PIX防火墻配置方法

1、pixfirewall#思科PIX防火墻的基礎思科PIX防火墻可以保護各種網(wǎng)絡。有用于小型家庭網(wǎng)絡的PIX防火墻，也有用于大型園區(qū)或者企業(yè)網(wǎng)絡的PIX防火墻。在本文的例 子中，我們將設置一種PIX 501型防火墻。PIX 501是用于小型家庭 網(wǎng)絡或者小企業(yè)的防火墻。PIX防火墻有內(nèi)部和外部接口的概念。內(nèi)部接口是內(nèi)部的，通常 是專用的網(wǎng)絡。外部接口是外部的，通常是公共的網(wǎng)絡。你要設法保 護內(nèi)部網(wǎng)絡不受外部網(wǎng)絡的影響。PIX防火墻還使用白適應性安全算法（ASA）。這種算法為接口分 配安全等級，并且聲稱如果沒有規(guī)則許可，任何通信都不得從低等級 接口（如外部接口）流向高等級接口（如內(nèi)部接口）。這個外

2、部接口的安 全等級是“0”，這個內(nèi)部接口的安全等級是“100”。下面是顯示“nameif”命令的輸出情況：pixfirewall# show nameifnameif ethernet0 outside security。nameif ethernetl inside security100請注意，ethernet0（以太網(wǎng)0）接口是外部接口（它的默認名字）, 安全等級是0。另一方面，ethernet1（以太網(wǎng)1）接口是內(nèi)部接口的名 字（默認的） ，安全等級是100。指南在開始設置之前，你的老板已經(jīng)給了你一些需要遵守的指南。這些指南是：所有的口令應該設置為“思科”（實際上，除了思科之外，你 可

3、設置為任意的口令）。內(nèi)部網(wǎng)絡是10.0.0.0，擁有一個255.0.0.0的子網(wǎng)掩碼。這 個PIX防火墻的內(nèi)部IP地址應該是10.1.1.1。外部網(wǎng)絡是1.1.1.0，擁有一個255.0.0.0的子網(wǎng)掩碼。這個PIX防火墻的外部IP地址應該是1.1.1.1。你要創(chuàng)建一個規(guī)則允許所有在10.0.0.0網(wǎng)絡上的客戶做端口地址解析并且連接到外部網(wǎng)絡。他們將全部共享全球IP地址1.1.1.2。然而，客戶只能訪問端口80（網(wǎng)絡瀏覽）。用于外部（互聯(lián)網(wǎng)）網(wǎng)絡的默認路由是1.1.1.254。設置當你第一次啟動PIX防火墻的時候，你應該看到一個這樣的屏幕pixfirewall en顯示:R CMrt 1 SK

4、UftCKT*4(MKltHN4iWNM4IKH4KHIfHHWMKMWMH* HflmirW !*If*4A ICopyright Cc) 1996-2003 I擔Cisco Sy3tef)#IncrRestricted Rights LegendUSE* duplication, or dlacloaurc by the Govrfent is subject tc restrictions osset forth in aubpororoph (1) (li of the Rightsin Technic! Ota wnd Computer Scftwre clause et DEARS

5、 sec* 2S2.227-7013*Cisco Sy豉59* Inc * 170 Host lastar Drive San JoseFColirornia95上34-1.7。6Crptochecku*(changed)d41d8od9 3?00b20 9800998 ec842為Pre-configure PIX Fircuall nou through Interactive prcMpts Lyes? |*fw*SwHi：W0Ml。榔Cdf -nOO *JM你將根據(jù)提示回答“是”或者“否”來決定是否根據(jù)這個互動提 示來設置PIX防火墻。對這個問題回答“否”，因為你要學習如何真 正地設置

6、防火墻，而不僅僅是回答一系列問題。然后，你將看到這樣一個提示符:pixfirewall在提示符的后面有一個大于號“”，你處在PIX用戶模式。使 用en或者enable命令修改權限模式。在口令提示符下按下“enter鍵。下面是一個例子：pixfirewall(config)#Password:pixfirewall#你現(xiàn)在擁有管理員模式，可以顯示內(nèi)容，但是，你必須進入通用 設置模式來設置這個PIX防火墻。現(xiàn)在讓我們學習PIX防火墻的基本設置：PIX防火墻的基本設置我所說的基本設置包括三樣事情：-設置主機名設置口令（登錄和啟動）設置接口的IP地址-啟動接口-設置一個默認的路由在你做上述任何事情之前

7、， 你需要進入通用設置模式。 要進入這 種模式，你要鍵入:pixfirewall# config tPIX1(config)#要設置主機名，使用主機名命令，像這樣：pixfirewall(config)# hostname PIX1PIX1(config)#注意，提示符轉變到你設置的名字。下一步，把登錄口令設置為“cisco”(思科)，像這樣：PIX1(config)# password ciscoPIX1(config)#這是除了管理員之外獲得訪問PIX防火墻權限所需要的口令?，F(xiàn)在，設置啟動模式口令，用于獲得管理員模式訪問。PIX1(config)# enable password cisc

8、oPIX1(config)#現(xiàn)在，我們需要設置接口的IP地址和啟動這些接口。同路由器 一樣，PIX沒有接口設置模式的概念。要設置內(nèi)部接口的IP地址, 使用如下命令：PIX1(config)# ip address inside10.1.1.1 255.0.0.0PIX1(config)#現(xiàn)在，設置外部接口的IP地址:PIX1(config)# ip address outside 1.1.1.1 255.255.255.0PIX1(config)#下一步，啟動內(nèi)部和外部接口。確認每一個接口的以太網(wǎng)電纜線 連接到一臺交換機。注意，ethernet0接口是外部接口，它在PIX 501防火墻中只是一

9、個10base-T接口。ethernet1接口是內(nèi)部接口，是 一個100Base-T接口。下面是啟動這些接口的方法：PIX1(config)#interface ethernet0 10basetPIX1(config)#interface ethernet1 100fullPIX1(config)#注意，你可以使用一個顯示接口的命令，就在通用設置提示符命令行使用這個命令。最后，讓我們設置一個默認的路由，這樣，發(fā)送到PIX防火墻的 所有的通訊都會流向下一個上行路由器(我們被分配的IP地址是1.1.1.254)。你可以這樣做：PIX1(config)# route outside 0 0 1.1

10、.1.254當然，PIX防火墻也支持動態(tài)路由協(xié)議(如RIP和OSPFB議)現(xiàn)在，我們接著介紹一些更高級的設置。網(wǎng)絡地址解析由于我們有IP地址連接，我們需要使用網(wǎng)絡地址解析讓內(nèi)部用 戶連接到外部網(wǎng)絡。我們將使用一種稱作“PAT或者“NATOverload的網(wǎng)絡地址解析。這樣，所有內(nèi)部設備都可以共享一個公共的IP地址(PIX防火墻的外部IP地址)。要做到這一點，請輸入這些命令：PIXI(config)# nat (inside) 1 10.0.0.0 255.0.0.0PIXI(config)# global (outside) 1 1.1.1.2Global 1.1.1.2 will be Po

11、rt Address TranslatedPIX1(config)#使用這些命令之后， 全部內(nèi)部客戶機都可以連接到公共網(wǎng)絡的設 備和共享IP地址1.1.1.2。然而，客戶機到目前為止還沒有任何規(guī) 則允許他們這樣做。防火墻規(guī)則這些在內(nèi)部網(wǎng)絡的客戶機有一個網(wǎng)絡地址解析。 但是，這并不意 味著允許他們訪問。他們現(xiàn)在需要一個允許他們訪問外部網(wǎng)絡 (互連 網(wǎng))的規(guī)則。這個規(guī)則還將允許返回的通信。要制定一個允許這些客戶機訪問端口80的規(guī)則，你可以輸入如 下命令：PIX1(config)# access-list outbound permit tcp 10.0.0.0255.0.0.0 any eq 80PIX1(config)# access-group outbound in interface insidePIX1(config)#注意：與路由器訪問列表不同，