Cisco Pix防火墙实验.doc

Cisco PIX 防火墙实验试验一. PIX的基本操作Ethernet linkPIXFirewallPC, workstation, or server一、 PIX防火墙的认识PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。PIX防火墙常见接口有：console、Failover、Ethernet、USB。网络区域：内部网络：inside外部网络：outside中间区域：称DMZ(停火区)，放置对外开放的服务器。二、防火墙的配置规则没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)inside可以访问任何outside和dmz区域。dmz可以访问outside区域。inside访问dmz需要配合static(静态地址转换)。outside访问dmz需要配合acl(访问控制列表)。三、PIX防火墙的配置模式PIX防火墙的配置模式与路由器类似，有4种管理模式：PIXfirewall：用户模式PIXfirewall#：特权模式PIXfirewall(config)#：配置模式monitor：ROM监视模式，开机按住Esc键或发送一个“Break”字符，进入监视模式四、PIX基本配置命令常用命令有：nameif、interface、ipaddress、nat、global、route、static等。基本命令解析与举例： 1、nameif设置接口名称，并指定安全级别，安全级别取值范围为1100，数字越大安全级别越高。例如要求设置：ethernet0命名为外部接口outside，安全级别是0。ethernet1命名为内部接口inside，安全级别是100。ethernet2命名为中间接口dmz, 安装级别为50。使用命令：PIX525(config)# interface ethernet 0PIX525(config-if)# nameif outsidePIX525(config-if)# security-level 0PIX525(config)# interface ethernet 1PIX525(config-if)# nameif insidePIX525(config-if)# security-level 100PIX525(config)# interface ethernet 2PIX525(config-if)# nameif dmzPIX525(config-if)# security-level 502、interface配置以太口工作状态，常见状态有：auto、100full、shutdown。auto：设置网卡工作在自适应状态。100full：设置网卡工作在100Mbit/s，全双工状态。shutdown：设置网卡接口关闭，否则为激活。命令：PIX525(config)#interface ethernet0PIX525 (config-if)# speed auto PIX525(config)#interface ethernet1PIX525 (config-if)# speed 100 3、ip address配置网络接口的IP地址，例如：PIX525(config)#ip address 52PIX525(config)#ip address 内网inside接口使用私有地址，外网outside接口使用公网地址。4、nat地址转换命令，将内网的私有ip转换为外网公网ip。nat命令配置语法：nat(if_name)nat_idlocal_ipnetmark其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。local_ip：表示内网的ip地址。对于表示内网所有主机。netmark：表示内网ip地址的子网掩码。在实际配置中nat命令总是与global命令配合使用。一个指定外部网络，一个指定内部网络，通过net_id联系在一起。例如：PIX525(config)#nat (inside) 1 表示内网的所有主机都可以访问由global指定的外网。PIX525(config)#nat (outside) 1 表示只有/16网段的主机可以访问global指定的外网。5、global指定公网地址范围：定义地址池。Global命令的配置语法：global(if_name)nat_idip_address-ip_addressnetmarkglobal_mask其中：(if_name)：表示外网接口名称，一般为outside。nat_id：建立的地址池标识(nat要引用)。ip_address-ip_address：表示一段ip地址范围。netmarkglobal_mask：表示全局ip地址的网络掩码。例如：PIX525(config)#global (outside) 1 -5地址池1对应的IP是：-5PIX525(config)#global (outside) 1 地址池1只有一个IP地址。PIX525(config)#no global (outside) 1 表示删除这个全局表项。6、routeroute命令定义静态路由。语法：route(if_name)00gateway_ipmetric其中：(if_name)：表示接口名称。00：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。metric：路由花费。缺省值是1。例如：PIX525(config)#route outside 1设置缺省路由从outside口送出，下一跳是。00代表 ，表示任意网络。PIX525(config)#route inside 1设置到网络下一跳是。最后的“1”是花费。7、static配置静态IP地址翻译，使内部地址与外部地址一一对应。语法：static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name表示外部网络接口，安全级别较低，如outside。outside_ip_address表示外部网络的公有ip地址。inside_ip_address表示内部网络的本地ip地址。(括号内序顺是先内后外，外边的顺序是先外后内)例如：PIX525(config)#static (inside，outside) 表示内部ip地址，访问外部时被翻译成全局地址。PIX525(config)#static (dmz，outside) 中间区域ip地址，访问外部时被翻译成全局地址。8、conduit管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。语法：conduitpermit|denyprotocolglobal_ipport-portforeign_ipnetmask其中：global_ip是一台主机时前面加host参数，所有主机时用any表示。foreign_ip表示外部mask表示可以是一台主机或一个网络。例如：PIX525(config)#static (inside,outside) PIX525(config)#conduit permit tcp host eq www any这个例子说明static和conduit的关系。是内网一台web服务器，现在希望外网的用户能够通过PIX防火墙访问web服务。所以先做static静态映射：然后利用conduit命令允许任何外部主机对全局地址进行http访问。9、访问控制列表ACL访问控制列表的命令与couduit命令类似，例：PIX525(config)#access-list 100 permit ip any host eq wwwPIX525(config)#access-list 100 deny ip any anyPIX525(config)#access-group 100 in interface outside10、侦听命令fixup作用是启用或禁止一个服务或协议，通过指定端口设置PIX防火墙要侦听listen服务的端口。例：PIX525(config)#fixup protocol ftp 21启用ftp协议，并指定ftp的端口号为21PIX525(config)#fixup protocol http 8080PIX525(config)#no fixup protocol http 80启用http协议8080端口，禁止80端口。11、telnet当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。例：telnetlocal_ipnetmasklocal_ip表示被授权可以通过telnet访问到PIX的ip地址。如果不设此项，PIX的配置方式只能用console口接超级终端进行。12、显示命令：showinterface；查看端口状态。showstatic；查看静态地址映射。showip；查看接口ip地址。showconfig；查看配置信息。showrun；显示当前配置信息。writeterminal；将当前配置信息写到终端。showcpuusage；显示CPU利用率，排查故障时常用。showtraffic；查看流量。showblocks；显示拦截的数据包。showmem；显示内存常用命令列表：. a.hostname 设置名称命令 if 设置接口名称和优先级 erface 激活接口 d.ip add 设置接口IP地址 e.route 设置静态路由 f.passwd enable pass 设置远程访问的密码 g.wr mem 保持配置 h.wr erase 清除配置 i.reload 重新启动 实验过程练习：进入PIX系统；此时系统提示pixfirewall。pixfirewall enPassword: 直接进入没有密码，第一次，出厂没有被设置pixfirewall# conf tpixfirewall(config)# hostname fxh 为路由器配置名字fxh(config)# sh nameif 查询接口名字nameif ethernet0 outside security 0nameif ethernet1 inside security100#设置接口名称，并指定安全级别，安全级别取值范围为1100，数字越大安全级别越高。fxh(config)# sh interface 详细查询接口信息，看看是否链路层起来，是排查错误的必要命令interface ethernet0 outside is administratively down, 说明没有启动接口line protocol is up Hardware is i82558 ethernet, address is 0004.ac15.c562 MTU 1500 bytes, BW 10000 Kbit half duplex 407 packets input, 50763 bytes, 0 no buffer Received 407 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max blocks): hardware (128/128) software (0/0) output queue (curr/max blocks): hardware (0/0) software (0/0)interface ethernet1 inside is administratively down, line protocol is up Hardware is i82558 ethernet, address is 0004.acc5.465b MTU 1500 bytes, BW 10000 Kbit half duplex 407 packets input, 50763 bytes, 0 no buffer Received 407 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max blocks): hardware (128/128) software (0/0) output queue (curr/max blocks): hardware (0/0) software (0/0)fxh(config)# int e0 auto 自动启用接口命令fxh(config)# int e1 autofxh(config)# sh interinterface ethernet0 outside is up, line protocol is up Hardware is i82558 ethernet, address is 0004.ac15.c562 MTU 1500 bytes, BW 10000 Kbit half duplex 410 packets input, 51039 bytes, 0 no buffer Received 410 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max blocks): hardware (128/128) software (0/0) output queue (curr/max blocks): hardware (0/0) software (0/0)interface ethernet1 inside is up, line protocol is up Hardware is i82558 ethernet, address is 0004.acc5.465b MTU 1500 bytes, BW 10000 Kbit half duplex 410 packets input, 51039 bytes, 0 no buffer Received 410 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max blocks): hardware (128/128) software (0/0) output queue (curr/max blocks): hardware (0/0) software (0/0)fxh(config)# inter e0 100 full 手动启动接口的速率和双工模式fxh(config)# inter e1 100 fullfxh(config)# sh interinterface ethernet0 outside is up, line protocol is down Hardware is i82558 ethernet, address is 0004.ac15.c562 MTU 1500 bytes, BW 100000 Kbit full duplex 414 packets input, 51558 bytes, 0 no buffer Received 414 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max blocks): hardware (128/128) software (0/1) output queue (curr/max blocks): hardware (0/0) software (0/0)interface ethernet1 inside is up, line protocol is down Hardware is i82558 ethernet, address is 0004.acc5.465b MTU 1500 bytes, BW 100000 Kbit full duplex 414 packets input, 51558 bytes, 0 no buffer Received 414 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max blocks): hardware (128/128) software (0/1) output queue (curr/max blocks): hardware (0/0) software (0/0)fxh(config)# exitfxh# sh run | in inter 快速的查询命令interface ethernet0 100fullinterface ethernet1 100fullfxh# conf tfxh(config)# ip add outside 25 255.255.0 设置内部和外部接口的命令 fxh(config)# ip add inside 25 fxh(config)# sh ip add 查询设置地址的命令System IP Addresses: ip address outside 25 ip address inside 25 Current IP Addresses: ip address outside 25 ip address inside 25 fxh(config)# ip add outside 25 fxh(config)# sh ip addSystem IP Addresses: ip address outside 25 ip address inside 25 Current IP Addresses: ip address outside 25 ip address inside 25 fxh(config)# sh route outside 25 1 CONNECT static inside 25 1 CONNECT staticfxh(config)# route outside 0 0 24 建立路由的方法，可以让内部的数据穿越PIX到外部去。fxh(config)# route inside 24 控制路由信息的静态路由建立fxh(config)# passwd cisco 建立telnet和ssh登录的密码fxh(config)# en pass cisco 建立enable的密码fxh(config)# exitfxh# disablefxh enPassword: *fxh# wri mem 保存配置信息Building configuration.Cryptochecksum: 3a115dcb 6d5645e4 94c3e380 687a5015 OKfxh# fxh# fxh# fxh# wr era 清除配置信息Erase PIX configuration in flash memory? confirm fxh# fxh# fxh# fxh# reload 重新启动你的PIX试验二. Telnet 实验试验目的：让内部网络的设备和外部网络的设备通过TELNET 访问PIX,并且作出配置。第一步：内部与外部的主机与PIX 的接口通信登陆R1，进行配置：RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hosRouter(config)#hostname OUT #指定它的名称为OUTOUT(config)#intOUT(config)#interface e1/0OUT(config-if)#ip add 24 OUT(config-if)#no shut登陆R2，进行配置：Router(config)#Router(config)#hostname ININ(config)#intIN(config)#interface e1/0IN(config-if)#ip adIN(config-if)#ip address 24 IN(config-if)#no shut登陆防火墙，进行配置：pixfirewallpixfirewall enPassword:pixfirewall# conf tpixfirewall(config)#pixfirewall(config)# int e1pixfirewall(config-if)# nameif inside #指定e 1 端口为insideINFO: Security level for inside set to 100 by default.pixfirewall(config-if)# ip add 25 pixfirewall(config-if)# no shutdownpixfirewall(config)# interface e0pixfirewall(config-if)# nameif outside #指定 e0 端口为outsideINFO: Security level for outside set to 0 by default.pixfirewall(config-if)# ip add 25 pixfirewall(config-if)# no shutdown进行ping 的测试pixfirewall# ping 24Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 24, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/20 mspixfirewall# ping 24Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 24, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 10/14/30 ms第二步配置防火墙上的TELNET 并且让内部网络的机器登录上来PIX(config)# enable pass cisco #建立enable 密码PIX(config)# pass cisco #建立telnet 登录时候的密码验证PIX(config)# telnet 0 0 inside #开启路由器的telnet，让所有内部的人都可以PIX(config)# telnet 0 0 outside #开启路由器的telnet，让所有外部的人都可以“处于安全考虑，telnet 进来这个命令我们一般不去这么用“建立telnet 对应表，限制telnet 访问，只能够24 这个地址的访问。pixfirewall(config)# telnet 24 55 inside测试：IN#telnet 25 #从客户端登录测试并且成功的显示Trying 25 . OpenUser Access VerificationPassword:Type help or ? for a list of available commands.pixfirewallpixfirewall enPassword: *pixfirewall#pixfirewall# q #推出telnet 连接LogoffConnection to 25 closed by foreign hostIN#第三步,从外部接口的设备是不能访问的,因为外部的优先级别为0,需要访问的话,必须进行配置pixfirewall(config)# telnet 24 55 outside #建立telnet 映射表，允许外网地址24 telnet 到防火墙25。OUT#telnet 25Trying 25 .#尝试从外部主机登录，失败了，原因是外部优先级别是0，不可以登录到防火墙上，所以我们必须修改外部pix 上的优先级接口的值。pixfirewall# sh nameif #查看防火墙接口和安全级别Interface Name SecurityEthernet0 outside 0Ethernet1 inside 100pixfirewall(config)# int e0pixfirewall(config-if)#pixfirewall(config-if)# security-level 100 #修改outside端口e0安全级别pixfirewall(config-if)# sh nameifInterface Name SecurityEthernet0 outside 100Ethernet1 inside 100OUT#telnet 25 #试去登录，成功了。Trying 25 . OpenUser Access VerificationPassword:Type help or ? for a list of available commands.pixfirewall试验三 nat + glob这个试验我们主要来讲解NAT 的几种技术:a. 00-10 # 建立globl pool b. pat outside interface # 建立外部端口Natc. access-list # 使用访问控制列表(ping)试验A 的配置过程：pix (config)# nat (inside) 1 pix (config)# global (outside) 1 00-10 netmask pixfirewall(config)# sh nat #查看nat 接口策略NAT policies on Interface inside: match ip inside inside any dynamic translation to pool 1 (No matching global) translate_hits = 0, untranslate_hits = 0 match ip inside outside any dynamic translation to pool 1 (00 - 10) translate_hits = 0, untranslate_hits = 0pixfirewall(config)# sh xlate #显示转换表内容0 in use, 0 most used #当前地址转换数量是1，最多数量是1下面我们要从in路由器R2 telnet 到out 路由器R1，数据流量通过防火墙进行Nat地址转换，24-00 .首先：在OUT路由器建立VTY虚拟终端OUT(config)#line vty 0 4OUT(config-line)#pasOUT(config-line)#password ciscoOUT(config-line)#loginOUT(config)#enable password ciscopixfirewall(config)# int e0pixfirewall(config-if)#pixfirewall(config-if)# security-level 100 #修改outside端口e0安全级别为默认级别0pixfirewall# sh nameifInterface Name SecurityEthernet0 outside 0Ethernet1 inside 100IN(config)#ip route 25 #在in路由器R2上建立默认路由IN#telnet 24 #从in路由器R2 telnet 到out 路由器R1 Trying 24 . OpenUser Access VerificationPassword: OUTen登录成功！在OUT路由器R1上查看：OUT#show users Line User Host(s) Idle Location 0 con 0 idle 00:00:38* 66 vty 0 idle 00:00:00在防火墙上查看转换表内容：pixfirewall# show xlate1 in use, 1 most usedGlobal 00 Local 24 #内部地址24 转为外部全局地址00试验B 的配置过程：首先清除实验A的global地址池pix (config)#no global (outside) 1 00-10 netmask pixfirewall(config)# global (outside) 1 interface #使用端口地址装换（PAT） INFO: outside interface address added to PAT poolIN#telnet 24 #从in路由器R2 telnet 到out 路由器R1 进行多次测试连接Trying 24 . OpenUser Access VerificationPassword:OUTenPassword:OUT#在防火墙上查看转换表，两次连接，产生两个PAT转换条目：pixfirewall# sh xlate2 in use, 2 most usedPAT Global 25(1025) Local 24(11023)PAT Global 25(1024) Local 24(11022)在使用,当地址池中的地址数量不够的时候上面的配置中,实际中我们可以来应用两个一起来我们在采用PAT 转换,配置如下:pix(config)# nat (inside) 1 pix(config)# glob (outside) 1 00-10 netmask pix(config)# glob (outside) 1 inter试验C 的配置过程：我们在PIX 上面可以从里面ping 通外面,外面ping 不通里面,ICMP 包回不来,做这个acce ss-l 的试验之前我们必须有NAT 的流量,如果没有就不可能做地址转换到外边.在防火墙上配置：pixfirewall(config)# access-list out permit icmp any any echopixfirewall(config)# access-list out permit icmp any any echo-replypixfirewall(config)# access-group out in interface outsideIN#ping 24 #从in路由器R2 ping 路由器R1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 24, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/24/40 ms试验四.no nat 技术Nonat 技术也是nat 技术的一种,nat 主要是改变我们的源和目的IP,那么在PIX 上我