CiscoPIX防火墙配置命令大全.doc

一、PIX防火墙的认识PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。PIX防火墙常见接口有：console、Failover、Ethernet、USB。网络区域：内部网络：inside外部网络：outside中间区域：称DMZ(停火区)。放置对外开放的服务器。二、防火墙的配置规则没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)inside可以访问任何outside和dmz区域。dmz可以访问outside区域。inside访问dmz需要配合static(静态地址转换)。outside访问dmz需要配合acl(访问控制列表)。三、PIX防火墙的配置模式PIX防火墙的配置模式与路由器类似，有4种管理模式：PIXfirewall：用户模式PIXfirewall#：特权模式PIXfirewall(config)#：配置模式monitor：ROM监视模式，开机按住Esc键或发送一个“Break”字符，进入监视模式。四、PIX基本配置命令常用命令有：nameif、interface、ipaddress、nat、global、route、static等。1、nameif设置接口名称，并指定安全级别，安全级别取值范围为1100，数字越大安全级别越高。例如要求设置：ethernet0命名为外部接口outside，安全级别是0。ethernet1命名为内部接口inside，安全级别是100。ethernet2命名为中间接口dmz,安装级别为50。使用命令：PIX525(config)#nameifethernet0outsidesecurity0PIX525(config)#nameifethernet1insidesecurity100PIX525(config)#nameifethernet2dmzsecurity502、interface配置以太口工作状态，常见状态有：auto、100full、shutdown。auto：设置网卡工作在自适应状态。100full：设置网卡工作在100Mbit/s，全双工状态。shutdown：设置网卡接口关闭，否则为激活。命令：PIX525(config)#interfaceethernet0autoPIX525(config)#interfaceethernet1100fullPIX525(config)#interfaceethernet1100fullshutdown3、ipaddress配置网络接口的IP地址，例如：PIX525(config)#ipaddressoutside52PIX525(config)#ipaddressinside内网inside接口使用私有地址，外网outside接口使用公网地址。4、global指定公网地址范围：定义地址池。Global命令的配置语法：global(if_name)nat_idip_address-ip_addressnetmarkglobal_mask其中：(if_name)：表示外网接口名称，一般为outside。nat_id：建立的地址池标识(nat要引用)。ip_address-ip_address：表示一段ip地址范围。netmarkglobal_mask：表示全局ip地址的网络掩码。例如：PIX525(config)#global(outside)1-5地址池1对应的IP是：-5PIX525(config)#global(outside)1地址池1只有一个IP地址。PIX525(config)#noglobal(outside)1表示删除这个全局表项。5、nat地址转换命令，将内网的私有ip转换为外网公网ip。nat命令配置语法：nat(if_name)nat_idlocal_ipnetmark其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。local_ip：表示内网的ip地址。对于表示内网所有主机。netmark：表示内网ip地址的子网掩码。在实际配置中nat命令总是与global命令配合使用。一个指定外部网络，一个指定内部网络，通过net_id联系在一起。例如：PIX525(config)#nat(inside)100表示内网的所有主机(00)都可以访问由global指定的外网。PIX525(config)#nat(inside)1表示只有/16网段的主机可以访问global指定的外网。6、routeroute命令定义静态路由。语法：route(if_name)00gateway_ipmetric其中：(if_name)：表示接口名称。00：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。metric：路由花费。缺省值是1。例如：PIX525(config)#routeoutside001设置缺省路由从outside口送出，下一跳是。00代表，表示任意网络。PIX525(config)#routeinside1设置到网络下一跳是。最后的“1”是花费。7、static配置静态IP地址翻译，使内部地址与外部地址一一对应。语法：static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name表示外部网络接口，安全级别较低，如outside。outside_ip_address表示外部网络的公有ip地址。inside_ip_address表示内部网络的本地ip地址。(括号内序顺是先内后外，外边的顺序是先外后内)例如：PIX525(config)#static(inside，outside)表示内部ip地址，访问外部时被翻译成全局地址。PIX525(config)#static(dmz，outside)中间区域ip地址，访问外部时被翻译成全局地址。8、conduit管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。语法：conduitpermit|denyprotocolglobal_ipport-portforeign_ipnetmask其中：global_ip是一台主机时前面加host参数，所有主机时用any表示。foreign_ip表示外部mask表示可以是一台主机或一个网络。例如：PIX525(config)#static(inside，outside)PIX525(config)#conduitpermittcphosteqwwwany这个例子说明static和conduit的关系。是内网一台web服务器，现在希望外网的用户能够通过PIX防火墙访问web服务。所以先做static静态映射：然后利用conduit命令允许任何外部主机对全局地址进行http访问。9、访问控制列表ACL访问控制列表的命令与couduit命令类似，例：PIX525(config)#access-list100permitipanyhosteqwwwPIX525(config)#access-list100denyipanyanyPIX525(config)#access-group100ininterfaceoutside10、侦听命令fixup作用是启用或禁止一个服务或协议，通过指定端口设置PIX防火墙要侦听listen服务的端口。例：PIX525(config)#fixupprotocolftp21启用ftp协议，并指定ftp的端口号为21PIX525(config)#fixupprotocolhttp8080PIX525(config)#nofixupprotocolhttp80启用http协议8080端口，禁止80端口。11、telnet当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。例：telnetlocal_ipnetmasklocal_ip表示被授权可以通过telnet访问到PIX的ip地址。如果不设此项，PIX的配置方式只能用console口接超级终端进行。12、显示命令：showinterface；查看端口状态。showstatic；查看静态地址映射。showip；查看接口ip地址。showconfig；查看配置信息。showrun；显示当前配置信息。writeterminal；将当前配置信息写到终端。showcpuusage；显示CPU利用率，排查故障时常用。showtraffic；查看流量。showblocks；显示拦截的数据包。showmem；显示内存13、DHCP服务PIX具有DHCP服务功能。例：PIX525(config)#ipaddressdhcpPIX525(config)#dhcpdaddress00-00insidePIX525(config)#dhcpdns87PIX525(config)#五、PIX防火墙举例设：ethernet0命名为外部接口outside，安全级别是0。ethernet1被命名为内部接口inside，安全级别100。ethernet2被命名为中间接口dmz，安全级别50。PIX525#conftPIX525(config)#nameifethernet0outsidesecurity0PIX525(config)#nameifethernet1insidesecurity100PIX525(config)#nameifethernet2dmzsecurity50PIX525(config)#interfaceethernet0autoPIX525(config)#interfaceethernet1100fullPIX525(config)#interfaceethernet2100fullPIX525(config)#ipaddressoutside52;设置接口IPPIX525(config)#ipaddressinside00;设置接口IPPIX525(config)#ipaddressdmz00;设置接口IPPIX525(config)#global(outside)1-4;定义的地址池PIX525(config)#nat(inside)100;00表示所有PIX525(config)#routeoutside00;设置默认路由PIX525(config)#static(dmz，outside)01;静态NATPIX525(config)#static(dmz，outside)02;静态NATPIX525(config)#static(inside，dmz)0000;静态NATPIX525(config)#access-list101permitipanyhosteqwww;设置ACLPIX525(config)#access-list101permitipanyhosteqftp;设置ACLPIX525(config)#access-list101denyipanyany;设置ACLPIX525(config)#access-group101ininterfaceoutside;将ACL应用在outside端口当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会映射成地址池的IP，到外部去找。当外部主机访问中间区域dmz时，对映射成01，static是双向的。PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。静态路由指示内部的主机和dmz的数据包从outside口出去。 Cisco pix515配置实例一、引言硬件防火墙的应用，现在是越来越多，产品也很丰富。一般国产的防火墙多带有中文的说明和一些相应的配置实例，但国外的产品几乎都没有中文的说明书，这对一个初学者来说，尤其是中国的用户，是很不方便的，所以只好请专业人士来调试了。本院一毕业生的单位就添置了一台Cisco fix515的防火墙，他请笔者帮忙，借此机会，我将详细的配置写下来，作为教学的一实际案例。二、物理连接Pix515的外观：是一种标准的机架式设备，高度为2U，电源开关和接线在背后。正面有一些指示灯，如电源、工作是否正常的表示等；背面板有一些接口和扩展口，我们这次要用到的接口有三个：两个以太（RJ-45网卡）和一个配置口，其英文分别是：ETHERNET0、ETHERNET1和CONSOLE。先将防火墙固定在机架上，接好电源；用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。注意：该线缆是扁平的，一端是RJ-45接口，要接在防火墙的console端口；另一端是串口，要接到笔记本的串口上。三、初始化配置程序启动笔记本，防火墙通电。1新建一个超级终端运行windows里的超级终端程序。其步骤如下：单击开始所有程序附件通讯超级终端，就会出现对话框：此时需要输入一个所建超级终端的名称，可输PIX515 ；出现下一对话框：需要选择串口的端口，我们选择com1；出现下一对话框：需要选择传输速率，我们选择9600。2基本配置此时，出现超级终端对话框，按对应提示填写：Password(口令)：自定。Year(年)：2004 Moth(月)：Feb Day(天)：20 Time(时间)：10：21：30 Inside IP address(内部IP地址) ：Inside network mask(内部掩码)：Host name(主机名称)：FIX515Domain name(主域)：YCZD.COM.CN随后出现以上设置的总结，提示是否保存。选择YES，存入到flash。四、具体配置在配置之前，需要了解一些具体的需求。在本实例中，该单位是通过防火墙接入到Internet，防火墙要有路由的功能;net1接外网，net0接内网。电信给的IP 地址为：431共8个地址：GW(网关)： 5；掩码： 48。内部IP地址：192.168.10.X；掩码：；GW：。具体配置如下：启动超级终端程序FIX515，出现一提示符“-”，此时要按回车键，就出现 fix515提示符，输入命令：enable；出现password：；进入特权模式，此时系统提示为fix5153#。输入命令：configure terminal，对系统进行初始化设置。出现fix515(config)#提示符。以下的配置都在此提示符下进行。1配置网络端口fix515(config)# interface ethernet0 auto fix515(config)# interface ethernet1 autoauto选项表明端口eth0和eth1为自适应。2定义安全级别fix515(config)# nameif ethernet1 outside security 0fix515(config)# nameif ethernet0 inside security 100外网的安全级别为最低，内网的安全级别为最高。3配置内、外端口的IP地址fix515(config)# ip address inside 55.0fix515(config)# ip address outside 6 48内部为；外部为6。4指定要转换的内部地址fix515(config)# nat(inside) 1 表示内部全部地址都可以转换出去。5指定外部地址范围fix515(config)# global(ou