PIX防火墻原理與配置學習目標了解PIX防火墻的基本概念掌握防火墻的基本配置命令理解PIX常見配置案例了解常用維護方法課程目錄第1節(jié)PIX防火墻基本概念第2節(jié)PIX防火墻基本配置方法第3節(jié)PIX防火墻配置案例第4節(jié)PIX防護配置PIX防火墻的區(qū)域InsideoutsideDMZ內部網絡外部網絡中間區(qū)域inside可以訪問任何outside和dmz區(qū)域。dmz可以訪問outside區(qū)域。inside訪問dmz需要配合static(靜態(tài)地址轉換)。outside訪問dmz需要配合acl(訪問控制列表)。IP包過濾技術介紹對防火墻需要轉發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設定的規(guī)則進行比較，根據(jù)比較的結果對數(shù)據(jù)包進行轉發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術是訪問控制列表。Internet公司總部內部網絡未授權用戶辦事處訪問控制列表(ACL)一個IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP）：IP報頭TCP報頭數(shù)據(jù)協(xié)議號源地址目的地址源端口目的端口對于TCP來說，這5個元素組成了一個TCP相關，訪問控制列表就是利用這些元素定義的規(guī)則NAT基本原理PCServerServerPCEudemonEth0/0/1Eth0/0/0TrustUntrust數(shù)據(jù)報1源：目的：數(shù)據(jù)報2源：目的：數(shù)據(jù)報1源：.目的：數(shù)據(jù)報2源：目的：InternetNAT（NetworkAddressTranslation，地址轉換）是將IP數(shù)據(jù)報報頭中的IP地址轉換為另一個IP地址的過程NAT/PAT地址轉換內網用戶PIX內網Internet地址池

NAT地址轉換：一對一（IP—>IP）PAT地址轉換:一對多（IP—>IP+端口號）映射內部服務器WEB服務器DMZ01:80FTP服務器00:2141:21S0:410100外網用戶Eudemon內網Internet內網用戶41:80雙向NATtrustuntrust00課程目錄第1節(jié)PIX防火墻基本概念第2節(jié)PIX防火墻基本配置方法第3節(jié)PIX防火墻配置案例第4節(jié)PIX防護配置PIX防火墻的接口PIX防火墻常見接口 Console口---------用于初始配置 Failover口---------用于故障切換端口 Ethernet口---------用于業(yè)務互聯(lián)和管理 USB口----------用于升級加載PIX防火墻的配置模式PIX防火墻的配置模式與路由器類似，有4種管理模式：PIXfirewall>用戶模式PIXfirewall#特權模式PIXfirewall(config)#配置模式monitor>

ROM監(jiān)視模式開機按住[Esc]鍵或發(fā)送一個“Break”字符，進入監(jiān)視模式。PIX防火墻的基本命令命令格式用途及說明Enablepasswordpassword

[encrypted]從非特權模式進入特權模式時的驗證命令，注意password可以是數(shù)字或字符串，但區(qū)分大小寫，且長度最大為16個字符。選項[encrypted]是默認應用的，在配置文件中口令是被加密的hostnamenewname為防火墻配置名稱Writeterminal保存當前配置，存儲于RAM中Writenet保存當前配置文件到TFTP服務器Writeerase清除Flash中的啟動配置文件Writememory對PIX的任意修改都會立即生效，并將配置保存于Flash中，且不影響防火墻的處理工作PIX防火墻的基本命令命

令

格

式用途及說明Writestandby將當前處于活躍狀態(tài)的防火墻的當前配置保存在備份防火墻的RAM中，一般使用故障切換功能的防火墻自動定期將配置寫入備份單元configurenet將TFTP的配置文件與RAM中配置文件合并，存儲于RAM中configurememory將當前配置文件與啟動配置文件合并，存儲于Flash中Showconfig用于顯示存儲在Flash中的啟動配置文件Showrunning-config顯示PIX防火墻的RAM中當前的配置文件PIX防火墻的基本命令命

令

格

式用途及說明Showhistory顯示以前的輸入命令。也可以按上下箭頭逐個檢查以前輸入的命令Showinterface查看接口的信息。在顯示結果中“Lineprotocolup/down”表示物理連接正常/不正常；“Networkinterfacetype”表示接口類型；“Nobuffer”內存不足，流量過大導致速度降低；“Overruns”網絡接口淹沒，不能緩存接收的信息；“underruns”防火墻被淹沒，不能讓數(shù)據(jù)快速到達網絡接口；“babbles”發(fā)送器在接口上的時間過長；“defered”鏈路上有數(shù)據(jù)活動，導致發(fā)送之前被延遲的幀的數(shù)量Showmemory顯示存儲器中和當前可用的存儲信息PIX防火墻的基本命令命

令

格

式用途及說明showversion顯示防火墻操作系統(tǒng)版本以及硬件類型、存儲器類型、處理器類型、Flash類型、許可證特性、序列號碼、激活密鑰等Showxlate顯示地址轉換列表；其中“Global”表示全局地址；“Local”表示本地地址；“Static”表示靜態(tài)地址翻譯；“nconns”本地與全局地址對連接數(shù)量；“econns”未完成連接（半打開）數(shù)量Showtelnet顯示被授權的Telnet訪問IP地址信息pingIP測試連通性telnetIP通過Telnet方式訪問該IP地址設備PIX防火墻的基本命令1、nameif設置接口名稱，并指定安全級別，安全級別取值范圍為1～100，數(shù)字越大安全級別越高。例如要求設置：ethernet0命名為外部接口outside，安全級別是0。ethernet1命名為內部接口inside，安全級別是100。ethernet2命名為中間接口dmz,安裝級別為50。使用命令：PIX525(config)#nameifethernet0outsidesecurity0PIX525(config)#nameifethernet1insidesecurity100PIX525(config)#nameifethernet2dmzsecurity50PIX防火墻的基本命令2、interface配置以太口工作狀態(tài)，常見狀態(tài)有：auto、100full、shutdown。auto：設置網卡工作在自適應狀態(tài)。100full：設置網卡工作在100Mbit/s，全雙工狀態(tài)。shutdown：設置網卡接口關閉，否則為激活。命令：PIX525(config)#interfaceethernet0autoPIX525(config)#interfaceethernet1100fullPIX525(config)#interfaceethernet1100fullshutdownPIX防火墻的基本命令3、ipaddress配置網絡接口的IP地址例如：內網inside接口使用私有地址，外網outside接口使用公網地址PIX525(config)#ipaddressoutside52PIX525(config)#ipaddressinside。PIX防火墻的基本命令4、global指定公網地址范圍：定義地址池。Global命令的配置語法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中：(if_name)：表示外網接口名稱，一般為outside。nat_id：建立的地址池標識(nat要引用)。ip_address-ip_address：表示一段ip地址范圍。[netmarkglobal_mask]：表示全局ip地址的網絡掩碼。例如：PIX525(config)#global(outside)1-5地址池1對應的IP是：-5PIX525(config)#global(outside)1地址池1只有一個IP地址。PIX525(config)#noglobal(outside)1表示刪除這個全局表項。PIX防火墻的基本命令5、nat地址轉換命令，將內網的私有ip轉換為外網公網ip。nat命令配置語法：nat(if_name)nat_idlocal_ip[netmark]其中：(if_name)：表示接口名稱，一般為inside.nat_id：表示地址池，由global命令定義。local_ip：表示內網的ip地址。對于表示內網所有主機。[netmark]：表示內網ip地址的子網掩碼。在實際配置中nat命令總是與global命令配合使用。一個指定外部網絡，一個指定內部網絡，通過net_id聯(lián)系在一起。例如：PIX525(config)#nat(inside)100表示內網的所有主機(00)都可以訪問由global指定的外網。PIX525(config)#nat(inside)1表示只有/16網段的主機可以訪問global指定的外網。PIX防火墻的基本命令6、routeroute命令定義靜態(tài)路由。語法：route(if_name)00gateway_ip[metric]其中：(if_name)：表示接口名稱。00：表示所有主機Gateway_ip：表示網關路由器的ip地址或下一跳。[metric]：路由花費。缺省值是1。例如：PIX525(config)#routeoutside001設置缺省路由從outside口送出，下一跳是。00代表

，表示任意網絡。PIX525(config)#routeinside1設置到網絡下一跳是。最后的“1”是花費。PIX防火墻的基本命令7、static配置靜態(tài)IP地址翻譯，使內部地址與外部地址一一對應。語法：static(internal_if_name,external_if_name)outside_ip_addr

inside_ip_address其中：internal_if_name表示內部網絡接口，安全級別較高，如inside。external_if_name表示外部網絡接口，安全級別較低，如outside。outside_ip_address表示外部網絡的公有ip地址。inside_ip_address表示內部網絡的本地ip地址。(括號內序順是先內后外，外邊的順序是先外后內)例如：PIX525(config)#static(inside，outside)表示內部ip地址，訪問外部時被翻譯成全局地址。PIX525(config)#static(dmz，outside)中間區(qū)域ip地址，訪問外部時被翻譯成全局地址。PIX防火墻的基本命令8、conduit管道conduit命令用來設置允許數(shù)據(jù)從低安全級別的接口流向具有較高安全級別的接口。例如允許從outside到DMZ或inside方向的會話(作用同訪問控制列表)。語法：Conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]其中：global_ip是一臺主機時前面加host參數(shù)，所有主機時用any表示。foreign_ip表示外部ip。[netmask]表示可以是一臺主機或一個網絡。例如：PIX525(config)#static(inside，outside)PIX525(config)#conduitpermittcphosteqwwwany這個例子說明static和conduit的關系。是內網一臺web服務器，現(xiàn)在希望外網的用戶能夠通過PIX防火墻訪問web服務。所以先做static靜態(tài)映射：－>然后利用conduit命令允許任何外部主機對全局地址進行http訪問。PIX防火墻的基本命令9、訪問控制列表ACL訪問控制列表的命令與couduit命令類似例：PIX525(config)#access-list100permitipanyhost

eqwwwPIX525(config)#access-list100denyipanyanyPIX525(config)#access-group100ininterfaceoutsidePIX防火墻的基本命令訪問列表和管道特性對比訪問列表特性訪問管道特性需要先使用access-list定義范圍，并通過access-group命令與接口建立關聯(lián)，才能生效只需使用conduit，不需要與接口建立關聯(lián)即可生效access-list和access-group具備較高的優(yōu)先級conduit具備較低的優(yōu)先級不僅適用于從較低安全級別接口到較高安全級別接口的流量控制，而且也可控制從較高安全級別接口到較低安全級別接口的流量只能控制從較低安全級別接口到較高安全級別接口的流量PIX防火墻的基本命令10、偵聽命令fixup作用是啟用或禁止一個服務或協(xié)議，通過指定端口設置PIX防火墻要偵聽listen服務的端口。例1：啟用ftp協(xié)議，并指定ftp的端口號為21PIX525(config)#fixupprotocolftp21例2：啟用http協(xié)議8080端口，禁止80端口。PIX525(config)#fixupprotocolhttp8080PIX525(config)#nofixupprotocolhttp80PIX防火墻的基本命令11、telnet配置命令：telnetlocal_ip[netmask]local_ip表示被授權可以通過telnet訪問到PIX的ip地址。如果不設此項，PIX的配置方式只能用console口接超級終端進行。在默然情況下，PIX的以太端口是不允許telnet的，這一點與路由器有區(qū)別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關。PIX525(config)#telnetinsidePIX525(config)#telnetoutsidePIX防火墻的基本命令12、顯示命令：Showinterface；查看端口狀態(tài)。Showstatic；查看靜態(tài)地址映射。Showip；查看接口ip地址。Writeterminal；將當前配置信息寫到終端。Showcpuusage；顯示CPU利用率，排查故障時常用。Showtraffic；查看流量。Showblocks；顯示攔截的數(shù)據(jù)包。Showmem；顯示內存課程目錄第1節(jié)PIX防火墻基本概念第2節(jié)PIX防火墻基本配置方法第3節(jié)PIX防火墻配置案例第4節(jié)PIX防護配置例1配置PIX接口IP，連通性outsideinsideDMZ/24//24/24E2E1E0//24/24/24LANDMZWAN要求：PIX能PING通各接口對端IP。例1配置PIX接口IP，連通性PIX>enablePassword:PIX#conftPIX(config)#hostnamePIXPIX(config)#interfacee0autoPIX(config)#interfacee1autoPIX(config)#interfacee2autoPIX(config)#nameife0outsidesecurity0PIX(config)#nameife1insidesecurity100PIX(config)#nameife2dmzsecurity50PIX(config)#ipaddressoutsidePIX(config)#ipaddressinsidePIX(config)#ipaddressdmz

例1配置PIX接口IP，連通性PIX(config)#showinterface例1配置PIX接口IP，連通性PIX(config)#ping／測試到LAN路由器接口的連通性responsereceived--40msresponsereceived--10msresponsereceived--20msPIX(config)#ping／測試到DMZ路由器接口的連通性responsereceived--40msresponsereceived--10msresponsereceived--20msPIX(config)#ping／WAN路由器接口的連通性responsereceived--20msresponsereceived--0msresponsereceived--10ms例2inside訪問outside

outsideinside/24/24E1E0/24/24LAN注：如果PIX不做設置，則從LAN到WAN的流量是無法出去的。要求：PC1所在網段能夠訪問PC2。/24/24PC1PC2需求1：內部網絡/8轉換，使用外部網絡地址00-10例2inside訪問outside

PIX(config)#nat(inside)1PIX(config)#global(outside)100-10需求2：內部網絡/8轉換，使用外部接口地址---PATPIX(config)#nat(inside)100PIX(config)#global(outside)1interfaceoutsideinterfaceaddressaddedtoPATpoolPIX(config)#例2inside訪問outside

需求3：地址池和PAT同時使用，地址池地址和內部網絡地址是一一對應的關系，現(xiàn)實中有時地址池不夠，建議和PAT同時使用。PIX(config)#nat(inside)1PIX(config)#global(outside)100-09PIX(config)#global(outside)110Global10willbePortAddressTranslated需求4：使用ACL來限制內部網絡到外部網絡的NAT

。//建立內到外的

telnet列表kkk

PIX(config)#access-listkkkpermittcpanyany

eqtelnet//允許ACL列表kkk

的流量PIX(config)#global(outside)1interfaceoutsideinterfaceaddressaddedtoPATpool驗證：1、在LAN的路由上telnetPC2

2、使用PC1telnetPC2

C:\>telnet例2inside訪問outside

例3配置PIXDHCP服務器要求：PC1自動獲取IP地址后訪問PC2，轉換地址為00。outsideinside/24E1E0/24/24PC2PC1例3配置PIXDHCP服務器配置步驟：//設定內部需轉換的地址段

PIX(config)#nat(inside)1//NAT轉換后的地址

PIX(config)#global(outside)100//內部網絡使用的dhcp

地址池

PIX(config)#dhcpdaddress0-00inside//設置分配dns地址

PIX(config)#dhcpd

dns3334//在內部接口上啟用dhcp

服務器

PIX(config)#dhcpdenableinside例4:NONAT轉換NAT實現(xiàn)內部網絡到外部網絡轉換，需要替換源地址，但有時不需要轉換內部網絡地址，而是直接透傳。則可用NONAT實行。outsideinside/24E1E0/24/24PC2PC1/24要求：PC1訪問PC2時，地址不轉換，相當于PIX做路由。例4:NONAT轉換方法1：Identitynonat

//nat

編號為0時，即啟動nonat

轉換，不用地址池PIX(config)#nat(inside)0nat0willbeidentitytranslatedforoutbound//在pix防火墻上查看結果PIX(config)#showxlate

1inuse,2mostusedGlobalLocalPIX(config)#方法2：bypassnonat//設置允許內部流量PIX(config)#access-listcccpermitipanyany//加載列表PIX(config)#nat(inside)0access-listccc

總結：Identitynonat

和bypassnonat

區(qū)別，bypassnonat

沒有xlate

記錄，而且可以通過ACL來限制流量例4:靜態(tài)內部轉換靜態(tài)內部轉換static命令允許一個位于低安全級別接口的流量，穿過pix防火墻到達一個有較高安全級別的

接口。例如：如果你想允許從外部接口到達DMZ接口或者從外部接口到內部接口的入站會話，就必須通過配置static命令和access-list命令來實現(xiàn)。outsideDMZ/24E2E0/24/24PC2WEB/24外部訪問WEB服務器時IP地址為0，端口號為80配置步驟://建立外到內的訪問ACLPIX(config)#access-listkkkpermittcpanyhost0eq80//ACL加載的outside接口上PIX(config)#access-groupkkkininterfaceoutside//建立靜態(tài)轉換PIX(config)#static(inside,outside)0例4:靜態(tài)內部轉換總結：static必須和access-list一起使用，返回數(shù)據(jù)包不受pix的nat（inside）和global(outside)的控制，也就是說，pix不配置nat

和global，同樣數(shù)據(jù)包一樣可以返回。例5:ICMP透傳

默認情況下pix的接口的默認可以被網絡ping通。但對于穿越pix的icmp

的流量可以通過nat

加ACL來控制，對于接口的icmp

流量通過icmp

命令來控制。outsideinside/24E1E0/24/24PC2PC1/24例5:ICMP透傳1、控制PIX接口的ICMP流量。//外部主機不能PING通PIXPIX(config)#icmpdeny00outside//內部主機不能PING通PIXPIX(config)#icmpdeny00inside//允許內部主機PING通PIXPIX(config)#clear

icmpdeny00inside//允許外部主機PING通PIXPIX(config)#clear

icmpdeny00outside如果做了PAT轉換，則外部網絡是不能PING通PIX的外部接口。例5:ICMP透傳2、icmp

穿越pix，由外到內流量。PIX(config)#static(inside,outside)PIX(config)#access-listkkkpermiticmpanyhostPIX(config)#access-groupkkkininterfaceoutside3、icmp

穿越pix，由內到外流量。PIX(config)#nat(inside)100PIX(config)#global(outside)1interfaceoutsideinterfaceaddressaddedtoPATpool