CiscoPIX防火牆配置命令大全

2021-03-04 03:04:30 字數 5173 閱讀 6343

一、pix防火牆的認識

pix是cisco的硬體防火牆,硬體防火牆有工作速度快,使用方便等特點。

pix有很多態號,併發連線數是pix防火牆的重要引數。pix25是典型的裝置。

pix防火牆常見介面有:console、failover、ether***、usb。

網路區域:

內部網路:inside

外部網路:outside

中間區域:稱dmz(停火區)。放置對外開放的伺服器。

二、防火牆的配置規則

沒有連線的狀態(沒有握手或握手不成功或非法的資料報),任何資料報無法穿過防火牆。

(內部發起的連線可以回包。通過acl開放的伺服器允許外部發起連線)

inside可以訪問任何outside和dmz區域。

dmz可以訪問outside區域。

inside訪問dmz需要配合static(靜態位址轉換)。

outside訪問dmz需要配合acl(訪問控制列表)。

三、pix防火牆的配置模式

pix防火牆的配置模式與路由器類似,有4種管理模式:

pixfirewall>:使用者模式

pixfirewall#:特權模式

pixfirewall(config)#:配置模式

monitor>:rom監視模式,開機按住[esc]鍵或傳送乙個「break」字元,進入監視模式。

四、pix基本配置命令

常用命令有:nameif、inte***ce、ipaddress、nat、global、route、static等。

1、nameif

設定介面名稱,並指定安全級別,安全級別取值範圍為1~100,數字越大安全級別越高。

例如要求設定:

ether***0命名為外部介面outside,安全級別是0。

ether***1命名為內部介面inside,安全級別是100。

ether***2命名為中間介面dmz,安裝級別為50。

使用命令:

pix525(config)#nameifether***0outsidesecurity0

pix525(config)#nameifether***1insidesecurity100

pix525(config)#nameifether***2dmzsecurity50

2、inte***ce

配置以太口工作狀態,常見狀態有:auto、100full、shutdown。

auto:設定網絡卡工作在自適應狀態。

100full:設定網絡卡工作在100mbit/s,全雙工狀態。

shutdown:設定網絡卡介面關閉,否則為啟用。

命令:pix525(config)#inte***ceether***0auto

pix525(config)#inte***ceether***1100full

pix525(config)#inte***ceether***1100fullshutdown

3、ipaddress

配置網路介面的ip位址,例如:

pix525(config)#ipaddressoutside133.0.0.1255.255.255.252

pix525(config)#ipaddressinside192.168.0.1255.255.255.0

內網inside介面使用私有位址192.168.0.1,外網outside介面使用公網位址133.0.0.1。

4、global

指定公網位址範圍:定義位址池。

global命令的配置語法:

global(if_name)nat_idip_address-ip_address[***markglobal_mask]

其中:(if_name):表示外網介面名稱,一般為outside。

nat_id:建立的位址池標識(nat要引用)。

ip_address-ip_address:表示一段ip位址範圍。

[***markglobal_mask]:表示全域性ip位址的網路掩碼。

例如:pix525(config)#global(outside)1133.0.0.1-133.0.0.15

位址池1對應的ip是:133.0.0.1-133.0.0.15

pix525(config)#global(outside)1133.0.0.1

位址池1只有乙個ip位址133.0.0.1。

pix525(config)#noglobal(outside)1133.0.0.1

表示刪除這個全域性表項。

5、nat

位址轉換命令,將內網的私有ip轉換為外網公網ip。

nat命令配置語法:nat(if_name)nat_idlocal_ip[***mark]

其中:(if_name):表示介面名稱,一般為inside.

nat_id:表示位址池,由global命令定義。

local_ip:表示內網的ip位址。對於0.0.0.0表示內網所有主機。

[***mark]:表示內網ip位址的子網掩碼。

在實際配置中nat命令總是與global命令配合使用。

乙個指定外部網路,乙個指定內部網路,通過***_id聯絡在一起。

例如:pix525(config)#nat(inside)100

表示內網的所有主機(00)都可以訪問由global指定的外網。

pix525(config)#nat(inside)1172.16.5.0255.255.0.0

表示只有172.16.5.0/16網段的主機可以訪問global指定的外網。

6、route

route命令定義靜態路由。

語法:route(if_name)00gateway_ip[metric]

其中:(if_name):表示介面名稱。

00:表示所有主機

gateway_ip:表示閘道器路由器的ip位址或下一跳。

[metric]:路由花費。預設值是1。

例如:pix525(config)#routeoutside00133.0.0.11

設定預設路由從outside口送出,下一跳是133.0.0.1。

00代表0.0.0.00.0.0.0,表示任意網路。

pix525(config)#routeinside10.1.0.0255.255.0.010.8.0.11

設定到10.1.0.0網路下一跳是10.8.0.1。最後的「1」是花費。

7、static

配置靜態ip位址翻譯,使內部位址與外部位址一一對應。

語法:static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address

其中:internal_if_name表示內部網路介面,安全級別較高,如inside。

external_if_name表示外部網路介面,安全級別較低,如outside。

outside_ip_address表示外部網路的公有ip位址。

inside_ip_address表示內部網路的本地ip位址。

(括號內序順是先內後外,外邊的順序是先外後內)

例如:pix525(config)#static(inside,outside)133.0.0.1192.168.0.8

表示內部ip位址192.168.0.8,訪問外部時被翻譯成133.0.0.1全域性位址。

pix525(config)#static(dmz,outside)133.0.0.1172.16.0.2

中間區域ip位址172.16.0.2,訪問外部時被翻譯成133.0.0.1全域性位址。

8、conduit

管道conduit命令用來設定允許資料從低安全級別的介面流向具有較高安全級別的介面。

例如允許從outside到dmz或inside方向的會話(作用同訪問控制列表)。

語法:conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[***mask]

其中:global_ip是一台主機時前面加host引數,所有主機時用any表示。

foreign_ip表示外部ip。

[***mask]表示可以是一台主機或乙個網路。

例如:pix525(config)#static(inside,outside)133.0.0.1192.168.0.3

pix525(config)#conduitpermittcphost133.0.0.1eqwwwany

這個例子說明static和conduit的關係。192.168.0.3是內網一台web伺服器,

現在希望外網的使用者能夠通過pix防火牆訪問web服務。

所以先做static靜態對映:192.168.0.3->133.0.0.1

然後利用conduit命令允許任何外部主機對全域性位址133.0.0.1進行http訪問。

9、訪問控制列表acl

訪問控制列表的命令與couduit命令類似,

例:pix525(config)#access-list100permitipanyhost133.0.0.1eqwww

pix525(config)#access-list100denyipanyany

pix525(config)#access-group100ininte***ceoutside

10、偵聽命令fixup

作用是啟用或禁止乙個服務或協議,

通過指定埠設定pix防火牆要偵聽listen服務的埠。

例:pix525(config)#fixupprotocolftp21

啟用ftp協議,並指定ftp的埠號為21

啟用http協議8080埠,禁止80埠。

11、tel***

當從外部介面要tel***到pix防火牆時,tel***資料流需要用vpn隧道ipsec提供保護或

在pix上配置ssh,然後用sshclient從外部到pix防火牆。

例:tel***local_ip[***mask]

local_ip表示被授權可以通過tel***訪問到pix的ip位址。

如果不設此項,pix的配置方式只能用console口接超級終端進行。

12、顯示命令:

showinte***ce ;檢視埠狀態。

showstatic;檢視靜態位址對映。

showip;檢視介面ip位址。

showconfig;檢視配置資訊。

防火牆配置方案

由於蚌埠廣播電視台是蚌埠廣播電視台網的主要組成部分,它的安全性 可靠性對其正常行使巨集觀經濟調控職能起著重要的作用,所以對其防火牆分系統採用雙機備份,而其它省級蚌埠廣播電視台只採用單機防火牆配置,其系統配置方案如圖5.4所示。在蚌埠廣播電視台與專網互聯處加入一台防火牆。由於蚌埠廣播電視台網路需要連線...

華為路由器防火牆配置命令總結

一 access list 用於建立訪問規則。1 建立標準訪問列表 access list normal special listnumber1 source addr source mask 2 建立擴充套件訪問列表 access list normal special listnumber2 p...

華為路由器和防火牆配置命令總結

一 access list 用於建立訪問規則。1 建立標準訪問列表 access list normal special listnumber1 source addr source mask 2 建立擴充套件訪問列表 access list normal special listnumber2 p...