CISCO PIX防火牆的配置

  硬件防火牆，是網絡間的牆，防止非法侵入，過濾信息等，Cisco PIX防火牆操作系統跟Cisco IOS相似,都是用命令行的方式來進行操作。用配置線從電腦的COM2連到防火牆的console口，進入PIX操作系統採用windows系統裏的“超 級終端”，通訊參數設置爲默認。初始使用有一個初始化過程，主要設置：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網卡IP地址)、domain(主域)等。（我們以CISCO PIX 525實驗爲例）
下面我講一下一般用到的最基本配置
      1、 首先要激活以太端口用enable進入，然後進入configure模式
PIX525>enable
Password:
PIX525#config  terminal
PIX525(config)#interface ethernet0 auto
在默然情況下ethernet0是屬外部網卡outside,outside必須命令配置激活
PIX525(config)#interface ethernet1 auto
ethernet1是屬內部網卡inside,inside在初始化配置成功的情況下已經被激活生效
2、 命名端口與安全級別(nameif的相關內容我們在本篇文章下面進行簡單解釋)
採用命令nameif
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全級別（0安全級別最高）
security100是內部端口inside的安全級別,如果中間還有以太口，則security10，security20等等命名
3、 配置以太端口IP 地址
採用命令爲：ip address
如：內部網絡爲：192.168.1.0 255.255.255.0
外部網絡爲：10.0.0.0 255.0.0.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 10.0.0.1 255.0.0.0
4、 配置遠程訪問[telnet]
在默然情況下，PIX的以太端口是不允許telnet的，這一點與路由器有區別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet10.0.0.1 255.0.0.0 outside
測試telnet
telnet192.168.1.1
PIX passwd:
輸入密碼：
5、 訪問列表(access-list)
此功能與CiscoIOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個功能，網絡協議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問主機:10.0.0.3的www,端口爲：80
PIX525(config)#access-list 100 permit ip any host 10.0.0.3 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
6、 地址轉換（Nat）和端口轉換(PAT)
Nat跟路由器基本是一樣的，
首先必須定義IP Pool，提供給內部IP地址轉換的地址段，接着定義內部網段。
PIX525(config)#global (outside) 1 10.0.0.50-10.0.0.100 netmask 255.0.0.0　　global (outside) 1　1是序號可以爲2、3
PIX525(config)#Nat (outside) 1 192.168.0.0 255.255.255.0
如果是內部全部地址都可以轉換出去則：
PIX525(config)#Nat(outside) 1 0.0.0.0 0.0.0.0
則某些情況下，外部地址是很有限的，有些主機必須單獨佔用一個IP地址，必須解決的是公用一個外部IP(10.0.0.101),則必須多配置一條命令，這種稱爲（PAT），這樣就能解決更多用戶同時共享一個IP,有點像代理服務器一樣的功能。配置如下：
PIX525(config)#global (outside) 1 10.0.0.101-10.0.0.200 netmask 255.0.0.0
PIX525(config)#global (outside) 1 10.0.0.101 netmask255.255.255.0
PIX525(config)#Nat(outside) 1 0.0.0.0 0.0.0.0
7、 dhcp Server
在內部網絡，爲了維護的集中管理和充分利用有限IP地址，都會啓用動態主機分配IP地址服務器（dhcp Server），Cisco Firewall PIX都具有這種功能，下面簡單配置dhcp Server,地址段爲192.168.1.100—192.168.168.1.200
dns: 主221.231.133.1　　主域名稱：abc.com　　dhcp Client 通過PIX Firewall
PIX525(config)#ip address dhcp
dhcp Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp
dns 221.231.133.1
PIX525(config)#
dhcp domain abc.com
8、 靜態端口重定向(Port Redirection with Statics)
在PIX 版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個特殊的IP地址/端口通過Firewall PIX
傳輸到內部指定的內部服務器。這種功能也就是可以發佈內部WWW、ftp
、mail等服務器了，這種方式並不是直接連接，而是通過端口重定向，使得內部服務器很安全。
命令格式：
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]

telnet端口，通過PIX重定向到內部主機192.168.1.99的telnet端口（23）。
PIX525(config)#static (inside,outside) tcp 221.231.133.1
telnet192.168.1.99 telnet netmask 255.255.255.255 0 0

ftp，通過PIX重定向到內部192.168.1.3的
ftp Server。
PIX525(config)#static (inside,outside) tcp 10.0.0.51
ftp192.168.1.3 ftp netmask 255.255.255.255 0 0
www(即80端口)，通過PIX重定向到內部192.168.123的主機的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 10.0.0.202
www 192.168.1.2 www netmask 255.255.255.255 0 0
HTTP(8080端口)，通過PIX重定向到內部192.168.1.4的主機的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 10.0.0.202
8080 192.168.1.4 www netmask 255.255.255.255 0 0
smtp(25端口)，通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25端口)
PIX525(config)#static (inside,outside) tcp 10.0.0.202
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
Nameif命令基本格式如下
Nameif hardware-id if-name security-level
其中，hardware-id表示防火牆上接口的具體位置，如ethernet0或者ethernet1等等。這些是
思科防火牆在出廠的時候就已經設置好的，不能夠進行更改。若在沒有對接口進行重新命名的時候，我們只能夠通過這個接口位置名稱，來配置對應的接口參數。
而if-name 則是我們爲這個接口指定的具體名字。一般來說，這個名字希望能夠反映出這個接口的用途，就好象給這個接口取綽號一樣，要能夠反映能出這個接口的實際用途。 另外，這個命名的話，我們網絡管理員也必須遵守一定的規則。如這個名字中間不能用空格，不同用數字或者其他特殊字符(這不利於後續的操作)，在長度上也不 能夠超過48個字符。
security-level表示這個接口的安全等級。一般情況下，可以把IT服務管理器內部接口的安全等級可以設置的高一點，而企業外部接口的安全 等級則可以設置的低一點。如此的話，根據防火牆的訪問規則，安全級別高的接口可以防衛安全級別低的接口。也就是說，不需要經過特殊的設置，企業內部網絡就 可以訪問企業外部網絡。而如果外部網絡訪問內部網絡，由於是安全級別低的接口訪問安全級別高的接口，則必須要要進行一些特殊的設置，如需要訪問控制列表的 支持，等等。