《计算机网络技术》-项目十七 思科PIX防火墙基本配置

项目背景某公司使用CiscoPIX515防火墙连接到Internet，ISP分配给该公司一段公网IP地址。公司具有Web服务器和Ftp服务器，要求让内网用户和外网用户都能够访问其web服务和FTP服务，但外部网络用户不可以访问内网。防火墙基本配置

发布DMZ区域的服务器

接口基本配置

配置防火墙默认路由

本章主要内容配置内网用户访问外网规则

配置访问控制列表

【知识拓展】查看与保存配置

所有的防火墙都是按以下两种情况配置的：（1）拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型。（2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。不过大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的内部用户能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。知识准备

拓扑结构PIX515dmz区outsideinsideFileServerWebServerInternet以PIX515防火墙7.X版本的操作系统为例，介绍其配置过程。在配置之前先假设pix515防火墙的ethernet0接口作为外网接口(命名为outside)，并分配全局IP地址为；ethernet1接口作为内网接口(命名为inside)，并分配私有IP地址为；ethernet2接口作为DMZ接口，并分配私有IP地址为。内网的私有IP地址使用范围为-54，子网掩码为。防火墙的下一跳路由器地址假设为；dmz区域中Web服务器IP地址取，Ftp服务器IP地址取。拓扑结构步骤1：设置防火墙的特权密码防火墙基本配置firewall>enfirewall#conftfirewall(config)#enablepasswordstar步骤2：设置防火墙的名称防火墙基本配置firewall(config)#hostnamepix515pix515(config)#步骤3：设置防火墙的域名防火墙基本配置pix515(config)#domain-name步骤4：设置防火墙的登陆密码防火墙基本配置pix515(config)#passwdcisco步骤1：为e0接口命名为outside接口基本配置pix515(config)#interfaceethernet0//进入防火墙e0接口pix515(config-if)#nameifoutside//为e0接口命名为outside步骤2：定义e0接口的安全级别接口基本配置pix515(config-if)#security-level0//定义e0接口的安全级别为0步骤3：设置e0接口为自适应网卡类型接口基本配置pix515(config-if)#speedauto //设置e0接口为自适应网卡类型步骤4：设置e0接口工作方式为全双工接口基本配置pix515(config-if)#duplexauto //设置e0接口工作方式为全双工步骤5：为e0接口分配IP地址接口基本配置pix515(config-if)#ipaddress//为e0接口分配IP地址pix515(config-if)#noshutdown//激活该接口pix515(config-if)#exit//退出该接口配置步骤6：同理配置e0接口和e0接口。接口基本配置pix515(config)#interfaceethernet1pix515(config-if)#nameifinsidepix515(config-if)#security-level100pix515(config-if)#speedautopix515(config-if)#duplexautopix515(config-if)#ipaddresspix515(config-if)#noshutdownpix515(config-if)#exitpix515(config)#interfaceethernet2pix515(config-if)#nameifdmzpix515(config-if)#security-level50pix515(config-if)#speedautopix515(config-if)#duplexautopix515(config-if)#ipaddresspix515(config-if)#noshutdownpix515(config-if)#exit步骤1：设置默认路由的下一跳地址为配置防火墙默认路由pix515(config)#routeoutside00步骤1：指定的内网私有IP地址段配置内网用户访问规则pix515(config)#nat(inside)1步骤2：转换成outside接口的公网地址，内网主机可以访问Internet资源，参数interface也可以直接写成公网IP地址为。配置内网用户访问规则pix515(config)#global(outside)1interface步骤3：内网私有IP地址转换成DMZ区域的私有IP地址，使内网用户访问dmz区域的服务器。配置内网用户访问规则pix515(config)#global(dmz)1-步骤1：全局IP地址与内网服务器地址的映射。发布DMZ区域的服务器pix515(config)#static(dmz,outside)pix515(config)#static(dmz,outside)步骤2：内网访问DMZ区时自身地址的映射。发布DMZ区域的服务器pix515(config)#static(inside,dmz)【注意事项】1.当外网用户要访问DMZ区域的服务器时，首先会访问全局IP地址和，然后系统将分别映射到IP地址为、这两台内网服务器。2.除了以上使用global命令让内网用户访问DMZ区域服务器外，还可以使用static命令。本条命令的作用是当内网主机访问中间区域（DMZ）时，将自己映射成自己来访问服务器，否则内部主机将会映射成地址池中的全局IP，到外部去找。发布DMZ区域的服务器步骤1：配置ACL规则。配置访问控制列表pix515(config)#access-liste0inpermittcpanyhosteqwwwpix515(config)#access-liste0inpermittcpanyhosteqftppix515(config)#access-liste0indenyipanyany步骤2：将ACL规则应用到接口。配置访问控制列表pix515(config)#access-groupe0inininterfaceoutside【注意事项】除了使用ACL命令外，还可以使用管道命令（conduit）来配置允许外网用户访问内网服务器。配置访问控制列表步骤1：在特权模式下保存配置命令查看与保存配置pix515#writeterminal步骤2：查看配置信息命令查看与保存配置Firewall#showinterface 查看端口状态;Firewall#showstatic 查看静态地址映射；Firewall#showip 查看接口ip地址；Firewall#showconfig 查看配置信息；Firewall#showrunning-config显示当前配置信息；Firewall#showcpuusage 显示CPU利用率，排查故障时常用；Firewall#showtraffic 查看流量；Firewall#showconnectcount 查看连接数；Firewall#showmem 显示内存；Firewall#showtelnet显示当前所有的Telnet配置；Firewall#showaccess-list查看访问列表规则的排列和选择顺序；Firewall#showfirewall显示当前防火墙状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。1.防火墙的概念防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。知识拓展2.防火墙的主要功能（1）包过滤。包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址表进行设置规则。（2）地址转换。网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换SourceNAT(SNAT)和目的地址转换DestinationNAT(DNAT)。SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。并将有限的IP地址动态或静态的与内部IP地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。DNAT主要用于外网主机访问内网主机。（3）认证和应用代理。认证指防火墙对访问网络者合法身份的确定。代理指防火墙内置用户认证数据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制，同时支持URL过滤功能。（4）透明和路由指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。知识拓展3.防火墙的配置模式（1）firewall>用户模式：PIX防火墙开机自检后，就是处于这种模式。（2）firewall#特权模式：从用户模式输入enable命令进入。（3）firewall(config)#配置模式：从特权模式输入configureterminal进入此模式。（4）monitor>ROM监视模式:开机按住[Esc]键或发送一个“Break”字符，进入监视模式。此模式下可以更新操作系统的映像和口令的恢复。提示：与路由器一样，在每一种模式下输入“？”可列出该模式下所有可用命令的功能介绍；输入某一个命令的前几个字符后按“Tab”键，系统可自动填充该命令的剩余字符。知识拓展4.防火墙的配置规则（1）防火墙拒绝所有不被允许的数据包通过；（2）内网用户发起的连接可以回应数据包，通过ACL开放的服务器允许外网用户发起连接；（3）.inside网络可以访问任何outside网络和dmz网络；（4）dmz网络可以访问outside网络；（5）inside网络可以访问dmz网络，但需要配置static(静态地址转换)；（6）outside网络可以访问dmz网络，但需要配置acl(访问控制列表)。知识拓展5.常用防火墙配置命令（1）配置静态IP地址转换命令格式：static(internal_if_name，external_if_name)outside_ip_addrinside_ip_address命令作用：配置静态IP地址翻译，使内网的私有IP地址与外网的公有IP地址一一对应。本命令可以让我们为一个特定的内部IP地址设置成一个永久的全局IP地址，这样就能够为具有较低安全级别的指定接口创建了一个入口，使它们可以进入到具有较高安全级别的指定接口。参数说明：internal_if_name表示内部网络接口名称，安全级别较高，如inside；external_if_name表示外部网络接口名称，安全级别较低，如outside；outside_ip_address表示外部网络的公有IP地址；inside_ip_address表示内部网络的本地IP地址；注意这四个参数项的顺序。知识拓展firewall(config)#static(inside，outside)41//设置内部IP地址的主机在访问外网时先被翻译成41这个公网IP地址，也可以认为static命令创建了内部IP地址和外部IP地址41之间的静态映射。知识拓展firewall(config)#static(dmz，outside)3//设置停火区（DMZ）IP地址在访问外网时先被翻译成3这个公网IP地址。知识拓展提示：Pix6.0版本以上的防火墙操作系统的static命令还具有端口重定向功能，此功能可让内部网络所提供的网络服务更安全。例如当内网向外网提供ftp服务时，可让外网用户访问DMZ区域中的全局IP，再由static命令将DMZ区域中的全局IP重定向到内网中具体的FTP服务器。具体使用方法介绍如下：命令格式：static(internal_if_name，external_if_name){tcp|udp}{global_ip|interface}global_port{local_ip}local_port[netmaskmask][max_conns[emb_limit[norandomseq]]]命令作用：允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内网指定的服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口，或者是共享的外部端口。这种功能也就是可以发布内部www、ftp、mail等服务器，这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。知识拓展参数说明：internal_if_name为内部接口名称；external_if_name为外部接口名称；tcp|udp为通信协议类型；global_ip|interface为重定向之后的全局（公网）IP地址或共享端口，global_port为服务端口，如www、ftp等；local_ip为本地IP地址，local_port为服务端口，如www、ftp等；[netmaskmask]为本地子网掩码，通过与相应的IP地址相与计算出是一台主机还是一个网段；max_conns为允许的最大TCP连接数，默认为0，即不限制；emb_limit为允许从此端口发起的连接数，默认也为0，即不限制；norandomseq为不对数据包排序，此参数通常不用。知识拓展（2）管道命令的配置命令格式：conduitpermit|denyprotocolglobal_ip[port]foreign_ip[netmask]命令作用：由于static命令可以让本地IP地址和一个全局IP地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被PIX防火墙的自适应安全算法（ASA）阻拦。所以，conduit命令用来设置允许数据从低安全级别的接口（outside）流向具有较高安全级别的接口(inside)，例如允许从outside网络用户访问DMZ网络中的服务或inside网络中的服务。当外部网络要向内部网络的接口进行连接时，需要static和conduit这两个命令配合使用，才能建立会话。参数说明：permit|deny表示允许或禁止；protocol指的是连接协议，如TCP、UDP、ICMP；global_ip是先前由global或static命令定义的全局IP地址，如果global_ip为0就用any代替，表示所有主机，如果是一台主机时前面加host参数；port指的是服务所作用的端口；如80端口表示www服务，可以用eqwww或eq80表示，21端口表示ftp服务，可以用eqftp或eq21表示；foreign_ip表示可以访问global_ip的外部IP地址，对于任意主机可以用any表示，如果是一台主机，就用host参数加在IP前面；[netmask]为foreign_ip的子网掩码，用来表示是一台主机或一个网络。知识拓展有关该命令的的使用举例如下：firewall(config)#conduitpermittcphost5eqwwwany//表示允许任何外部主机对全局地址为5的这台主机进行http访问。www服务属TCP协议；host5表示特指这一个全局地址的主机；eqwww表示WEB服务器，也可以使用eq80代替；any代表外部任何主机。firewall(config)#conduitdenytcpanyeqftphost9//表示拒绝IP地址为9的这台主机对任何全局IP地址进行ftp访问。firewall(config)#conduitpermitimcpanyany//表示允许icmp消息向内部和外部通过。firewall(config)#static(inside，outside)505firewall(config)#conduitpermittcphost50eqwwwany//这个例子说明static命令和conduit命令的关系。5是内网的一台web服务器，知识拓展现在希望外网的用户能够通过PIX防火墙来访问web服务。所以先做static静态映射，先将内网的私有IP地址5与外网的公有IP地址50建立映射，然后利用conduit命令允许任何外部主机对全局IP地址(或称公网IP地址)50进行http访问。这两条命令的综合作用相当于使用static的端口重定向功能。知识拓展（3）配置访问控制列表（ACL）命令格式：access-list{acl_name|acl_id}{permit|deny}protocolsource-addrmask[operatorport]dest-addrmask[operatorport]命令作用：通过配置防火墙的ACL，用来过滤流入和流出防火墙接口的数据包，以保证内部网络的安全。在防火墙的安全策略中对访问控制列表（ACL）的配置是很重要的。提示：删除访问列表只要在配置命令前面加no就可以了。知识拓展参数说明：acl_name为定义访问列表名称（类似于路由器中定义命名访问控制列表），acl_id为定义访问列表编号，这两种选项任选一种，定义好之后为ipaccess-group命令在绑定接口时使用；permit表示允许满足条件的报文通过，deny表示禁止满足条件的报文通过；protocol为协议类型，如ICMP、TCP、UDP、IP等；提示：host和any在这里仍可使用，其使用方法与路由器中定义访问控制列表相同。source-addr为指定报文发送方的网络或主机的IP地址（源地址），dest-addr为指定报文发往的网络或主机的IP地址（目的地址）；如果在它们的IP地址之前加host关键词则表示指定一个单一的地址，加any关键词表示所有地址；mask为IP地址的子网掩码，其方式与cisco路由器的access-list命令不同，这里使用的是网络掩码（如C类网掩码），而cisco路由器的access-list中使用的是通配符（即55）；不输入则代表通配位为；operator为端口操作符（可选项），如等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。port（可选项）为协议类型为TCP或UDP时指定一个名称（如telnet、ftp、dns等）或整数值（可取0~65535之间的一个数值）。知识拓展举例：Pix(config)#access-list101permittcpanyhost50eqhttp//设置允许任何源地址以http方式访问目的地址为50这台主机。Pix(config)#access-list101denyipanyany//设置拒绝任何数据包流入或流出。这两条命令的编号101也可用命名形式(如“out_in”)代替。知识拓展（4）将访问控制列表规则应用到接口上命令格式：access-group{acl_name|acl_id}{in|out}interfaceinterface_name命令作用：将ACL应用到防火墙的接口，使ACL规则生效，以实现对报文过滤的功能。提示：一个接口的一个方向上最多可以应用20类不同的规则，这些规则之间按照规则序号的大小进行排列，序号大的排在前面