防火牆配置
防火牆保存命令:(config)#wr mem
防火牆清除配置命令:(config)#wr erase
1、設置安全級別 (外網0最高,內網 100最高,其他可以任意選)
(config)#nameif ethernet0 outside security0
(config)#nameif ethernet1 inside security100
(config)#nameif ethernet1 inside security100
(config)#nameif dmz security50
提示:在缺省配置中,以太網0被命名爲外部接口(outside),安全級別是0;以太網1
被命名爲內部接口(inside),安全級別是100.安全級別取值範圍爲1~99,數字越大安
全級別越高。
被命名爲內部接口(inside),安全級別是100.安全級別取值範圍爲1~99,數字越大安
全級別越高。
若添加新的接口,語句可以這樣寫:
(config)#nameif pix/intf3 security40 (安全級別任取)
(config)#nameif pix/intf3 security40 (安全級別任取)
(config)#interface gb-ethernet0 1000auto (光口)
(config)#nameif gb-ethernet0 intf2 security40 (光口)
2. 配置以太口參數(interface)
(config)#interface ethernet0 auto(auto選項表明系統自適應網卡類型)
(config)#interface ethernet1 auto
(config)#interface ethernet0 auto(auto選項表明系統自適應網卡類型)
(config)#interface ethernet1 auto
3. 配置內外網卡的IP地址(ip address)
(config)#ip address outside 61.144.51.42 255.255.255.248
(config)#ip address inside 192.168.0.1 255.255.255.0
(config)#ip address outside 61.144.51.42 255.255.255.248
(config)#ip address inside 192.168.0.1 255.255.255.0
4、指定要進行轉換的內部地址(nat)
nat命令配置語法:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示內網接口名字,例如inside.
其中(if_name)表示內網接口名字,例如inside.
Nat_id用來標識全局地址池,使它與其相應的global命令相匹配,
local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網
例1. (config)#nat (inside) 1 0 0
表示啓用nat,內網的所有主機都可以訪問外網,用0可以代表0.0.0.0
例2. (config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0這個網段內的主機可以訪問外網。
例1. (config)#nat (inside) 1 0 0
表示啓用nat,內網的所有主機都可以訪問外網,用0可以代表0.0.0.0
例2. (config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0這個網段內的主機可以訪問外網。
5. 指定外部地址範圍(global)
Global命令的配置語法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外網接口名字,例如outside.。
其中(if_name)表示外網接口名字,例如outside.。
Nat_id用來標識全局地址池,使它與其相應的nat命令相匹配,
ip_address-ip_address表示翻譯後的單個ip地址或一段ip地址範圍。
[netmark global_mask]表示全局ip地址的網絡掩碼。
例1. (config)#global (outside) 1 61.144.51.42-61.144.51.48
表示內網的主機通過pix防火牆要訪問外網時,pix防火牆將使用61.144.51.42-61.144.51.48這段ip地址池爲要訪問外網的主機分配一個全局ip地址。
例2. (config)#global (outside) 1 61.144.51.42
表示內網要訪問外網時,pix防火牆將爲訪問外網的所有主機統一使用61.144.51.42這個
單一ip地址。
表示內網的主機通過pix防火牆要訪問外網時,pix防火牆將使用61.144.51.42-61.144.51.48這段ip地址池爲要訪問外網的主機分配一個全局ip地址。
例2. (config)#global (outside) 1 61.144.51.42
表示內網要訪問外網時,pix防火牆將爲訪問外網的所有主機統一使用61.144.51.42這個
單一ip地址。
例2還可以表示成
(config)#global (outside) 1 interface (如果外網只有一個IP)
例3. (config)#no global (outside) 1 61.144.51.42
表示刪除這個全局表項。
例3. (config)#no global (outside) 1 61.144.51.42
表示刪除這個全局表項。
例4.如果是不連續的網絡段。
(config)#global (outside) 1 220.172.104.211-220.172.104.213
(config)#global (outside) 1 220.172.104.217
6. 設置指向內網和外網的靜態路由(route)
定義一條靜態路由。route命令配置語法:route (if_name) 0 0 gateway_ip
[metric]
其中(if_name)表示接口名字,例如inside,outside。
定義一條靜態路由。route命令配置語法:route (if_name) 0 0 gateway_ip
[metric]
其中(if_name)表示接口名字,例如inside,outside。
Gateway_ip表示網關路由器的ip地址。
[metric]表示到gateway_ip的跳數。通常缺省是1。
例1. (config)#route outside 0 0 61.144.51.168 1
表示一條指向邊界路由器(ip地址61.144.51.168)的缺省路由。
例2. (config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果內部網絡只有一個網段,按照例1那樣設置一條缺省路由即可;如果內部存在多個網
絡,需要配置一條以上的靜態路由。上面那條命令表示創建了一條到網絡10.1.1.0的靜
態路由,靜態路由的下一條路由器ip地址是172.16.0.1
例3、指向內部和外部的路由
例1. (config)#route outside 0 0 61.144.51.168 1
表示一條指向邊界路由器(ip地址61.144.51.168)的缺省路由。
例2. (config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果內部網絡只有一個網段,按照例1那樣設置一條缺省路由即可;如果內部存在多個網
絡,需要配置一條以上的靜態路由。上面那條命令表示創建了一條到網絡10.1.1.0的靜
態路由,靜態路由的下一條路由器ip地址是172.16.0.1
例3、指向內部和外部的路由
A、動態路由
router ospf 1
network 172.16.2.0 255.255.255.0 area 0
network 192.168.0.0 255.255.0.0 area 0
network 218.106.194.16 255.255.255.240 area 0
B、靜態路由
(config)#ip address inside 172.16.2.1 255.255.255.0
(config)#ip address outside 218.106.204.66 255.255.255.240
(config)#route outside 0.0.0.0 0.0.0.0 218.106.204.65 1 (IP爲下一跳)
(config)#route inside 192.168.0.0 255.255.0.0 172.16.2.2 1 (此爲內網下面的網絡)
以上配置後就可以通了!下面是些高級的控制
7、A、配置靜態IP地址翻譯(static)
static命令配置語法:static
(internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示內部網絡接口,安全級別較高。如inside.
external_if_name爲外部網絡接口,安全級別較低。如outside等。
(internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示內部網絡接口,安全級別較高。如inside.
external_if_name爲外部網絡接口,安全級別較低。如outside等。
outside_ip_address爲正在訪問的較低安全級別的接口上的ip地址。
inside_ ip_address爲內部網絡的本地ip地址。
例1. (config)#static (inside, outside) 61.144.51.62 192.168.0.8 (此爲防火牆在最前端)
表示ip地址爲192.168.0.8的主機,對於通過pix防火牆建立的每個會話,都被翻譯成61.144.51.62這個全局地址,也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。
表示ip地址爲192.168.0.8的主機,對於通過pix防火牆建立的每個會話,都被翻譯成61.144.51.62這個全局地址,也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。
例2. (config)#static (inside, outside) 192.168.0.2 10.0.1.3 (此爲防火牆在路由或者其他設備之後)
例3. (config)#static (dmz, outside) 211.48.16.2 172.16.10.8 (此爲DMZ的轉換)
B. 管道命令(conduit)
conduit命令配置語法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允許 | 拒絕訪問
global_ip 指的是先前由global或static命令定義的全局ip地址,
global_ip 指的是先前由global或static命令定義的全局ip地址,
如果global_ip爲0,就用any代替0;
如果global_ip是一臺主機,就用host命令參數。
port 指的是服務所作用的端口,例如www使用80,smtp使用25等等,我們可以通過服務名稱或端口數字來指定端口。
protocol 指的是連接協議,比如:TCP、UDP、ICMP等。
foreign_ip 表示可訪問global_ip的外部ip。對於任意主機,可以用any表示。
port 指的是服務所作用的端口,例如www使用80,smtp使用25等等,我們可以通過服務名稱或端口數字來指定端口。
protocol 指的是連接協議,比如:TCP、UDP、ICMP等。
foreign_ip 表示可訪問global_ip的外部ip。對於任意主機,可以用any表示。
如果foreign_ip是一臺主機,就用host命令參數。
例1. (config)#conduit permit tcp host 192.168.0.8 eq www any
這個例子表示允許任何外部主機對全局地址192.168.0.8的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eq ftp 就是指允許或拒絕只對ftp
的訪問。
例2. (config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
這個例子表示允許任何外部主機對全局地址192.168.0.8的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eq ftp 就是指允許或拒絕只對ftp
的訪問。
例2. (config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
例3. (config)#conduit permit icmp any any
表示允許icmp消息向內部和外部通過。
表示允許icmp消息向內部和外部通過。
例4. (config)#static (inside, outside) 61.144.51.62 192.168.0.3
(config)#conduit permit tcp host 61.144.51.62 eq www any
這個例子說明static和conduit的關係。192.168.0.3在內網是一臺web服務器,現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射:192.168.0.3->61.144.51.62(全局),然後利用conduit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。
C. 配置fixup協議
fixup命令作用是啓用,禁止,改變一個服務或協議通過pix防火牆,由fixup命令指定的
端口是pix防火牆要偵聽的服務。見下面例子:
例1. (config)#fixup protocol ftp 21
啓用ftp協議,並指定ftp的端口號爲21
例2. (config)#fixup protocol http 80
(config)#fixup protocol http 1080
爲http協議指定80和1080兩個端口。
例3. (config)#no fixup protocol smtp 80
禁用smtp協議。
fixup命令作用是啓用,禁止,改變一個服務或協議通過pix防火牆,由fixup命令指定的
端口是pix防火牆要偵聽的服務。見下面例子:
例1. (config)#fixup protocol ftp 21
啓用ftp協議,並指定ftp的端口號爲21
例2. (config)#fixup protocol http 80
(config)#fixup protocol http 1080
爲http協議指定80和1080兩個端口。
例3. (config)#no fixup protocol smtp 80
禁用smtp協議。
D. 設置telnet
telnet配置語法:telnet local_ip [netmask]
local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項,pix的配置方式只能由console進行。
telnet配置語法:telnet local_ip [netmask]
local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項,pix的配置方式只能由console進行。
(config)# telnet 0.0.0.0 0.0.0.0 inside
(config)# telnet 0.0.0.0 0.0.0.0 outside (此命令沒有通,上面的可以,思科默認的密碼是:CISCO )
E.允許或拒絕ping
(config)#ICMP permit/deny any echo-reply outside
(config)#Icmp permit/deny any unreachable outside
8、DHCP服務
PIX配置DHCP Server (經過驗證)
(config)#dhcpd address 192.168.1.4-192.168.1.254 inside (設置池)
(config)# dhcpd dns 203.196.0.6 202.106.0.20 (設置DNS)
(config)#dhcpd lease 3600 (設置時間)
(config)#dhcpd ping_timeout 750 (防止IP 衝突的時間)
(config)#dhcpd auto_config outside
(config)#dhcpd enable inside (在內網接口起用DHCP)
(config)#debug dhcpd // event/packet 兩個參數,事件信息/數據包信息,no debug dhcpd 關閉—調試DHCP
(config)#dhcpd domain domain_name //可選的,分配客戶端使用的域名
(config)#clear dhcpd //Bindings,statistics 綁定mac,ip,租期 ,統計信息
(config)#dhcpd auto_config client_ifx_name //自動將dhcp獲得的dns,wins等參數傳遞給dhcp服務器。
PIX535(config)# dhcpd address 10.10.10.26-10.10.10.254 inside
PIX535(config)# dhcpd dns 203.196.0.6 202.106.0.20
PIX535(config)# dhcpd lease 3600
PIX535(config)# dhcpd ping_timeout 750
PIX535(config)# dhcpd enable inside
PIX配置DHCP Client (未經過驗證,具體有環境了才能實驗)
pix(config)#ip address if_name dhcp // 接口名稱,獲得dhcp,後面還有參數,可省略
PIX配置DHCP Relay、pix(config)#dhcprelay server 10.1.1.1 outside
pix(config)#dhcprelay timeout 80
pix(config)#dhcprelay enable inside
pix(config)#show dhcprelay