（PAT），这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下： PIX525(config)#global (outside) 1 61.138.123.196-61.123.138.204 netmask 255.255.255.240 PIX525(config)#global (outside) 1 61.138.123.205 netmask 255.255.255.240 PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0 8、 静态端口重定向(Port Redirection with Statics) 在PIX 版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX 传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。 命令格式： static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip [netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip [netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] !----外部用户直接访问地址61.138.123.196 www(即80端口)，通过PIX重定向到内部172.16.1.196的主机的www(即80端口)。 !----外部用户直接访问地址61.138.123.197 FTP，通过PIX重定向到内部172.16.1.197的FTP Server。 PIX525(config)#static (inside,outside) 61.138.123.197 ftpserver netmask 255.255.255.0 0 0 !----外部用户直接访问地址61.138.123.198 smtp(25端口)，通过PIX重定向到内部172.16.1.198的邮件主机的smtp(即25端口) PIX525(config)#static (inside,outside) 61.138.123.198 smtpserver netmask 255.255.255.255 0 0 !----外部用户直接访问地址61.138.123.199，通过PIX重定向到内部172.16.1.199的主机的sqlnet PIX525(config)#static (inside,outside) 61.138.123.199 sqlnetserver netmask 255.255.255.255 0 0 !----外部用户直接访问地址61.138.123.200，通过PIX重定向到内部172.16.1.200的主机的domain PIX525(config)#static (inside,outside) 61.138.123.200 domainserver netmask 255.255.255.255 0 0 9、设置指向内部网和外部网的缺省路由     route inside 172.16.0.0 255.255.255.0 172.16.1.1     route outside 0.0.0.0 0.0.0.0 61.138.123.193 10、配置防火墙内外网卡的IP地址：     ip address inside 172.16.1.2 255.255.255.0     ip address outside 61.138.123.193 255.255.255.240  11、显示与保存结果 采用命令show config 保存采用write memory 12、几个常用的网络测试命令：     #ping     #show interface      查看端口状态      #show static         查看静态地址映射   以上讲述了Cisco Firewall PIX 525的情况和对其最基本的了解，总结了最基本配置的十二大点，作者对Cisco Firewall PIX防火墙的了解还是很肤浅，难免有错误和不到之处，请读者多多指教。