Cisco PIX配置大全

下一页 1 2 

　　 

　　在配置PIX防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：

　　内部区域（内网）：内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。

　　外部区域（外网）：外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部 区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。
停火区（DMZ）：停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。
注意：2个接口的防火墙是没有停火区的。

　　由于PIX535在企业级别不具有普遍性，因此下面主要说明PIX525在企业网络中的应用。

　　PIX防火墙提供4种管理访问模式：

非特权模式。 PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>
特权模式。 输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#
配置模式。 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 PIX防火墙在开机或重启过程中，按住Escape键或发送一个"Break"字符，进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>

配置PIX防火墙有6个基本命令：nameif，interface，ip address，nat，global，route.

这些命令在配置PIX时是必须的。以下是配置的基本步骤：

1. 配置防火墙接口的名字，并指定安全级别（nameif）。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：
Pix525(config)#nameif pix/intf3 security40 （安全级别任取）

2. 配置以太口参数（interface）
Pix525(config)#interface ethernet0 auto        （auto选项表明系统自适应网卡类型 ）
Pix525(config)#interface ethernet1 100full        （100full选项表示100Mbit/s以太网全双工通信 ）
Pix525(config)#interface ethernet1 100full shutdown （shutdown选项表示关闭这个接口，若启用接口去掉shutdown ）

3. 配置内外网卡的IP地址（ip address）
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显，Pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1

例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。

例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

例3. Pix525(config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。

例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
     Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：192.168.0.3－>61.144.51.62（全局），然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

C. 配置fixup协议
fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：
例1． Pix525(config)#fixup protocol ftp 21            启用ftp协议，并指定ftp的端口号为21
例2． Pix525(config)#fixup protocol http 80
      Pix525(config)#fixup protocol http 1080         为http协议指定80和1080两个端口。
例3． Pix525(config)#no fixup protocol smtp 80        禁用smtp协议。

D. 设置telnet

telnet有一个版本的变化。在pix OS 5.0（pix*作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSH client从外部telnet到PIX防火墙，PIX支持SSH1和SSH2，不过SSH1是免费软件，SSH2是商业软件。相比之下cisco路由器的telnet就做得不怎么样了。
telnet配置语法：telnet local_ip [netmask] local_ip
表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。

说了这么多，下面给出一个配置实例供大家参考。

Welcome to the PIX firewall

Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config :
Saved :
PIX Version 6.0(1) ------ PIX当前的*作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为cisco
Hostname PIX525 ------ 主机名称为PIX525
Domain-name 123.com ------ 本地的一个域名服务器123.com，通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议，注意rsh服务是不能改变端口号的
names ------ 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。
pdm history enable ------ PIX设备管理器可以图形化的监视
PIX arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location no snmp-server contact snmp-server community public ------ 由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求，将pix的AAA资源用完
no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 将配置保存
上面这个配置实例需要说明一下，pix防火墙直接摆在了与internet接口处，此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办？你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，show interface查看端口状态，show static查看静态地址映射，show ip查看接口ip地址，ping outside | inside ip_address确定连通性。

PIX上实现VPN步骤
在PIX上防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务：

一、为IPSec做准备

为IPSec做准备涉及到确定详细的加密策略，包括确定我们要保护的主机和网络，选择一种认证方法，确定有关IPSec对等体的详细信息，确定我们所需的IPSec特性，并确认现有的访问控制列表允许IPSec数据流通过；
步骤1：根据对等体的数量和位置在IPSec对等体间确定一个IKE（IKE阶段1，或者主模式）策略；
步骤2：确定IPSec（IKE阶段2，或快捷模式）策略，包括IPSec对等体的细节信息，例如IP地址及IPSec变换集和模式； 
步骤3：用"write terminal"、"show isakmp"、"show isakmp policy"、"show crypto map "命令及其他"show"命令来检查当前的配置； 
步骤4：确认在没有使用加密前网络能够正常工作，用"ping"命令并在加密前运行测试数据流来排除基本的路由故障； 
步骤5：确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过，或者想要的数据流将可以被过滤出来。 

二、配置IKE 配置IKE涉及到启用IKE（和isakmp是同义词），创建IKE策略，和验证我们的配置； 
步骤1：用"isakmp enable"命令来启用或关闭IKE； 
步骤2：用"isakmp policy"命令创建IKE策略； 
步骤3：用"isakmp key"命令和相关命令来配置预共享密钥； 
步骤4：用"show isakmp [policy]"命令来验证IKE的配置。  

原文转自：http://www.ltesting.net