爱上免费AV久久激情在,青青草老司机成人,影音先锋在线视频日本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

正確對(duì)Cisco PIX防火墻進(jìn)行配置步驟

以下的文章主要向大家講述的是正確配置Cisco PIX防火墻的實(shí)際操作流程，在眾多的企業(yè)級(jí)主流防火墻中，我個(gè)人認(rèn)為Cisco PIX防火墻可以說(shuō)是所有同類(lèi)產(chǎn)品性能最好的一種。以下就是文章的主要內(nèi)容講述。

如何配置Cisco PIX防火墻

在眾多的企業(yè)級(jí)主流防火墻中，Cisco PIX防火墻是所有同類(lèi)產(chǎn)品性能最好的一種。Cisco PIX系列防火墻目前有5種型號(hào)PIX506，515，520，525，535。其中PIX535是PIX 500系列中最新，功能也是最強(qiáng)大的一款。它可以提供運(yùn)營(yíng)商級(jí)別的處理能力，適用于大型的ISP等服務(wù)提供商。但是PIX特有的OS操作系統(tǒng)，使得大多數(shù)管理是通過(guò)命令行來(lái)實(shí)現(xiàn)的，不象其他同類(lèi)的防火墻通過(guò)Web管理界面來(lái)進(jìn)行網(wǎng)絡(luò)管理，這樣會(huì)給初學(xué)者帶來(lái)不便。本文將通過(guò)實(shí)例介紹如何配置Cisco PIX防火墻。

在配置PIX防火墻之前，先來(lái)介紹一下防火墻的物理特性。防火墻通常具有至少3個(gè)接口，但許多早期的防火墻只具有2個(gè)接口;當(dāng)使用具有3個(gè)接口的防火墻時(shí)，就至少產(chǎn)生了3個(gè)網(wǎng)絡(luò)，描述如下：

內(nèi)部區(qū)域(內(nèi)網(wǎng)) 內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡(luò)或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。它是互連網(wǎng)絡(luò)的信任區(qū)域，即受到了防火墻的保護(hù)。

外部區(qū)域(外網(wǎng)) 外部區(qū)域通常指Internet或者非企業(yè)內(nèi)部網(wǎng)絡(luò)。它是互連網(wǎng)絡(luò)中不被信任的區(qū)域，當(dāng)外部區(qū)域想要訪問(wèn)內(nèi)部區(qū)域的主機(jī)和服務(wù)，通過(guò)防火墻，就可以實(shí)現(xiàn)有限制的訪問(wèn)。

停火區(qū)(DMZ)?；饏^(qū)是一個(gè)隔離的網(wǎng)絡(luò)，或幾個(gè)網(wǎng)絡(luò)。位于?；饏^(qū)中的主機(jī)或服務(wù)器被稱(chēng)為堡壘主機(jī)。一般在?；饏^(qū)內(nèi)可以放置Web服務(wù)器，Mail服務(wù)器等。停火區(qū)對(duì)于外部用戶(hù)通常是可以訪問(wèn)的，這種方式讓外部用戶(hù)可以訪問(wèn)企業(yè)的公開(kāi)信息，但卻不允許他們?cè)L問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。注意：2個(gè)接口的Cisco PIX防火墻是沒(méi)有?；饏^(qū)的。

由于PIX535在企業(yè)級(jí)別不具有普遍性，因此下面主要說(shuō)明PIX525在企業(yè)網(wǎng)絡(luò)中的應(yīng)用。

PIX防火墻提供4種管理訪問(wèn)模式：

非特權(quán)模式。 PIX防火墻開(kāi)機(jī)自檢后，就是處于這種模式。系統(tǒng)顯示為pixfirewall>

特權(quán)模式。輸入enable進(jìn)入特權(quán)模式，可以改變當(dāng)前配置。顯示為pixfirewall#

配置模式。輸入configure terminal進(jìn)入此模式，絕大部分的系統(tǒng)配置都在這里進(jìn)行。顯示為pixfirewall(config)#

監(jiān)視模式。 PIX防火墻在開(kāi)機(jī)或重啟過(guò)程中，按住Escape鍵或發(fā)送一個(gè)“Break”字符，進(jìn)入監(jiān)視模式。這里可以更新操作系統(tǒng)映象和口令恢復(fù)。顯示為monitor>

配置PIX防火墻有6個(gè)基本命令：nameif，interface，ip address，nat，global，route.

這些命令在配置PIX是必須的。以下是配置的基本步驟：

1. 配置防火墻接口的名字，并指定安全級(jí)別(nameif)。 Pix525(config)#nameif ethernet0 outside security0 Pix525(config)#nameif ethernet1 inside security100 Pix525(config)#nameif dmz security50

提示：在缺省配置中，以太網(wǎng)0被命名為外部接口(outside)，安全級(jí)別是0;以太網(wǎng)1被命名為內(nèi)部接口(inside)，安全級(jí)別是100.安全級(jí)別取值范圍為1～99，數(shù)字越大安全級(jí)別越高。若添加新的接口，語(yǔ)句可以這樣寫(xiě)：

Pix525(config)#nameif pix/intf3 security40 (安全級(jí)別任取)

2. 配置以太口參數(shù)(interface) Pix525(config)#interface ethernet0 auto(auto選項(xiàng)表明系統(tǒng)自適應(yīng)網(wǎng)卡類(lèi)型 ) Pix525(config)#interface ethernet1 100full(100full選項(xiàng)表示100Mbit/s以太網(wǎng)全雙工通信 ) Pix525(config)#interface ethernet1 100full shutdown (shutdown選項(xiàng)表示關(guān)閉這個(gè)接口，若啟用接口去掉shutdown )

3. 配置內(nèi)外網(wǎng)卡的IP地址(ip address) Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 Pix525(config)#ip address inside 192.168.0.1 255.255.255.0

很明顯，Pix525防火墻在外網(wǎng)的ip地址是61.144.51.42，內(nèi)網(wǎng)ip地址是192.168.0.1

4. 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址(nat)

網(wǎng)絡(luò)地址翻譯(nat)作用是將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)的公有ip.Nat命令總是與global命令一起使用，這是因?yàn)閚at命令可以指定一臺(tái)主機(jī)或一段范圍的主機(jī)訪問(wèn)外網(wǎng)，訪問(wèn)外網(wǎng)時(shí)需要利用global 所指定的地址池進(jìn)行對(duì)外訪問(wèn)。nat命令配置語(yǔ)法：nat (if_name) nat_id local_ip

其中(if_name)表示內(nèi)網(wǎng)接口名字，例如inside. Nat_id用來(lái)標(biāo)識(shí)全局地址池，使它與其相應(yīng)的global命令相匹配，local_ip表示內(nèi)網(wǎng)被分配的ip地址。例如0.0.0.0表示內(nèi)網(wǎng)所有主機(jī)可以對(duì)外訪問(wèn)。表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。

例1.Pix525(config)#nat (inside) 1 0 0

表示啟用nat,內(nèi)網(wǎng)的所有主機(jī)都可以訪問(wèn)外網(wǎng)，用0可以代表0.0.0.0

例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0這個(gè)網(wǎng)段內(nèi)的主機(jī)可以訪問(wèn)外網(wǎng)。

5. 指定外部地址范圍(global)

global命令把內(nèi)網(wǎng)的ip地址翻譯成外網(wǎng)的ip地址或一段地址范圍。Global命令的配置語(yǔ)法：global (if_name) nat_id ip_address-ip_address

其中(if_name)表示外網(wǎng)接口名字，例如outside.。Nat_id用來(lái)標(biāo)識(shí)全局地址池，使它與其相應(yīng)的nat命令相匹配，ip_address-ip_address表示翻譯后的單個(gè)ip地址或一段ip地址范圍。表示全局ip地址的網(wǎng)絡(luò)掩碼。

例1. Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48

表示內(nèi)網(wǎng)的主機(jī)通過(guò)pix防火墻要訪問(wèn)外網(wǎng)時(shí)，pix防火墻將使用61.144.51.42-61.144.51.48這段ip地址池為要訪問(wèn)外網(wǎng)的主機(jī)分配一個(gè)全局ip地址。

例2. Pix525(config)#global (outside) 1 61.144.51.42

表示內(nèi)網(wǎng)要訪問(wèn)外網(wǎng)時(shí)，Cisco PIX防火墻將為訪問(wèn)外網(wǎng)的所有主機(jī)統(tǒng)一使用61.144.51.42這個(gè)單一ip地址。

例3. Pix525(config)#no global (outside) 1 61.144.51.42

表示刪除這個(gè)全局表項(xiàng)。

6. 設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由(route)

定義一條靜態(tài)路由。route命令配置語(yǔ)法：route (if_name) 0 0 gateway_ip

其中(if_name)表示接口名字，例如inside，outside。Gateway_ip表示網(wǎng)關(guān)路由器的ip地址。表示到gateway_ip的跳數(shù)。通常缺省是1。

例1. Pix525(config)#route outside 0 0 61.144.51.168 1

表示一條指向邊界路由器(ip地址61.144.51.168)的缺省路由。

例2. Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1

Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1

如果內(nèi)部網(wǎng)絡(luò)只有一個(gè)網(wǎng)段，按照例1那樣設(shè)置一條缺省路由即可;如果內(nèi)部存在多個(gè)網(wǎng)絡(luò)，需要配置一條以上的靜態(tài)路由。上面那條命令表示創(chuàng)建了一條到網(wǎng)絡(luò)10.1.1.0的靜態(tài)路由，靜態(tài)路由的下一條路由器ip地址是172.16.0.1

這6個(gè)基本命令若理解了，就可以進(jìn)入到pix防火墻的一些高級(jí)配置了。

A. 配置靜態(tài)IP地址翻譯(static)

如果從外網(wǎng)發(fā)起一個(gè)會(huì)話，會(huì)話的目的地址是一個(gè)內(nèi)網(wǎng)的 ip地址，static就把內(nèi)部地址翻譯成一個(gè)指定的全局地址，允許這個(gè)會(huì)話建立。static命令配置語(yǔ)法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口，安全級(jí)別較高。如inside.

external_if_name為外部網(wǎng)絡(luò)接口，安全級(jí)別較低。如outside等。outside_ip_address為正在訪問(wèn)的較低安全級(jí)別的接口上的ip地址。inside_ ip_address為內(nèi)部網(wǎng)絡(luò)的本地ip地址。

例1. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8#p#

表示ip地址為192.168.0.8的主機(jī)，對(duì)于通過(guò)pix防火墻建立的每個(gè)會(huì)話，都被翻譯成61.144.51.62這個(gè)全局地址，也可以理解成static命令創(chuàng)建了內(nèi)部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態(tài)映射。

例2. Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3

例3. Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8

注釋同例1。通過(guò)以上幾個(gè)例子說(shuō)明使用static命令可以讓我們?yōu)橐粋€(gè)特定的內(nèi)部ip地址設(shè)置一個(gè)永久的全局ip地址。這樣就能夠?yàn)榫哂休^低安全級(jí)別的指定接口創(chuàng)建一個(gè)入口，使它們可以進(jìn)入到具有較高安全級(jí)別的指定接口。

B. 管道命令(conduit)

前面講過(guò)使用static命令可以在一個(gè)本地ip地址和一個(gè)全局 ip地址之間創(chuàng)建了一個(gè)靜態(tài)映射，但從外部到內(nèi)部接口的連接仍然會(huì)被Cisco PIX防火墻的自適應(yīng)安全算法(ASA)阻擋，conduit命令用來(lái)允許數(shù)據(jù)流從具有較低安全級(jí)別的接口流向具有較高安全級(jí)別的接口，例如允許從外部到DMZ或內(nèi)部接口的入方向的會(huì)話。對(duì)于向內(nèi)部接口的連接，static和 conduit命令將一起使用，來(lái)指定會(huì)話的建立。

conduit命令配置語(yǔ)法：

conduit permit | deny global_ip port<-port> protocol foreign_ip

permit | deny 允許 | 拒絕訪問(wèn)

global_ip 指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0;如果global_ip是一臺(tái)主機(jī)，就用host命令參數(shù)。

port 指的是服務(wù)所作用的端口，例如www使用80，smtp使用25等等，我們可以通過(guò)服務(wù)名稱(chēng)或端口數(shù)字來(lái)指定端口。