Cisco PI_防火墙的安装流程.doc

Cisco PIX防火墙的安装流程 Cisco PIX防火墙的安装流程1. 将PIX安放至机架，经检测电源系统后接上电源，并加电主机。 2. 将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入 PIX系统；此时系统提示pixfirewall。 3. 输入命令：enable,进入特权模式，此时系统提示为pixfirewall#。 4. 输入命令： configure terminal,对系统进行初始化设置。 5. 配置以太口参数： interface ethernet0 auto （auto选项表明系统自适应网卡类型 ） interface ethernet1 auto 6. 配置内外网卡的IP地址： ip address inside ip_address netmask ip address outside ip_address netmask 7. 指定外部地址范围： global 1 ip_address-ip_address 8. 指定要进行要转换的内部地址： nat 1 ip_address netmask 9. 设置指向内部网和外部网的缺省路由 route inside 0 0 inside_default_router_ip_address route outside 0 0 outside_default_router_ip_address 10. 配置静态IP地址对映： static outside ip_addressinside ip_address 11. 设置某些控制选项： conduit global_ip port-port protocol foreign_ip netmask global_ip 指的是要控制的地址 port指的是所作用的端口，其中0代表所有端口 protocol指的是连接协议，比如：TCP、UDP等 foreign_ip表示可访问global_ip的外部ip，其中表示所有的ip。 12. 设置telnet选项： telnet local_ip netmask local_ip表示被允许通过telnet访问到pix的ip地址（如果不设此项，PIX的配置只能由consle方式进行）。 13. 将配置保存： wr mem 14. 几个常用的网络测试命令： #ping #show interface查看端口状态 #show static 查看静态地址映射 Cisco PIX 520 是一款性能良好的网络安全产品，如果再加上Check Point 的软件防火墙组成两道防护，可以得到更加完善的安全防范。 主要用于局域网的外连设备（如路由器、拨号访问服务器等）与内部网络之间，实现内部网络的安全防范，避免来自外部的恶意攻击。Cisco PIX 520的默认配置允许从内到外的所有信息请求，拒绝一切外来的主动访问，只允许内部信息的反馈信息进入。当然也可以通过某些设置，例如：访问表等，允许外部的访问。因为，远程用户的访问需要从外到内的访问。另外，可以通过NAT地址转换，实现公有地址和私有地址的转换。简单地讲，PIX 520的主要功能有两点：1.实现网络安全2.实现地址转换 下面简单列出PIX 520 的基本配置1.Configure without NAT nameif ethernet0 outside security0nameif ethernet1 inside security100interface ethernet0 autointerface ethernet1 auto ip address outside (假设对外端口地址) ip address inside (假设内部网络为:)hostname bluegardenarp timeout 14400no failover namespager lines 24 logging buffered debugging nat (inside) 0 0 0rip inside default no rip inside passive no rip outside default rip outside passiveroute outside 1(外连设备的内部端口地址)timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absoluteno snmp-server location no snmp-server contact snmp-server community publicmtu outside 1500 mtu inside 1500 2.Configure with NATnameif ethernet0 outside security0nameif ethernet1 inside security100interface ethernet0 autointerface ethernet1 auto ip address outside (假设对外端口地址) ip address inside (假设内部网络为:) hostname bluegardenarp timeout 14400no failover namespager lines 24 logging buffered debugging nat (inside) 1 0 0global (outside) 1 0-0 global (outside) 1 1no rip inside default no rip inside passive no rip outside default no rip outside passiveconduit permit icmp any any route outside 1(外连设备的内部端口地址)timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absoluteno snmp-server location no snmp-server contact snmp-server community publicmtu outside 1500 mtu inside 1500 Cisco PIX 的多点服务配置结构图如下:PIX 520Two Interface Multiple Server Configurationnameif ethernet0 outside security0nameif ethernet0 inside security100interface ethernet0 autointerface ethernet1 autoip address inside ip address outside 0 logging onlogging host 1logging trap 7logging facility 20no logging consolearp timeout 600nat (inside) 1 nat (inside) 2 global (outside) 1 5-7global (outside) 1 4global (outside) 2 -54conduit permit icmp any anyoutbound 10 deny 55 1720outbound 10 deny 0 0 80outbound 10 permit 55 80outbound 10 deny 55 javaoutbound 10 permit 1 55 80apply (inside) 10 outgoing_srcno rip outside passiveno rip outside defaultrip inside passiverip inside defaultroute outside 0 0 .1tacacs-server host 2 lq2w3eaaa authentication any inside 0 0 tacacs+aaa authentication any inside 0 0static (inside,outside) netmask conduit permit tcp eg h323 anystatic (inside,outside) 9 1conduit permit tcp host 9 eq 80 anyconduit permit udp host 9 eq rpc host 7conduit permit udp host 9 eq 2049 host 7static (inside.outside) 0 netmask 55 10 10conduit permit tcp host 0 eq smtp anyconduit permit tcp host 0 eq 113 anysnmp-server host snmp-server location building 42snmp-server contact polly hedrasnmp-server community ohwhatakeyistheetelnet 1 55telnet CISCO PIX 防 火 墙 配 置 实 践 - 介 绍 一 个PIX 防 火 墙 实 际 配 置 案 例， 因 为 路 由 器 的 配置在 安 全 性 方 面 和PIX 防 火 墙 是 相 辅 相 成 的， 所 以 路 由器的 配 置 实 例 也 一 并 列 出。PIX 防 火 墙设 置PIX 防 火 墙 的 外 部地址：ip address outside 设 置PIX 防 火 墙 的 内 部地址：ip address inside 设 置 一 个 内 部 计 算机与Internet 上 计 算 机 进 行 通 信 时 所 需 的 全 局 地 址池：global 1 0-54允 许 网 络 地 址 为 的网段 地 址 被PIX 翻 译 成 外 部 地 址：nat 1 网 管 工 作 站 固 定 使 用 的 外部地 址 为1：static 1 0允 许 从RTRA 发 送 到 到 网 管 工作站 的 系 统 日 志 包 通 过PIX 防 火 墙：conduit 1 514 udp 55允 许 从 外 部 发 起 的 对 邮 件服务 器 的 连 接（0）：mailhost 0 允 许 网 络 管 理 员 通 过 远 程登录 管 理IPX 防 火 墙：telnet 0在 位 于 网 管 工 作 站 上 的 日志服 务 器 上 记 录 所 有 事 件 日 志：syslog facility 20.7syslog host 0路 由 器 RTRA-RTRA 是 外 部 防 护 路 由器，它 必 须 保 护PIX 防 火 墙 免 受 直 接 攻 击， 保 护FTP/HTTP 服务器， 同 时 作 为 一 个 警 报 系 统， 如 果 有 人 攻 入 此 路由器， 管 理 可 以 立 即 被 通 知。阻 止 一 些 对 路 由 器 本 身 的攻击：no service tcp small-servers强 制 路 由 器 向 系 统 日 志 服务器 发 送 在 此 路 由 器 发 生 的 每 一 个 事 件， 包 括 被 存 取列表 拒 绝 的 包 和 路 由 器 配 置 的 改 变； 这 个 动 作 可 以 作为对 系 统 管 理 员 的 早 期 预 警， 预 示 有 人 在 试 图 攻 击 路由器， 或 者 已 经 攻 入 路 由 器， 正 在 试 图 攻 击 防 火墙：logging trap debugging此 地 址 是 网 管 工 作 站 的 外部地 址， 路 由 器 将 记 录 所 有 事 件 到 此 主 机 上：logging 1保 护PIX 防 火 墙 和HTTP/FTP 服务器 以 及 防 卫 欺 骗 攻 击（ 见 存 取 列 表）： enable secret xxxxxxxxxxx interface Ethernet 0 ip address interface Serial 0 ip unnumbered ethernet 0 ip access-group 110 in禁 止 任 何 显 示 为 来 源 于 路由器RTRA 和PIX 防 火 墙 之 间 的 信 息 包， 这 可 以 防 止 欺 骗攻击：access-list 110 deny ip 55 any log防 止 对PIX 防 火 墙 外 部 接 口的直 接 攻 击 并 记 录 到 系 统 日 志 服 务 器 任 何 企 图 连 接PIX 防 火 墙 外 部 接 口 的 事 件：access-list 110 deny ip any host log允 许 已 经 建 立 的TCP 会 话 的信息 包 通 过：access-list 110 permit tcp any 55 established允 许 和FTP/HTTP 服 务 器 的FTP 连接：access-list 110 permit tcp any host eq ftp允 许 和FTP/HTTP 服 务 器 的FTP 数据 连 接：access-list 110 permit tcp any host eq ftp-data允 许 和FTP/HTTP 服 务 器 的HTTP 连接：access-list 110 permit tcp any host eq www禁 止 和FTP/HTTP 服 务 器 的 别的连 接 并 记 录 到 系 统 日 志 服 务 器 任 何 企 图 连 接FTP/HTTP 的事 件：access-list 110 deny ip any host log允 许 其 他 预 定 在PIX 防 火 墙和路 由 器RTRA 之 间 的 流 量：access-list 110 permit ip any 55限 制 可 以 远 程 登 录 到 此 路由器 的IP 地 址： line vty 0 4 login password xxxxxxxxxx access-class 10 in只 允 许 网 管 工 作 站 远 程 登录到 此 路 由 器， 当 你 想 从Internet 管 理 此 路 由 器 时， 应对此 存 取 控 制 列 表 进 行 修 改：access-list 10 permit ip 1路 由 器 RTRB-RTRB 是 内 部 网 防 护 路由器， 它 是 你 的 防 火 墙 的 最 后 一 道 防 线， 是 进 入 内 部网的 入 口。记 录 此 路 由 器 上 的 所 有 活动到 网 管 工 作 站 上 的 日 志 服 务 器， 包 括 配 置 的 修改：logging trap debugginglogging 0允 许 通 向 网 管 工 作 站 的 系统日 志 信 息： interface Ethernet 0 ip address no ip proxy-arp ip access-group 110 in access-list 110 permit udp host 55禁 止 所 有 别 的 从PIX 防 火 墙发来 的 信 息 包：access-list 110 deny ip