pix防火墙配置实验.ppt

pix防火墙配置实验 pix Pix 实验大纲 实验一 基本设置 环境说明 PIX525防火墙采用7 21版本IOS PC 主机VPC 虚拟机接口 ip设置如图所示 配置pix接口 ip地址 EnableconfigureterminalHostnamepixinterfaceethernet0Nameifinsidesecurity level100speedautodupleautoipaddress10 1 1 1255 255 255 0noshutdownExit interfaceethernet1Nameifinsidesecurity level0speedautodupleautoipaddress20 1 1 1255 255 255 0noshutdownExit 测试 Ping10 1 1 101测试到LAN接口的连通性 Ping10 1 1 101测试到WAN接口的连通性 PIX config showrunning config查看内存中的配置文件PIX config showmemory查看内存使用PIX config showversion查看设备 授权 版本等等PIX config showipaddress查看接口ip地址PIX config showinterface查看接口信息PIX config showlogging查看日志PIX config showclock查看设备时钟PIX config showconn查看当前处于活跃的连接PIX config writeerase清除闪存中配置文件 试验二 inside到outside的访问 需求 从内部的10 1 1 0要telnet到外部的20 1 1 101主机 如果PIX不做设置 则从LAN到WAN的流量是无法出去的 步骤 PIX的基本配置 配ip 配接口级别 配route NAT转换 由inside到outside 测试 inside到outside的访问 使用outside接口ip实现端口地址转换说明 由inside发出的数据包 标签nat1 到外部时源地址会被outside接口地址替换 由内向外的ping包 源地址也会被替换 但ping包默认可出 但返回时被outside接口阻挡 此实验如果扩展开来 pix还得配置到外部的路由 PIX config nat inside 100 PIX config global outside 1interfaceoutsideinterfaceaddressaddedtoPATpool 内部流量过滤 允许内部任何流量 注 ICMP包可出但不可回 inside到outside特定流量控制 只允许内部pc的10 1 1 0 24网络流量使用地址池或PATpix防火墙对于内部到外部的流量默认不能做ping 做其它服务必须使用NAT功能 对到未知网络还需配置路由 而且pix防火墙可以通过由内部向外发出的返回数据包 而且默认拒绝由外部向内部发出的主动连接数据包 PIX config nonat inside 100PIX config noglobal outside 1interfacePIX config nat inside 110 1 1 0255 255 255 0PIX config global outside 120 1 1 21 20 1 1 25netmask255 255 255 0 使用ACL限制inside到outside流量 只允许到20 1 1 101的telnet http流量通过 即允许做NAT但据绝流量通过 比较下一方案 PIX config access listnatpermittcpanyhost20 1 1 101eq23PIX config access listnatpermittcpanyhost20 1 1 101eq80PIX config access listnatdenyipanyanyPIX config access groupnatininterfaceinside PIX config access listnat1permittcpanyhost20 1 1 102eq23PIX config access listnat1permittcpanyhost20 1 1 101eq80PIX config nat inside 1access listnat1PIX config global outside 1interfacePIX config end 只有符合access list的数据流才可以被nat 试验三 Nat与static的实验 需求 使inside的对象可访问outside VPC可访问inside的telnet和http 端口的映射用于保护内部服务器 步骤 先做nat或者pat 使inside的对象可访问outside 实验步骤略 操作outside到inside的static的转换 使pc可访问inside的telnet和http 特殊端口的使用 端口的映射用于保护内部服务器 Nat与static配置 3 静态转换 由outside到inside PIX config nat inside 100PIX config global outside 1interface PIX config static inside outside 20 1 1 1110 1 1 101 1 PIX的基本配置 配ip 配接口级别 配route 2 PAT地址转换 由inside到outside 4 书写访问列表 使外部可访内部的web和telnet access list101extendedpermittcpanyhost10 1 1 101eq80access list101extendedpermittcpanyhost10 1 1 101eq23Pix config access group101ininterfaceoutside static的端口的映射配置 3 定义static转换及端口的映射 由outside到inside static inside outside tcp20 1 1 11802310 1 1 101 telnetnetmask255 255 255 255static inside outside tcp20 1 1 11808010 1 1 101 wwwnetmask255 255 255 255 1 PIX的基本配置 配ip 配接口级别 配route 2 PAT地址转换 由inside到outside 4 书写访问列表 使外部可访内部的web和telnet access list101permittcpanyhost20 1 1 11eqtelnetaccess list101permittcpanyhost20 1 1 11eq8023access list101permittcpanyhost20 1 1 11eq8080access group101ininterfaceoutside 试验四 ICMP控制 需求 使用icmp命控制对pix接口的icmp流量 使用nat加ACL来控制穿越pix的icmp的流量 控制对pix接口的icmp流量Icmp控制 Icmpecho控制 恢复流量 控制穿越pix的icmp的流量由外到内 由内到外 控制对pix接口的icmp流量 PIX config icmpdeny00outsidePIX config icmpdeny00inside 外部主机 内部主机都不能ping通pix pix也不能ping它们 PIX config icmpdeny00echoinsidePIX config icmpdeny00echooutsidePIX config clearicmpdeny00insidePIX config clearicmp 阻止内部主机发出的echo包阻止外部主机发出的echo包允许内部主机ping恢复ping通pix端口 控制穿越pix的icmp的流量 PIX config static inside outside 20 1 1 110 1 1 101pix config access listapermiticmpanyhost20 1 1 1pix config access groupaininterfaceoutside 由外到内ping20 1 1 1通 实际上ping通的是10 1 1 101 pix config nat inside 100pix config global outside 1interfacepix config access listbpermiticmpanyanypix config access groupbininterfaceoutside 默认icmp数据包可以出去但不能返回 加载ACL目的是让icmp数据包能够返回 由内到外ping20 1 1 101通 试验五 保存基本配置到tftp服务器 需求 利用tftp服务器保存和恢复Firewall配置 步骤 3CDaemon安装配置 在Pix上配置tftp syslog服务保存恢复配置 3CDaemon安装配置 3CDaemon是一款集成TFTPserver FTPserver Syslog server FTPclient为一体的工具软件 安装后运行在内部网络的本机上 管理目录为c server tftp PIXtftp syslog配置 PIX config loggingonPIX config logginghostinside10 1 1 101PIX config loggingtrapdebuggingPIX config tftp serverinside10 1 1 101pix 启用日志功能 指定syslog服务器地址 指定陷阱为debugging 指定内部tftp服务器地址 存放目录为pix PIX config writenet pix1PIX config configurenet pix1 保存内存配置到tftp服务器的pix目录下 文件名为pix1 把存在tftp server上的配置文件copy回来 试验六 telnet和ssh到PIX防火墙 需求 pix内部接口可以实现telnet连接 外部接口议使用ssh连接 telnet步骤 PIX基本配置 给pix上telnet设置 会话管理 SSH步骤 设置域名 设置key长度 建立内部和外部访问 SSH客户端 telnet配置 PIX config telnet10 1 1 101255 255 255 255insidePIX config telnettimeout10PIX config passwdtelnetpixPIX config bannermotdthisismyPIX 设置telnet密码设置内部网络的一个ip或网络可以telet telnet空闲会话超过10分钟则关闭会话 PIX config whoPIX config kill0 查看那个ip正在连接pix控制台 kill掉连接到pix控制台的会话 Telnet连接测试 SSH配置 PIX config PIX config crypt