2007-07-11 16:22:13
最近有機會使用PIX 501,先看點基礎;
PIX防火牆有內部和外部接口的概念。內部接口是內部的,通常是專用的網絡。外部接口是外部的,通常是公共的網絡。你要設法保護內部網絡不受外部網絡的影響。
PIX防火牆還使用自適應性安全算法(ASA)。這種算法爲接口分配安全等級,並且聲稱如果沒有規則許可,任何通信都不得從低等級接口(如外部接口)流向高等級接口(如內部接口)。這個外部接口的安全等級是“0”,這個內部接口的安全等級是“100”。
下面是顯示“nameif”命令的輸出情況:
pixfirewall# show nameif
nameif ethernet0 outside security0
nameif ethernet1 inside security100
pixfirewall#
請注意,ethernet0(以太網0)接口是外部接口(它的默認名字),安全等級是0。另一方面,ethernet1(以太網1)接口是內部接口的名字(默認的),安全等級是100。
pixfirewall# show nameif
nameif ethernet0 outside security0
nameif ethernet1 inside security100
pixfirewall#
請注意,ethernet0(以太網0)接口是外部接口(它的默認名字),安全等級是0。另一方面,ethernet1(以太網1)接口是內部接口的名字(默認的),安全等級是100。
指南
在開始設置之前,你的老闆已經給了你一些需要遵守的指南。這些指南是:
·所有的口令應該設置爲“思科”(實際上,除了思科之外,你可設置爲任意的口令)。
·內部網絡是10.0.0.0,擁有一個255.0.0.0的子網掩碼。這個PIX防火牆的內部IP地址應該是10.1.1.1。
·外部網絡是1.1.1.0,擁有一個255.0.0.0的子網掩碼。這個PIX防火牆的外部IP地址應該是1.1.1.1。
·你要創建一個規則允許所有在10.0.0.0網絡上的客戶做端口地址解析並且連接到外部網絡。他們將全部共享全球IP地址1.1.1.2。
·然而,客戶只能訪問端口80(網絡瀏覽)。
·用於外部(互聯網)網絡的默認路由是1.1.1.254
設置
當你第一次啓動PIX防火牆的時候,你應該看到一個這樣的屏幕顯示:
你將根據提示回答“是”或者“否”來決定是否根據這個互動提示來設置PIX防火牆。對這個問題回答“否”,因爲你要學習如何真正地設置防火牆,而不僅僅是回答一系列問題。
然後,你將看到這樣一個提示符:pixfirewall>
在提示符的後面有一個大於號“>”,你處在PIX用戶模式。使用en或者enable命令修改權限模式。在口令提示符下按下“enter”鍵。下面是一個例子:
pixfirewall> en
Password:
pixfirewall#
你現在擁有管理員模式,可以顯示內容,但是,你必須進入通用設置模式來設置這個PIX防火牆。
PIX防火牆的基本設置
我所說的基本設置包括三樣事情:
·設置主機名
·設置口令(登錄和啓動)
·設置接口的IP地址
·啓動接口
·設置一個默認的路由
在你做上述任何事情之前,你需要進入通用設置模式。要進入這種模式,你要鍵入:
pixfirewall# config t
pixfirewall(config)#
001 : 要設置主機名,使用主機名命令,像這樣:
pixfirewall(config)# hostname PIX1
PIX1(config)#
注意,提示符轉變到你設置的名字。
002 :下一步,把登錄口令設置爲“cisco”(思科),像這樣:
PIX1(config)# password cisco
PIX1(config)#
這是除了管理員之外獲得訪問PIX防火牆權限所需要的口令。
003 : 現在,設置啓動模式口令,用於獲得管理員模式訪問。
PIX1(config)# enable password cisco
PIX1(config)#
004 : 現在,我們需要設置接口的IP地址和啓動這些接口。同路由器不一樣,PIX沒有接口設置模式的概念。要設置內部接口的IP地址,使用如下命令:
PIX1(config)# ip address inside 10.1.1.1 255.0.0.0
PIX1(config)#
現在,設置外部接口的IP地址:
PIX1(config)# ip address outside 1.1.1.1 255.255.255.0
PIX1(config)#
005 :下一步,啓動內部和外部接口。確認每一個接口的以太網電纜線連接到一臺交換機。注意,ethernet0接口是外部接口,它在PIX 501防火牆中只是一個10base-T接口。ethernet1接口是內部接口,是一個100Base-T接口。下面是啓動這些接口的方法:
PIX1(config)# interface ethernet0 10baset
PIX1(config)# interface ethernet1 100full
PIX1(config)#
注意,你可以使用一個顯示接口的命令,就在通用設置提示符命令行使用這個命令。
最後,讓我們設置一個默認的路由,這樣,發送到PIX防火牆的所有的通訊都會流向下一個上行路由器(我們被分配的IP地址是1.1.1.254)。你可以這樣做:
PIX1(config)# route outside 0 0 1.1.1.254
PIX1(config)#
當然,PIX防火牆也支持動態路由協議(如RIP和OSPF協議)。
現在,我們接着介紹一些更高級的設置。
網絡地址解析
由於我們有IP地址連接,我們需要使用網絡地址解析讓內部用戶連接到外部網絡。我們將使用一種稱作“PAT”或者“NAT Overload”的網絡地址解析。這樣,所有內部設備都可以共享一個公共的IP地址(PIX防火牆的外部IP地址)。要做到這一點,請輸入這些命令:
PIX1(config)# nat (inside) 1 10.0.0.0 255.0.0.0
PIX1(config)# global (outside) 1 1.1.1.2
Global 1.1.1.2 will be Port Address Translated
PIX1(config)#
使用這些命令之後,全部內部客戶機都可以連接到公共網絡的設備和共享IP地址1.1.1.2。然而,客戶機到目前爲止還沒有任何規則允許他們這樣做。
防火牆規則
這些在內部網絡的客戶機有一個網絡地址解析。但是,這並不意味着允許他們訪問。他們現在需要一個允許他們訪問外部網絡(互連網)的規則。這個規則還將允許返回的通信。
要制定一個允許這些客戶機訪問端口80的規則,你可以輸入如下命令:
PIX1(config)# access-list outbound permit tcp 10.0.0.0 255.0.0.0 any eq 80
PIX1(config)# access-group outbound in interface inside
PIX1(config)#
注意:與路由器訪問列表不同,PIX訪問列表使用一種正常的子網掩碼,而不是一種通配符的子網掩碼。
使用這個訪問列表,你就限制了內部主機訪問僅在外部網絡的Web服務器(路由器)。
顯示和存儲設置結果
現在你已經完成了PIX防火牆的設置。你可以使用顯示命令顯示你的設置。
確認你使用寫入內存或者“wr m”命令存儲你的設置。如果你沒有使用這個命令,當關閉PIX防火牆電源的時候,你的設置就會丟失。
在開始設置之前,你的老闆已經給了你一些需要遵守的指南。這些指南是:
·所有的口令應該設置爲“思科”(實際上,除了思科之外,你可設置爲任意的口令)。
·內部網絡是10.0.0.0,擁有一個255.0.0.0的子網掩碼。這個PIX防火牆的內部IP地址應該是10.1.1.1。
·外部網絡是1.1.1.0,擁有一個255.0.0.0的子網掩碼。這個PIX防火牆的外部IP地址應該是1.1.1.1。
·你要創建一個規則允許所有在10.0.0.0網絡上的客戶做端口地址解析並且連接到外部網絡。他們將全部共享全球IP地址1.1.1.2。
·然而,客戶只能訪問端口80(網絡瀏覽)。
·用於外部(互聯網)網絡的默認路由是1.1.1.254
設置
當你第一次啓動PIX防火牆的時候,你應該看到一個這樣的屏幕顯示:
你將根據提示回答“是”或者“否”來決定是否根據這個互動提示來設置PIX防火牆。對這個問題回答“否”,因爲你要學習如何真正地設置防火牆,而不僅僅是回答一系列問題。
然後,你將看到這樣一個提示符:pixfirewall>
在提示符的後面有一個大於號“>”,你處在PIX用戶模式。使用en或者enable命令修改權限模式。在口令提示符下按下“enter”鍵。下面是一個例子:
pixfirewall> en
Password:
pixfirewall#
你現在擁有管理員模式,可以顯示內容,但是,你必須進入通用設置模式來設置這個PIX防火牆。
PIX防火牆的基本設置
我所說的基本設置包括三樣事情:
·設置主機名
·設置口令(登錄和啓動)
·設置接口的IP地址
·啓動接口
·設置一個默認的路由
在你做上述任何事情之前,你需要進入通用設置模式。要進入這種模式,你要鍵入:
pixfirewall# config t
pixfirewall(config)#
001 : 要設置主機名,使用主機名命令,像這樣:
pixfirewall(config)# hostname PIX1
PIX1(config)#
注意,提示符轉變到你設置的名字。
002 :下一步,把登錄口令設置爲“cisco”(思科),像這樣:
PIX1(config)# password cisco
PIX1(config)#
這是除了管理員之外獲得訪問PIX防火牆權限所需要的口令。
003 : 現在,設置啓動模式口令,用於獲得管理員模式訪問。
PIX1(config)# enable password cisco
PIX1(config)#
004 : 現在,我們需要設置接口的IP地址和啓動這些接口。同路由器不一樣,PIX沒有接口設置模式的概念。要設置內部接口的IP地址,使用如下命令:
PIX1(config)# ip address inside 10.1.1.1 255.0.0.0
PIX1(config)#
現在,設置外部接口的IP地址:
PIX1(config)# ip address outside 1.1.1.1 255.255.255.0
PIX1(config)#
005 :下一步,啓動內部和外部接口。確認每一個接口的以太網電纜線連接到一臺交換機。注意,ethernet0接口是外部接口,它在PIX 501防火牆中只是一個10base-T接口。ethernet1接口是內部接口,是一個100Base-T接口。下面是啓動這些接口的方法:
PIX1(config)# interface ethernet0 10baset
PIX1(config)# interface ethernet1 100full
PIX1(config)#
注意,你可以使用一個顯示接口的命令,就在通用設置提示符命令行使用這個命令。
最後,讓我們設置一個默認的路由,這樣,發送到PIX防火牆的所有的通訊都會流向下一個上行路由器(我們被分配的IP地址是1.1.1.254)。你可以這樣做:
PIX1(config)# route outside 0 0 1.1.1.254
PIX1(config)#
當然,PIX防火牆也支持動態路由協議(如RIP和OSPF協議)。
現在,我們接着介紹一些更高級的設置。
網絡地址解析
由於我們有IP地址連接,我們需要使用網絡地址解析讓內部用戶連接到外部網絡。我們將使用一種稱作“PAT”或者“NAT Overload”的網絡地址解析。這樣,所有內部設備都可以共享一個公共的IP地址(PIX防火牆的外部IP地址)。要做到這一點,請輸入這些命令:
PIX1(config)# nat (inside) 1 10.0.0.0 255.0.0.0
PIX1(config)# global (outside) 1 1.1.1.2
Global 1.1.1.2 will be Port Address Translated
PIX1(config)#
使用這些命令之後,全部內部客戶機都可以連接到公共網絡的設備和共享IP地址1.1.1.2。然而,客戶機到目前爲止還沒有任何規則允許他們這樣做。
防火牆規則
這些在內部網絡的客戶機有一個網絡地址解析。但是,這並不意味着允許他們訪問。他們現在需要一個允許他們訪問外部網絡(互連網)的規則。這個規則還將允許返回的通信。
要制定一個允許這些客戶機訪問端口80的規則,你可以輸入如下命令:
PIX1(config)# access-list outbound permit tcp 10.0.0.0 255.0.0.0 any eq 80
PIX1(config)# access-group outbound in interface inside
PIX1(config)#
注意:與路由器訪問列表不同,PIX訪問列表使用一種正常的子網掩碼,而不是一種通配符的子網掩碼。
使用這個訪問列表,你就限制了內部主機訪問僅在外部網絡的Web服務器(路由器)。
顯示和存儲設置結果
現在你已經完成了PIX防火牆的設置。你可以使用顯示命令顯示你的設置。
確認你使用寫入內存或者“wr m”命令存儲你的設置。如果你沒有使用這個命令,當關閉PIX防火牆電源的時候,你的設置就會丟失。
外1.ASA安全等級
默認情況下,Cisco PIX防火牆將安全等級應用到每一個接口。越安全的網絡段,
安全級別越高。安全等級的範圍從0~100,默認情況下,安全等級0適應於e0,並且它的默認名字是外部(outside),安全等級100適應於e1.並且它的默認名字是inside.
使用name if 可以配置附加的任何接口,安全等級在1~99之間e.g:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
自適應安全算法(ASA)允許流量從高安全等級段流向低安全等級段,不需要在安全策略中使用特定規則來允許這些連接,而只要用一個nat/global命令配置這些接口就行了。
同時如果你想要低安全等級段流向一個高安全等級段的流量必須經過安全策略(如acl或者conduit).
如果你把兩個接口的安全等級設置爲一樣,那流量不能流經這些接口
請記得ASA是cisco pix防火牆上狀態連接控制的關鍵。
默認情況下,Cisco PIX防火牆將安全等級應用到每一個接口。越安全的網絡段,
安全級別越高。安全等級的範圍從0~100,默認情況下,安全等級0適應於e0,並且它的默認名字是外部(outside),安全等級100適應於e1.並且它的默認名字是inside.
使用name if 可以配置附加的任何接口,安全等級在1~99之間e.g:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
自適應安全算法(ASA)允許流量從高安全等級段流向低安全等級段,不需要在安全策略中使用特定規則來允許這些連接,而只要用一個nat/global命令配置這些接口就行了。
同時如果你想要低安全等級段流向一個高安全等級段的流量必須經過安全策略(如acl或者conduit).
如果你把兩個接口的安全等級設置爲一樣,那流量不能流經這些接口
請記得ASA是cisco pix防火牆上狀態連接控制的關鍵。