如何配置Cisco PIX防火墻

深秋葉子 2010-09-19

展開全文

如何配置Cisco PIX防火墻
摘要：本文講述了我第一次親手接觸Cisco PIX防火墻，總結了防火墻基本配置十個方面的內(nèi)容。

硬件防火墻，是網(wǎng)絡間的墻，防止非法侵入，過濾信息等，從結構上講，簡單地說是一種PC式的電腦主機加上閃存（Flash）和防火墻操作系統(tǒng)。它的硬件跟共控機差不多，都是屬于能適合24小時工作的，外觀造型也是相類似。閃存基本上跟路由器一樣，都是那中EEPROM，操作系統(tǒng)跟Cisco IOS相似,都是命令行（Command）式。

我第一次親手那到的防火墻是Cisco Firewall Pix 525，是一種機架式標準（即能安裝在標準的機柜里），有2U的高度，正面看跟Cisco 路由器一樣，只有一些指示燈，從背板看，有兩個以太口（RJ-45網(wǎng)卡）,一個配置口（console）,2個USB,一個15針的Failover口，還有三個PCI擴展口。

如何開始Cisco Firewall Pix呢？我想應該是跟Cisco 路由器使用差不多吧，于是用配置線從電腦的COM2連到PIX 525的console口，進入PIX操作系統(tǒng)采用windows系統(tǒng)里的“超級終端”，通訊參數(shù)設置為默然。初始使用有一個初始化過程，主要設置：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，如果以上設置正確，就能保存以上設置，也就建立了一個初始化設置了。

進入Pix 525采用超級用戶(enable),默然密碼為空，修改密碼用passwd 命令。一般情況下Firewall配置，我們需要做些什么呢？當時第一次接觸我也不知道該做些什么，隨設備一起來的有《硬件的安裝》和《命令使用手冊》。我首先看了命令的使用，用于幾個小時把幾百面的英文書看完了，對命令的使用的知道了一點了，但是對如何配置PIX還是不大清楚該從何入手，我想現(xiàn)在只能去找cisco了,于是在www.下載了一些資料，邊看邊實踐了PIX。

防火墻是處網(wǎng)絡系統(tǒng)里，因此它跟網(wǎng)絡的結構密切相關，一般會涉及的有Route(路由器)、網(wǎng)絡IP地址。還有必須清楚標準的TCP[RFC793]和UDP[RFC768]端口的定義。下面我講一下一般用到的最基本配置：

1、建立用戶和修改密碼跟Cisco IOS路由器基本一樣。

2、激活以太端口

必須用enable進入，然后進入configure模式

PIX525>enable

Password:

PIX525#config t

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 auto

在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。

3、命名端口與安全級別

采用命令nameif

PIX525(config)#nameif ethernet0 outside security0

PIX525(config)#nameif ethernet0 outside security100

security0是外部端口outside的安全級別（0安全級別最高）
security100是內(nèi)部端口inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個網(wǎng)卡組成多個網(wǎng)絡，一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區(qū)域)。

4、配置以太端口IP 地址

采用命令為：ip address

如：內(nèi)部網(wǎng)絡為：192.168.1.0 255.255.255.0

外部網(wǎng)絡為：222.20.16.0 255.255.255.0

PIX525(config)#ip address inside 192.168.1.1 255.255.255.0

PIX525(config)#ip address outside 222.20.16.1 255.255.255.0

5、配置遠程訪問[telnet]

在默認情況下，PIX的以太端口是不允許telnet的，這一點與路由器有區(qū)別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關。

PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside

PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside

測試telnet

在[開始]->[運行]

telnet 192.168.1.1

PIX passwd:

輸入密碼：cisco

6、訪問列表(access-list)

此功能與Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個功能，網(wǎng)絡協(xié)議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問主機:222.20.16.254的www,端口為：80

PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www

PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 in interface outside

7、地址轉(zhuǎn)換（NAT）和端口轉(zhuǎn)換(PAT)

NAT跟路由器基本是一樣的，首先必須定義IP Pool，提供給內(nèi)部IP地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0

如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則：

PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0

在某些情況下，外部地址是很有限的，有些主機必須單獨占用一個IP地址，必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時共享一個IP,有點像代理服務器一樣的功能。配置如下：

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0

PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0

8、 DHCP Server

在內(nèi)部網(wǎng)絡，為了維護的集中管理和充分利用有限IP地址，都會啟用動態(tài)主機分配IP地址服務器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.168.1.200

DNS: 主202.96.128.68 備202.96.144.47

主域名稱：abc.com.cn

DHCP Client 通過PIX Firewall

PIX525(config)#ip address dhcp

DHCP Server配置

PIX525(config)#dhcp address 192.168.1.100-192.168.1.200 inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

PIX525(config)#dhcp domain abc.com.cn

9、靜態(tài)端口重定向(Port Redirection with Statics)

在PIX 版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個特殊的IP地址/端口通過Firewall PIX 傳輸?shù)絻?nèi)部指定的內(nèi)部服務器。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務器了，這種方式并不是直接連接，而是通過端口重定向，使得內(nèi)部服務器很安全。

命令格式：

static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]

static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]

!----外部用戶直接訪問地址222.20.16.99 telnet端口，通過PIX重定向到內(nèi)部主機192.168.1.99的telnet端口（23）。

PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask

255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.99 FTP，通過PIX重定向到內(nèi)部192.168.1.3的FTP Server。

PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.208 www(即80端口)，通過PIX重定向到內(nèi)部192.168.123的主機的www(即80端口)。

PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask

255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.201 HTTP(8080端口)，通過PIX重定向到內(nèi)部192.168.1.4的主機的www(即80端口)。

PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask

255.255.255.255 0 0

!----外部用戶直接訪問地址222.20.16.5 smtp(25端口)，通過PIX重定向到內(nèi)部192.168.1.5的郵件主機的smtp(即25端口)

PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask

255.255.255.255 0 0

10、顯示與保存結果

采用命令show config

保存采用write memory

PIX口令的恢復

恢復PIX的口令是通過運行相應軟件覆蓋當前運行的口令實現(xiàn)的。該軟件可以從Cisco站點下載，包含兩個文件：1，rawrite.exe ；2，根據(jù)PIX的IOS的不同選擇下列軟件之一：
nppix.bin (4.3 and earlier releases)
np44.bin (4.4 release)
np50.bin (5.0 release)
np51.bin (5.1 release)
在恢復PIX口令之前應準備一臺操作終端(可以為PC機、筆記本PC等)通過CONSOL口與設備連接。下面為具體操作步驟，整個過程大約為10分鐘。

PIX設備上有軟驅(qū)：
1、將包含上述文件的軟盤放如PIX的軟驅(qū)
2、運行rawrite.exe文件，在操作終端的屏幕上回答相應問題
3、重新啟動PIX設備，此時PIX會通過軟盤啟動，并提示：Erasing Flash Password. Please eject diskette and reboot
4、取出軟盤并重新啟動PIX設備，啟動后可不需口令進入高級用戶狀態(tài)
5、重新設置口令并保存新配置

PIX設備上無軟驅(qū)：
1、重新啟動PIX設備
2、在設備加電后且在操作終端屏幕上重新啟動信息之前迅速按操作終端的break鍵或Esc鍵，進入監(jiān)控狀態(tài)3、用interface命令選定一端口作為傳輸端口。PIX515上只有兩個端口，系統(tǒng)默認為內(nèi)部端口
4、用address命令配置IP地址
5、用server命令指定一遠端服務器
6、用file命令指定PIX password recovery file 的名稱，如：np51.bin
7、用ping命令檢測PIX設備與遠端服務器的聯(lián)通性
8、用tftp命令下載指定的文件
9、文件下載成功后操作終端顯示器會提示：
Do you wish to erase the passwords? [y/n] y
Passwords have been erased.
10、設置新的口令并保存新配置。
【轉(zhuǎn)自bbs.bitsCN.com】