1、pix防火墻配置實驗,pix,Pix,實驗大綱,實驗一：基本設置,環(huán)境說明： PIX525防火墻采用7.21版本IOS. PC:主機 VPC:虛擬機 接口、ip設置如圖所示.,配置pix接口、ip地址,Enable configure terminal Hostname pix interface ethernet 0 Nameif inside security-level 100 speed auto duple auto ip address no shutdown Exit,interface ethernet 1 Nameif insid

2、e security-level 0 speed auto duple auto ip address no shutdown Exit,測試,Ping 01測試到LAN接口的連通性。 Ping 01測試到WAN接口的連通性。 PIX(config)# show running-config 查看內存中的配置文件 PIX(config)# show memory 查看內存使用 PIX(config)# show version 查看設備、授權、版本等等 PIX(config)# show ip address查看接口

3、ip 地址 PIX(config)# show interface查看接口信息 PIX(config)#show logging 查看日志 PIX(config)# show clock 查看設備時鐘 PIX(config)#show conn 查看當前處于活躍的連接 PIX(config)# write erase 清除閃存中配置文件,試驗二、inside到outside的訪問,需求： 從內部的要telnet到外部的01主機。 如果PIX 不做設置，則從LAN 到WAN 的流量是無法出去的。 步驟： PIX的基本配置(配ip，配接口級別，配route) NAT

4、轉換（由inside到outside） 測試,inside到outside的訪問,使用outside接口ip實現(xiàn)端口地址轉換 說明：由inside 發(fā)出的數(shù)據(jù)包，標簽nat1，到外部時源地址會被outside 接口地址替換。由內向外的ping包，源地址也會被替換，但ping包默認可出，但返回時被outside接口阻擋。此實驗如果擴展開來，pix還得配置到外部的路由。,PIX(config)# nat (inside) 1 0 0,PIX(config)# global (outside) 1 interface outside interface address added to PAT po

5、ol,內部流量過濾，允許內部任何流量（注：ICMP包可出但不可回）,inside到outside特定流量控制,只允許內部pc的24網(wǎng)絡流量 使用地址池或PAT pix防火墻對于內部到外部的流量默認不能做ping，做其它服務必須使用NAT功能，對到未知網(wǎng)絡還需配置路由。而且pix防火墻可以通過由內部向外發(fā)出的返回數(shù)據(jù)包，而且默認拒絕由外部向內部發(fā)出的主動連接數(shù)據(jù)包。,PIX(config)# no nat (inside) 1 0 0 PIX(config)# no global (outside) 1 interface PIX(config)# nat (inside) 1

6、 PIX(config)# global (outside) 1 1-5netmask ,使用ACL限制inside到outside流量,只允許到01的telnethttp流量通過。 即允許做NAT但據(jù)絕流量通過。比較下一方案：,PIX(config)# access-list nat permit tcp any host 01 eq 23 PIX(config)# access-list nat permit tcp any host 01

7、eq 80 PIX(config)# access-list nat deny ip any any PIX(config)# access-group nat in interface inside,PIX(config)# access-list nat1 permit tcp any host 02 eq 23 PIX(config)# access-list nat1 permit tcp any host 01 eq 80 PIX(config)# nat (inside) 1 access-list nat1 PIX(config)# global

8、(outside) 1 interface PIX(config)# end,只有符合access-list的數(shù)據(jù)流才可以被nat.,試驗三、Nat與static的實驗,需求： 使inside的對象可訪問outside，VPC可訪問inside的telnet和http，端口的映射用于保護內部服務器。 步驟： 先做nat或者pat(使inside的對象可訪問outside)實驗步驟略。 操作outside到inside的static的轉換（使pc可訪問inside的telnet和http）。 特殊端口的使用（端口的映射用于保護內部服務器）。,Nat與static配置,3.靜態(tài)轉換（由outsid

9、e到inside）,PIX(config)# nat (inside) 1 0 0 PIX(config)# global (outside) 1 interface,PIX(config)# static (inside,outside) 1 01,1.PIX的基本配置(配ip，配接口級別，配route) 2.PAT地址轉換（由inside到outside）,4.書寫訪問列表（使外部可訪內部的web和telnet）,access-list 101 extended permit tcp any host 01 eq 80 access-list

10、 101 extended permit tcp any host 01 eq 23 Pix(config)# access-group 101 in interface outside,static的端口的映射配置,3.定義static轉換及端口的映射（由outside到inside）,static (inside,outside) tcp 1 8023 01 -telnet netmask 55 static (inside,outside) tcp 1 8080 01 -www ne

11、tmask 55,1.PIX的基本配置(配ip，配接口級別，配route) 2.PAT地址轉換（由inside到outside）,4.書寫訪問列表（使外部可訪內部的web和telnet）,access-list 101 permit tcp any host 1 eq telnet access-list 101 permit tcp any host 1 eq 8023 access-list 101 permit tcp any host 1 eq 8080 access-group 101 in interface

12、 outside,試驗四、ICMP 控制,需求： 使用icmp命控制對pix接口的icmp流量。使用nat加ACL來控制穿越pix的icmp的流量。,控制對pix接口的icmp流量 Icmp控制。 Icmp echo控制。 恢復流量。,控制穿越pix的icmp 的流量 由外到內。 由內到外。,控制對pix接口的icmp流量,PIX(config)#icmp deny 0 0 outside PIX(config)#icmp deny 0 0 inside,外部主機、內部主機都不能ping通pix，pix也不能ping它們。,PIX(config)#icmp deny 0 0 echo insi

13、de PIX(config)#icmp deny 0 0 echo outside PIX(config)#clear icmp deny 0 0 inside PIX(config)#clear icmp,阻止內部主機發(fā)出的echo包 阻止外部主機發(fā)出的echo包 允許內部主機ping 恢復ping通pix端口,控制穿越pix的icmp 的流量,PIX(config)#static (inside,outside) 01 pix(config)#access-list a permit icmp any host pix(config)#a

14、ccess-group a in interface outside,由外到內ping 通，實際上ping通的是01,pix(config)#nat (inside) 1 0 0 pix(config)#global (outside) 1 interface pix(config)#access-list b permit icmp any any pix(config)#access-group b in interface outside,默認icmp 數(shù)據(jù)包可以出去但不能返回。 加載ACL目的是讓icmp數(shù)據(jù)包能夠返回。 由內到外ping 20.1.1.

15、101通。,試驗五、保存基本配置到tftp服務器,需求： 利用tftp服務器保存和恢復Firewall配置。 步驟： 3CDaemon安裝配置。 在Pix上配置tftpsyslog服務 保存恢復配置,3CDaemon安裝配置,3CDaemon 是一款集成TFTP server、FTPserver、Syslog、server、FTP client為一體的工具軟件。安裝后運行在內部網(wǎng)絡的本機上，管理目錄為c:servertftp,PIX tftp、syslog 配置,PIX(config)# logging on PIX(config)# logging host inside 0

16、1 PIX(config)# logging trap debugging PIX(config)# tftp-server inside 01 pix,啟用日志功能，指定syslog服務器地址，指定陷阱為debugging。 指定內部tftp服務器地址，存放目錄為pix。,PIX(config)# write net :pix1 PIX(config)# configure net :pix1,保存內存配置到tftp服務器的pix目錄下，文件名為pix1。 把存在tftp-server上的配置文件copy回來。,試驗六、telnet和ssh到PIX防火墻,需求： pix 內部

17、接口可以實現(xiàn)telnet 連接，外部接口議使用ssh連接。,telnet步驟: PIX基本配置。 給pix上telnet設置。 會話管理。,SSH步驟: 設置域名。 設置key長度。 建立內部和外部訪問。 SSH 客戶端。,telnet配置,PIX(config)# telnet 01 55 inside PIX(config)# telnet timeout 10 PIX(config)# passwd telnetpix PIX(config)# banner motd this is my PIX,設置telnet密碼 設置內部網(wǎng)絡的一個ip或網(wǎng)絡可以telet。 telnet空閑會話超過10分鐘則關閉會話。,PIX(config)# who PIX(config)# kill 0,查看那個ip正在連接pix控制臺。 kill掉連接到pix控制臺的會話。 Telnet連接測試,SSH配置,PIX(config)# domain PIX(config)# crypto key genera