Cisco PIX 防火墙安装指南 (cisco防火墙配置教程)
编辑:rootadmin
1.将PIX安放至机架,经检测电源*后接上电源,并加电主机。 2.将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入 PIX*;此时*提示pixfirewall>。 3.输入命令:enable,进入特权模式,此时*提示为pixfirewall#。 4.输入命令:configureterminal,对*进行初始化设置。 5.配置以太口参数: interfaceethernet0auto(auto选项表明*自适应网卡类型) interfaceethernet1auto 6.配置内外网卡的IP*: ipaddressinsideip_addressnetmask ipaddressoutsideip_addressnetmask 7.指定外部*范围: global1ip_address-ip_address 8.指定要进行要转换的内部*: nat1ip_addressnetmask 9.设置指向内部网和外部网的缺省路由 routeinsideinside_default_router_ip_address routeoutsideoutside_default_router_ip_address .配置静态IP*对映: staticoutsideip_address insideip_address .设置某些控制选项: conduitglobal_ipport[-port]protocolforeign_ip[netmask] global_ip指的是要控制的* port 指的是所作用的端口,其中0代表所有端口 protocol 指的是连接协议,比如:TCP、UDP等 foreign_ip 表示可访问global_ip的外部ip,其中表示所有的ip。 .设置telnet选项: telnetlocal_ip[netmask] local_ip 表示被允许通过telnet访问到pix的ip*(如果不设此项, PIX的配 置只能由consle方式进行)。 .将配置保存: wrmem .几个常用的网络测试命令: #ping #showinterface查看端口状态 #showstatic 查看静态*映射 CiscoPIX是一款性能良好的网络安全产品,如果再加上CheckPoint的软件防火墙组成两道防护,可以得到更加完善的安全防范。 主要用于局域网的外连设备(如路由器、拨号访问服务器等)与内部网络之间,实现内部网络的安全防范,避免来自外部的恶意攻击。 CiscoPIX的默认配置允许从内到外的所有信息请求,拒绝一切外来的主动访问,只允许内部信息的反馈信息进入。当然也可以通过某些设置,例如:访问表等,允许外部的访问。因为,远程用户的访问需要从外到内的访问。另外,可以通过NAT*转换,实现公有*和私有*的转换。 简单地讲,PIX的主要功能有两点: 1.实现网络安全 2.实现*转换 下面简单列出PIX的基本配置 1.ConfigurewithoutNAT nameifethernet0outsidesecurity0 nameifethernet1insidesecurity interfaceethernet0auto interfaceethernet1auto ipaddressoutside......0(假设对外端口*) ipaddressinside.1.0....0(假设内部网络为:.1.0.0) hostnamebluegarden arptimeout nofailover names pagerlines loggingbuffereddebugging nat(inside) ripinsidedefaultnoripinsidepassivenoripoutsidedefaultripoutsidepassive routeoutside0.0.0..0.0....(外连设备的内部端口*) timeoutxlate3::conn1::udp0::timeoutrpc0::h::timeoutuauth0::absolute nosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublic mtuoutsidemtuinside 2.ConfigurewithNAT nameifethernet0outsidesecurity0 nameifethernet1insidesecurity interfaceethernet0auto interfaceethernet1auto ipaddressoutside......0(假设对外端口*) ipaddressinside.1.0....0(假设内部网络为:.1.0.0) hostnamebluegarden arptimeout nofailover names pagerlines loggingbuffereddebugging nat(inside) global(outside)...-...global(outside)... noripinsidedefaultnoripinsidepassivenoripoutsidedefaultnoripoutsidepassive conduitpermiticmpanyany routeoutside0.0.0..0.0....(外连设备的内部端口*) timeoutxlate3::conn1::udp0::timeoutrpc0::h::timeoutuauth0::absolute nosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublic mtuoutsidemtuinside CiscoPIX的多点服务配置 PIX TwoInterfaceMultipleServerConfiguration nameifethernet0outsidesecurity0 nameifethernet0insidesecurity interfaceethernet0auto interfaceethernet1auto ipaddressinside.1.1..0.0.0 ipaddressoutside......0 loggingon logginghost.1.1. loggingtrap7 loggingfacility nologgingconsole arptimeout nat(inside).0.0..0.0.0 nat(inside)..3....0 global(outside)..1.-... global(outside)..1. global(outside)..1.1-..1. conduitpermiticmpanyany outbounddeny..3.... outbounddeny outboundpermit..3.... outbounddeny..3....java outboundpermit.1.1.... apply(inside)outgoing_src noripoutsidepassive noripoutsidedefault ripinsidepassive ripinsidedefault routeoutside...1.1 tacacs-serverhost.1.1.lq2w3e aaaauthenticationanyinside..3....tacacs+ aaaauthenticationanyinside..3.... static(inside,outside).....3.0netmask...0 conduitpermittcp......0eghany static(inside,outside)....1.1. conduitpermittcphost...eqany conduitpermitudphost...eqrpchost... conduitpermitudphost...eqhost... static(inside.outside)..1..1.1.3netmask... conduitpermittcphost..1.eq*tpany conduitpermittcphost..1.eqany snmp-serverhost..3.2 snmp-serverlocationbuilding snmp-servercontactpollyhedra snmp-servercommunityohwhatakeyisthee telnet.1.1.... telnet..3....0 C*COPIX防火墙配置实践----介绍一个PIX防火墙实际配置案例,因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。 PIX防火墙 设置PIX防火墙的外部*: ipaddressoutside.1..2 设置PIX防火墙的内部*: ipaddressinside...1 设置一个内部计算机与Internet上计算机进行通信时所需的全局*池: global.1..-.1.. 允许网络*为.0.0.0的网段*被PIX翻译成外部*: nat.0.0.0 *工作站固定使用的外部*为.1..: static.1....8. 允许从RTRA发送到到*工作站的*日志包通过PIX防火墙: conduit.1.