信息安全之Cisco防火墙基本配置
摘要:硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟工控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那种EEPROM,操作系统跟CiscoIOS相似,都是命令行(Command)式,我第一次亲手拿到的防火墙是CiscoFirewallPix525,是一种机
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟工控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那种EEPROM,操作系统跟CiscoIOS相似,都是命令行(Command)式,我第一次亲手拿到的防火墙是CiscoFirewallPix525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩展口。
建立用户
建立用户和修改密码跟。CiscoIOS路由器基本一样
激活
激活以太端口必须用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#configt
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1auto
在默认情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,
inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
命名端口
采用命令nameif
PIX525(config)#nameifethernet0outsidesecurity0
security100
security0是外部端口outside的安全级别(100安全级别较高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(DemilitarizedZones非武装区域)。
配置地址
采用命令为:ipaddress
如:内部网络为:192.168.1.0255.255.255.0
外部网络为:222.20.16.0255.255.255.0
PIX525(config)#ipaddressinside192.168.1.1255.255.255.0
PIX525(config)#ipaddressoutside222.20.16.1255.255.255.0
配置远程
在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet192.168.1.1255.255.255.0inside
PIX525(config)#telnet222.20.16.1255.255.255.0outside
测试telnet
在[开始]->[运行]
telnet192.168.1.1
PIXpasswd:
输入密码:cisco
访问列表
此功能与CiscoIOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80
PIX525(config)#access-list100permitipanyhost222.20.16.254eqwww
denyipanyany
PIX525(config)#access-group100ininterfaceoutside
地址转换
NAT跟路由器基本是一样的,
首先必须定义IPPool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
PIX525(config)#nat(inside)1192.168.0.0255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat(inside)10.0.0.00.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
PIX525(config)#global(outside)1222.20.16.201netmask
255.255.255.0
PIX525(config)#nat(inside)10.0.0.00.0.0.0
DHCP
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCPServer),CiscoFirewallPIX都具有这种功能,下面简单配置DHCPServer,地址段为192.168.1.100—192.168.1.200
DNS:主202.96.128.68备202.96.144.47
主域名称:
DHCPClient通过PIXFirewall
PIX525(config)#ipaddressdhcp
DHCPServer配置
PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcpdns202.96.128.68202.96.144.47
PIX525(config)#dhcpdomain
静态端口
静态端口重定向(PortRedirectionwithStatics)
在PIX版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过FirewallPIX
传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99
telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。
PIX525(config)#static(inside,outside)tcp222.20.16.99
telnet192.168.1.99telnetnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.99
FTP,通过PIX重定向到内部192.168.1.3的FTPServer。
PIX525(config)#static(inside,outside)tcp222.20.16.99
ftp192.168.1.3ftpnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.208
www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。
www192.168.1.2wwwnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.201
HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
8080192.168.1.4wwwnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.5
smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
smtp192.168.1.4smtpnetmask255.255.255.25500
显示保存
显示命令showconfig
保存命令writememory
相关推荐:
延伸阅读
软考备考资料免费领取
去领取
- 1
- 9
- 1
专注在线职业教育23年
软考通信
APP 
微信群 
QQ群 - 课程咨询
- 学员服务
-
电话咨询
- 电话:400-111-9811
-
公众号
扫描二维码
关注希赛网站 -
APP下载
扫描二维码
下载APP - 返回顶部
扫描二维码
下载APP
