詳細配置Cisco PIX防火牆
任何企業安全策略的一個主要部分都是實現和維護防火牆,因此防火牆在網絡安全的實現當中扮演着重要的角色。防火牆通常位於企業網絡的邊緣,這使得內部網絡與Internet之間或者與其他外部網絡互相隔離,並限制網絡互訪從而保護企業內部網絡。設置防火牆目的都是爲了在內部網與外部網之間設立唯一的通道,簡化網絡的安全管理。在衆多的企業級主流防火牆中,Cisco PIX防火牆是所有同類產品性能最好的一種。Cisco PIX系列防火牆目前有5種型號PIX506,515,520,525,535。其中PIX535是PIX 500系列中最新,功能也是最強大的一款。它可以提供運營商級別的處理能力,適用於大型的ISP等服務提供商。但是PIX特有的OS操作系統,使得大多數管理是通過命令行來實現的,不象其他同類的防火牆通過Web管理界面來進行網絡管理,這樣會給初學者帶來不便。本文將通過實例介紹如何配置Cisco PIX防火牆。
在配置PIX防火牆之前,先來介紹一下防火牆的物理特性。防火牆通常具有至少3個接口,但許多早期的防火牆只具有2個接口;當使用具有3個接口的防火牆時,就至少產生了3個網絡,描述如下:Ø 內部區域(內網)。內部區域通常就是指企業內部網絡或者是企業內部網絡的一部分。它是互連網絡的信任區域,即受到了防火牆的保護。Ø 外部區域(外網)。外部區域通常指Internet或者非企業內部網絡。它是互連網絡中不被信任的區域,當外部區域想要訪問內部區域的主機和服務,通過防火牆,就可以實現有限制的訪問。Ø 停火區(DMZ)。停火區是一個隔離的網絡,或幾個網絡。位於停火區中的主機或服務器被稱爲堡壘主機。一般在停火區內可以放置Web服務器,Mail服務器等。停火區對於外部用戶通常是可以訪問的,這種方式讓外部用戶可以訪問企業的公開信息,但卻不允許他們訪問企業內部網絡。注意:2個接口的防火牆是沒有停火區的。
由於PIX535在企業級別不具有普遍性,因此下面主要說明PIX525在企業網絡中的應用。
PIX防火牆提供4種管理訪問模式:² 非特權模式。 PIX防火牆開機自檢後,就是處於這種模式。系統顯示爲pixfirewall² 特權模式。輸入enable進入特權模式,可以改變當前配置。顯示爲pixfirewall#² 配置模式。 輸入configure terminal進入此模式,絕大部分的系統配置都在這裏進行。顯示爲pixfirewall(config)#² 監視模式。 PIX防火牆在開機或重啓過程中,按住Escape鍵或發送一個“Break”字符,進入監視模式。這裏可以更新操作系統映象和口令恢復。顯示爲monitor
配置PIX防火牆有6個基本命令:nameif,interface,ip address,nat,global,route.這些命令在配置PIX是必須的。以下是配置的基本步驟:1. 配置防火牆接口的名字,並指定安全級別(nameif)。Pix525(config)#nameif ethernet0 outside security0Pix525(config)#nameif ethernet1 inside security100Pix525(config)#nameif dmz security50提示:在缺省配置中,以太網0被命名爲外部接口(outside),安全級別是0;以太網1被命名爲內部接口(inside),安全級別是100.安全級別取值範圍爲1~99,數字越大安全級別越高。若添加新的接口,語句可以這樣寫:Pix525(config)#nameif pix/intf3 security40 (安全級別任取)
2. 配置以太口參數(interface)Pix525(config)#interface ethernet0 auto(auto選項表明系統自適應網卡類型 )Pix525(config)#interface ethernet1 100full(100full選項表示100Mbit/s以太網全雙工通信 )Pix525(config)#interface ethernet1 100full shutdown (shutdown選項表示關閉這個接口,若啓用接口去掉shutdown )
3. 配置內外網卡的IP地址(ip address)Pix525(config)#ip address outside 61.144.51.42 255.255.255.248Pix525(config)#ip address inside 192.168.0.1 255.255.255.0很明顯,Pix525防火牆在外網的ip地址是61.144.51.42,內網ip地址是192.168.0.1
4. 指定要進行轉換的內部地址(nat)網絡地址翻譯(nat)作用是將內網的私有ip轉換爲外網的公有ip.Nat命令總是與global命令一起使用,這是因爲nat命令可以指定一臺主機或一段範圍的主機訪問外網,訪問外網時需要利用global所指定的地址池進行對外訪問。nat命令配置語法:nat (if_name) nat_id local_ip [netmark]其中(if_name)表示內網接口名字,例如inside. Nat_id用來標識全局地址池,使它與其相應的global命令相匹配,local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。[netmark]表示內網ip地址的子網掩碼。例1.Pix525(config)#nat (inside) 1 0 0表示啓用nat,內網的所有主機都可以訪問外網,用0可以代表0.0.0.0例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0表示只有172.16.5.0這個網段內的主機可以訪問外網。
5. 指定外部地址範圍(global)global命令把內網的ip地址翻譯成外網的ip地址或一段地址範圍。Global命令的配置語法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中(if_name)表示外網接口名字,例如outside.。Nat_id用來標識全局地址池,使它與其相應的nat命令相匹配,ip_address-ip_address表示翻譯後的單個ip地址或一段ip地址範圍。[netmark global_mask]表示全局ip地址的網絡掩碼。例1. Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48表示內網的主機通過pix防火牆要訪問外網時,pix防火牆將使用61.144.51.42-61.144.51.48這段ip地址池爲要訪問外網的主機分配一個全局ip地址。例2. Pix525(config)#global (outside) 1 61.144.51.42表示內網要訪問外網時,pix防火牆將爲訪問外網的所有主機統一使用61.144.51.42這個單一ip地址。例3. Pix525(config)#no global (outside) 1 61.144.51.42表示刪除這個全局表項。
6. 設置指向內網和外網的靜態路由(route)定義一條靜態路由。route命令配置語法:route (if_name) 0 0 gateway_ip [metric]其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示網關路由器的ip地址。[metric]表示到gateway_ip的跳數。通常缺省是1。例1. Pix525(config)#route outside 0 0 61.144.51.168 1表示一條指向邊界路由器(ip地址61.144.51.168)的缺省路由。例2. Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1如果內部網絡只有一個網段,按照例1那樣設置一條缺省路由即可;如果內部存在多個網絡,需要配置一條以上的靜態路由。上面那條命令表示創建了一條到網絡10.1.1.0的靜態路由,靜態路由的下一條路由器ip地址是172.16.0.1
OK,這6個基本命令若理解了,就可以進入到pix防火牆的一些高級配置了。
A. 配置靜態IP地址翻譯(static)如果從外網發起一個會話,會話的目的地址是一個內網的ip地址,static就把內部地址翻譯成一個指定的全局地址,允許這個會話建立。static命令配置語法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示內部網絡接口,安全級別較高。如inside.external_if_name爲外部網絡接口,安全級別較低。如outside等。outside_ip_address爲正在訪問的較低安全級別的接口上的ip地址。inside_ ip_address爲內部網絡的本地ip地址。例1. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8表示ip地址爲192.168.0.8的主機,對於通過pix防火牆建立的每個會話,都被翻譯成61.144.51.62這個全局地址,也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。例2. Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3例3. Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8註釋同例1。通過以上幾個例子說明使用static命令可以讓我們爲一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠爲具有較低安全級別的指定接口創建一個入口,使它們可以進入到具有較高安全級別的指定接口。
B. 管道命令(conduit)前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射,但從外部到內部接口的連接仍然會被pix防火牆的自適應安全算法(ASA)阻擋,conduit命令用來允許數據流從具有較低安全級別的接口流向具有較高安全級別的接口,例如允許從外部到DMZ或內部接口的入方向的會話。對於向內部接口的連接,static和conduit命令將一起使用,來指定會話的建立。conduit命令配置語法:conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]permit | deny 允許 | 拒絕訪問global_ip 指的是先前由global或static命令定義的全局ip地址,如果global_ip爲0,就用any代替0;如果global_ip是一臺主機,就用host命令參數。port 指的是服務所作用的端口,例如www使用80,smtp使用25等等,我們可以通過服務名稱或端口數字來指定端口。protocol 指的是連接協議,比如:TCP、UDP、ICMP等。foreign_ip 表示可訪問global_ip的外部ip。對於任意主機,可以用any表示。如果foreign_ip是一臺主機,就用host命令參數。例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any這個例子表示允許任何外部主機對全局地址192.168.0.8的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eq ftp 就是指允許或拒絕只對ftp的訪問。例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。例3. Pix525(config)#conduit permit icmp any any表示允許icmp消息向內部和外部通過。例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any這個例子說明static和conduit的關係。192.168.0.3在內網是一臺web服務器,現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射:192.168.0.3-61.144.51.62(全局),然後利用conduit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。
C. 配置fixup協議fixup命令作用是啓用,禁止,改變一個服務或協議通過pix防火牆,由fixup命令指定的端口是pix防火牆要偵聽的服務。見下面例子:例1. Pix525(config)#fixup protocol ftp 21啓用ftp協議,並指定ftp的端口號爲21例2. Pix525(config)#fixup protocol http 80Pix525(config)#fixup protocol http 1080爲http協議指定80和1080兩個端口。例3. Pix525(config)#no fixup protocol smtp 80禁用smtp協議。
D. 設置telnettelnet有一個版本的變化。在pix OS 5.0(pix操作系統的版本號)之前,只能從內部網絡上的主機通過telnet訪問pix。在pix OS 5.0及後續版本中,可以在所有的接口上啓用telnet到pix的訪問。當從外部接口要telnet到pix防火牆時,telnet數據流需要用ipsec提供保護,也就是說用戶必須配置pix來建立一條到另外一臺pix,路由器或***客戶端的ipsec隧道。另外就是在PIX上配置SSH,然後用SSH client從外部telnet到PIX防火牆,PIX支持SSH1和SSH2,不過SSH1是免費軟件,SSH2是商業軟件。相比之下cisco路由器的telnet就作的不怎麼樣了。telnet配置語法:telnet local_ip [netmask]local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項,pix的配置方式只能由console進行。
說了這麼多,下面給出一個配置實例供大家參考。
Welcome to the PIX firewall
Type help or '?' for a list of available commands.PIX525 enPassword:PIX525#sh config: Saved:PIX Version 6.0(1) ------ PIX當前的操作系統版本爲6.0Nameif ethernet0 outside security0Nameif ethernet1 inside security100 ------ 顯示目前pix只有2個接口Enable password 7Y051HhCcoiRTSQZ encryptedPassed 7Y051HhCcoiRTSQZ encrypted ------ pix防火牆密碼在默認狀態下已被加密,在配置文件中不會以明文顯示,telnet 密碼缺省爲ciscoHostname PIX525 ------ 主機名稱爲PIX525Domain-name 123.com ------ 本地的一個域名服務器123.com,通常用作爲外部訪問Fixup protocol ftp 21Fixup protocol http 80fixup protocol h323 1720fixup protocol rsh 514fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol sip 5060 ------ 當前啓用的一些服務或協議,注意rsh服務是不能改變端口號names ------ 解析本地主機名到ip地址,在配置中可以用名字代替ip地址,當前沒有設置,所以列表爲空pager lines 24 ------ 每24行一分頁interface ethernet0 autointerface ethernet1 auto ------ 設置兩個網卡的類型爲自適應mtu outside 1500mtu inside 1500 ------ 以太網標準的MTU長度爲1500字節
ip address outside 61.144.51.42 255.255.255.248ip address inside 192.168.0.1 255.255.255.0 ------ pix外網的ip地址61.144.51.42,內網的ip地址192.168.0.1ip audit info action alarmip audit attack action alarm ------ pix***檢測的2個命令。當有數據包具有***或報告型特徵碼時,pix將採取報警動作(缺省動作),向指定的日誌記錄主機產生系統日誌消息;此外還可以作出丟棄數據包和發出tcp連接復位信號等動作,需另外配置。pdm history enable ------ PIX設備管理器可以圖形化的監視PIXarp timeout 14400 ------ arp表的超時時間global (outside) 1 61.144.51.46 ------ 如果你訪問外部論壇或用QQ聊天等等,上面顯示的ip就是這個nat (inside) 1 0.0.0.0 0.0.0.0 0 0static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0conduit permit icmp any anyconduit permit tcp host 61.144.51.43 eq www anyconduit permit udp host 61.144.51.43 eq domain any------ 用61.144.51.43這個ip地址提供domain-name服務,而且只允許外部用戶訪問domain的udp端口route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部網關61.144.51.61timeout xlate 3:00:00 ------ 某個內部設備向外部發出的ip包經過翻譯(global)後,在缺省3個小時之後此數據包若沒有活動,此前創建的表項將從翻譯表中刪除,釋放該設備佔用的全局地址timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolute ------ AAA認證的超時時間,absolute表示連續運行uauth定時器,用戶超時後,將強制重新認證aaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol radius ------ AAA服務器的兩種協議。AAA是指認證,授權,審計。Pix防火牆可以通過AAA服務器增加內部網絡的安全no snmp-server locationno snmp-server contactsnmp-server community public ------ 由於沒有設置snmp工作站,也就沒有snmp工作站的位置和聯繫人no snmp-server enable traps ------ 發送snmp陷阱floodguard enable ------ 防止有人僞造大量認證請求,將pix的AAA資源用完no sysopt route dnattelnet timeout 5ssh timeout 5 ------ 使用ssh訪問pix的超時時間terminal width 80Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7PIX525#PIX525#write memory ------ 將配置保存
上面這個配置實例需要說明一下,pix防火牆直接擺在了與internet接口處,此處網絡環境有十幾個公有ip,可能會有朋友問如果我的公有ip很有限怎麼辦?你可以添加router放在pix的前面,或者global使用單一ip地址,和外部接口的ip地址相同即可。另外有幾個維護命令也很有用,show interface查看端口狀態,show static查看靜態地址映射,show ip查看接口ip地址,ping outside | inside ip_address確定連通性。
本文只是對pix防火牆的基本配置做了相關描述,pix其他的一些功能例如AAA服務器,***等等限於篇幅,不再一一介紹。希望本文能夠拋磚引玉,
若有興趣的讀者可以訪問以下資源:http://www.cisco.com/global/CN/products/sc/index.shtmlpix防火牆中文資料http://www.cisco.com/en/US/products...ons_guides.htmlpix防火牆英文官方網站,詳細的技術資料http://www.net130.com/ccnp-labs一個不錯的pix在線實驗
配置能通過WEB界面管理PIX設備的工作站。pdm location r2.3.301yuanfujun 255.255.255.255 insidepdm location r2.1.602wuxuehua2 255.255.255.255 insidepdm location r1.2.602sunfei 255.255.255.255 insidepdm history enablearp timeout 14400
配置地址轉換,靜態路由,雙向訪問列表,用ACL也可做。nat (inside) 0 access-list inside_outbound_nat0_aclnat (inside)0 202.102.54.0 255.255.255.0 0 0static (inside,outside) 202.102.54.0 202.102.54.0 netmask 255.255.255.0 0 0conduit permit tcp 202.102.54.208 255.255.255.240 ep www anyconduit permit udp 202.102.54.208 255.255.255.240 ep domain anyconduit permit tcp host 202.102.54.33 eq 15000 anyconduit permit tcp host 202.102.54.34 eq 15010 anyconduit permit tcp host 202.102.54conduit permit tcp host 202.102.54.75 range 8881 9999 anyroute outside 0.0.0.0 0.0.0.0 202.102.53.65 1route inside 202.102.54.0 255.255.255.0 202.102.54.2 1.33 eq 15010 any
配置IPSEC,在PIX上設置加密算法,加密的接口timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05)00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol raduisaaa-sever LOCAL protocol localhttp server enable