實驗四、防火墻的基本配置

實驗四、防火墻的基本配置實驗?zāi)康耐ㄟ^對防火墻系統(tǒng)的安裝與配置實驗，加深對防火墻系統(tǒng)工作原理理解，掌握其常見產(chǎn)品的安裝與配置方法，為將來從事網(wǎng)絡(luò)工程建設(shè)打下基礎(chǔ)。實驗要求通過本實驗，熟悉防火墻的有關(guān)概念和基本功能，掌握防火墻的基本參數(shù)配置方法和安全策略配置方法。實驗步驟Ciscofirewallpix防火墻的配置主要包括基本參數(shù)的配置和安全規(guī)則配置。對防火墻進行配置一般有兩種途徑，即通過串口通信進行本地配置和通過網(wǎng)絡(luò)進行遠(yuǎn)程配置，但后一種配置方法只有在前一種配置成功后才可進行，下面分別講述。3.1實驗準(zhǔn)備準(zhǔn)備以下實驗設(shè)備：?用于配置和測試的計算機兩臺以上（安裝Windows操作系統(tǒng)），最好有一臺筆記本電腦；?防火墻系統(tǒng)一臺以上（本實驗中采用思科的PIX506系列防火墻）；?直連網(wǎng)線若干根；?RS-232C串行通信線一根；3.2以太網(wǎng)接口的配置我們采用本地配置的方式對防火墻進行配置，連接步驟與交換機的配置過程類似，在此不再重復(fù)。如果連接正常且防火墻已啟動的情況下，在超級終端窗口上就會出現(xiàn)如下所示的信息：UserAccessVerificationPassword:輸入口令（缺省口令為cisco）后就可進入一般用戶命令狀態(tài)（提示符為＞），為了對防火墻參數(shù)進行配置，需要進入特權(quán)用戶狀態(tài)，PIX出廠時特權(quán)用戶密碼為空，修改密碼用passwd命令：PIX>enable 〃進入特權(quán)用戶狀態(tài)Password:PIX#在默認(rèn)情況下，ethernet0是屬外部網(wǎng)卡outside,ethernetl是屬內(nèi)部網(wǎng)卡inside,inside已經(jīng)被激活生效了，但是outside必須通過命令激活?！ㄟM入配置狀態(tài)PIX#configt〃激活以太接口PIX(config)#interfaceethernet0autoPIX(config)#interfaceethernet1auto〃關(guān)閉以太接口PIX(config)#interfaeeethernet0shutdownPIX(config)#interfaceethernetlshutdown〃配置IP地址和子網(wǎng)掩碼假設(shè)內(nèi)部網(wǎng)絡(luò)為：，外部網(wǎng)絡(luò)為：：PIX(config)#ipaddressinsidePIX(config)#ipaddressoutside//定義安全級別security0是外部端口outside的安全級別(0安全級別最高)，security100是內(nèi)部端口inside的安全級別，如果還有其他以太口，則可以 security10，security20等命名：PIX(config)#nameifethernet。outsidesecurity0PIX(config)#nameifethernet1insidesecurity100〃如果PIX有三個接口，則可將一個以太口作為dmz(demilitarizedzones非武裝區(qū)域)，安全級別50：PIX(config)#nameifethernet2dmzsecurity50//配置遠(yuǎn)程訪問[telnet]在默認(rèn)情況下，PIX的以太端口不允許telnet，可使用下面的命令允許：PIX(config)#telnetinsidePIX(config)#telnetoutside3.3訪問控制配置訪問列表是防火墻的主要功能配置部分，防火墻有permit和deny兩種訪問控制權(quán)限，可控制的網(wǎng)絡(luò)協(xié)議一般有ip、tcp、udp、icmp等。例如，在內(nèi)網(wǎng)只允許訪問外網(wǎng)主機:54的www服務(wù)：PIX(config)#access-list100permitipanyhost54eqwwwPIX(config)#access-list100denyipanyanyPIX(config)#access-group100ininterfaceoutside訪問規(guī)則一般通過GUI界面來配置比較直觀和方便，PIX缺省時內(nèi)部端口ethernet1的IP為，這樣可以通過瀏覽器的https協(xié)議來訪問PIX的WEB配置界面(缺省時用戶名和密碼為空)并根據(jù)界面的提示信息來配置PIX防火墻系統(tǒng)：https://192.168.L1/startup.html3.4全局地址配置global命令用于定義內(nèi)部網(wǎng)或外部網(wǎng)中一個IP地址或一段地址范圍，以便在網(wǎng)絡(luò)地址轉(zhuǎn)換時使用。global命令的語法規(guī)則為：global(if_name)Nat_IDip_address-ip_address[netmarkglobal_mask]其中(if_name)表示網(wǎng)絡(luò)接口名字(如outside)，Nat_ID用來標(biāo)識定義的地址池，ip_address-ip_address表示單個ip地址或一段ip地址范圍，[netmarkglobal_mask]表示全局ip地址的網(wǎng)絡(luò)掩碼。例如：〃定義從5至08的全局外網(wǎng)IP地址池，Nat_ID編號為100：PIX(config)#global(outside)1005-8〃定義一個全局外網(wǎng)IP地址5，Nat_ID編號為200：PIX(config)#global(outside)2005netmask〃刪除一個Nat_ID編號為200全局IP地址：PIX(config)#noglobal(outside)20053.5動態(tài)地址轉(zhuǎn)換動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)作用是將內(nèi)網(wǎng)的私有IP地址轉(zhuǎn)換為外網(wǎng)的公有IP地址，這樣，內(nèi)部網(wǎng)絡(luò)的用戶就可以訪問外部網(wǎng)絡(luò)了。nat命令總是與global命令一起使用，所以，為了進行地址轉(zhuǎn)換(NAT)，必須先用global定義IP池。nat命令語法規(guī)則為：nat(if_name)nat_idlocal_ip[netmark]其中(if_name)表示網(wǎng)絡(luò)接口名字(例如inside)，Nat_id為全局地址池編號，local_ip表示本地被轉(zhuǎn)換的ip地址，用表示所有主機，[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。例如：〃將內(nèi)網(wǎng)的所有主機都映射到外網(wǎng)地址，也就是說可以訪問外網(wǎng)：PIX(config)#nat(inside)100 0 0或：PIX(config)#nat(inside)100〃只允許這個網(wǎng)段內(nèi)的主機可以訪問外網(wǎng)。PIX(config)#nat(inside)1003.6靜態(tài)地址轉(zhuǎn)換如果需要從外網(wǎng)訪問內(nèi)網(wǎng)的一個固定IP地址，可以使用靜態(tài)地址轉(zhuǎn)換，把該內(nèi)部地址固定轉(zhuǎn)換成一個指定的外部地址。static命令語法規(guī)則為：static(internal_if_name，external_if_name)outside_ip_addrinside_ip_addr其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口(如inside)，external_if_name為外部網(wǎng)絡(luò)接口(如outside)，outside_ip_addr為外部網(wǎng)絡(luò)上的IP地址，inside_ip_addr為內(nèi)部網(wǎng)絡(luò)的IP地址。例如：〃將內(nèi)部地址為的主機固定轉(zhuǎn)換為2這個全局地址，外網(wǎng)用戶訪問IP地址2實際上是訪問內(nèi)部地址。PIX(config)#static(inside,outside)2 3.7靜態(tài)端口轉(zhuǎn)換在PIX版本6.0以上，增加了靜態(tài)端口轉(zhuǎn)換(或稱為重定向)的功能，與靜態(tài)地址轉(zhuǎn)換的功能類似，允許外部用戶通過一個特殊的IP地址/端口透過防火墻訪問內(nèi)部指定的內(nèi)部服務(wù)器。該功能可方便發(fā)布內(nèi)部的www、ftp、mail等服務(wù)器，同時又保持內(nèi)部服務(wù)器的安全性。命令語法規(guī)則為：static[(internal_if_name,external_if_name)]{global_ip|interface}local_ip[netmaskmask][max_cons[max_cons[emb_limit[norandomseq]]]static[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}local_ip[netmaskmask][max_cons[max_cons[emb_limit[norandomseq]]]例如：〃外部用戶直接訪問地址9telnet端口，通過pix重定向到內(nèi)部主機9的telnet端口(23)。PIX(config)#static(inside,outside) tcp9telnet9telnetnetmask5500〃外部用戶直接訪問地址9ftp，通過pix重定向到內(nèi)部的ftpserver。PIX(config)#static(inside,outside)tcp9ftpftpnetmask5500〃外部用戶直接訪問地址08www(即80端口)，通過pix重定向到內(nèi)部192.168.123的主機的www(即80端口)。PIX(config)#static(inside,outside)tcp08wwwwwwnetmask5500〃外部用戶直接訪問地址01http(8080端口)，通過pix重定向到內(nèi)部的主機的www(即80端口)。PIX(config)#static(inside,outside)tcp08 8080wwwnetmask5500〃外部用戶直接訪問地址smtp(25端口)，通過pix重定向到內(nèi)部的郵件主機的smtp(即25端口)PIX(config)#static(inside,outside)tcp08smtpsmtpnetmask55003.8管道命令使用static命令可以在一個本地ip地址和一個全局ip地址之間創(chuàng)建了一個靜態(tài)映射，但從外部到內(nèi)部接口的連接仍然會被pix防火墻的自適應(yīng)安全算法(ASA)阻擋，conduit命令用來允許數(shù)據(jù)流從具有較低安全級別的接口流向具有較高安全級別的接口，對于向內(nèi)部接口的連接,static和conduit命令將一起使用。conduit命令語法規(guī)則：conduitpermitldenyglobal_ipport[-port]protocolforeign_ip[netmask]其中permit|deny為允許或拒絕訪問，global_ip是由global或static命令定義的全局ip地址，port指的是服務(wù)端口如www等，protocol指的是連接協(xié)議如TCP、UDP、ICMP等，foreign_ip表示可訪問global_ip的外部IP。例如：〃允許任何外部主機對地址為的主機進行http訪問PIX(config)#conduitpermittcphosteqwwwany〃不允許外部主機9對任何全局地址進行ftp訪問PIX(config)#conduitdenytcpanyeqftphost9〃設(shè)置允許icmp消息向內(nèi)部和外部通過PIX(config)#conduitpermiticmpanyany〃允許外網(wǎng)的用戶能夠通過pix防火墻訪問內(nèi)部主機上web服務(wù)，所以先做static靜態(tài)映射把內(nèi)部IP轉(zhuǎn)換為全局IP2，然后利用conduit命令允許任何外部主機對全局地址2進行http訪問。PIX(config)#static(inside,outside)2PIX(config)#conduitpermittcphost2eqwwwany3.9路由配置route命令定義一條靜態(tài)路由。route命令配置語法：route(if_name)00gateway_ip[metric]其中(if_name)表示接口名字，例如inside，outside，gateway_ip表示網(wǎng)關(guān)IP地址，[metric]表示到gateway_ip的跳數(shù)。通常缺省是1。例如：〃設(shè)置一條指向邊界路由器(IP地址)的缺省路由PIX(config)#routeoutside001〃設(shè)置一條指向內(nèi)部的路由PIX(config)#routeinside13.10配置fixup協(xié)議fixup