Cisco PIX 防火墙安装指南

2019-11-04 23:26:33

字体：大中小

来源：转载

供稿：网友

　　1. 将PIX安放至机架，经检测电源系统后接上电源，并加电主机。　
　　2. 将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入
　　PIX系统；此时系统提示pixfirewall>。
　　3. 输入命令：enable,进入特权模式，此时系统提示为pixfirewall#。　
　　4. 输入命令：configure terminal,对系统进行初始化设置。　
　　5. 配置以太口参数：
　　interface ethernet0 auto（auto选项表明系统自适应网卡类型）
　　interface ethernet1 auto
　　6. 配置内外网卡的ip地址：
　　ip address inside ip_address netmask
　　ip address outside ip_address netmask
　　7. 指定外部地址范围：
　　global 1 ip_address-ip_address
　　8. 指定要进行要转换的内部地址：
　　nat 1 ip_address netmask
　　9. 设置指向内部网和外部网的缺省路由
　　route inside 0 0 inside_default_router_ip_address　
　　route outside 0 0 outside_default_router_ip_address　
　　10. 配置静态IP地址对映：
　　static outside ip_address　　inside ip_address 　
　　11. 设置某些控制选项：
　　conduit global_ip port[-port] PRotocol foreign_ip [netmask] 　
　　global_ip指的是要控制的地址　
　　port　指的是所作用的端口，其中0代表所有端口　
　　protocol　　指的是连接协议，比如：TCP、UDP等　
　　foreign_ip　表示可访问global_ip的外部ip，其中表示所有的ip。　
　　12. 设置telnet选项：
　　telnet local_ip [netmask]
　　local_ip　　表示被答应通过telnet访问到pix的ip地址（假如不设此项，
　　PIX的配
　　置只能由consle方式进行）。　
　　13. 将配置保存：
　　wr mem
　　14. 几个常用的网络测试命令：
　　#ping
　　#show interface查看端口状态　
　　#show static　查看静态地址映射　
　　
　　Cisco PIX 520 是一款性能良好的网络安全产品，假如再加上Check Point 的软件防火墙组成两道防护，可以得到更加完善的安全防范。
　　
　　主要用于局域网的外连设备（如路由器、拨号访问服务器等）与内部网络之间，实现内部网络的安全防范，避免来自外部的恶意攻击。
　　
　　Cisco PIX 520的默认配置答应从内到外的所有信息请求，拒绝一切外来的主动访问，只答应内部信息的反馈信息进入。当然也可以通过某些设置，例如：访问表等，答应外部的访问。因为，远程用户的访问需要从外到内的访问。另外，可以通过NAT地址转换，实现公有地址和私有地址的转换。
　　
　　简单地讲，PIX 520的主要功能有两点：
　　
　　1.实现网络安全
　　
　　2.实现地址转换
　　
　　下面简单列出PIX 520 的基本配置
　　
　　1.Configure without NAT
　　
　　nameif ethernet0 outside security0
　　
　　nameif ethernet1 inside security100
　　
　　interface ethernet0 auto
　　
　　interface ethernet1 auto
　　
　　ip address outside 202.109.77.1 255.255.255.0 (假设对外端口地址)
　　
　　ip address inside 10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0)
　　
　　hostname bluegarden
　　
　　arp timeout 14400
　　
　　no failover
　　
　　names
　　
　　pager lines 24
　　
　　logging buffered debugging
　　
　　nat (inside) 0 0 0
　　
　　rip inside default no rip inside passive no rip outside default rip outside passive
　　
　　route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)
　　
　　timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute
　　
　　no snmp-server location no snmp-server contact snmp-server community public
　　
　　mtu outside 1500 mtu inside 1500
　　
　　2.Configure with NAT
　　
　　nameif ethernet0 outside security0
　　
　　nameif ethernet1 inside security100
　　
　　interface ethernet0 auto
　　
　　interface ethernet1 auto
　　
　　ip address outside 202.109.77.1 255.255.255.0 (假设对外端口地址)
　　
　　ip address inside 10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0)
　　
　　hostname bluegarden
　　
　　arp timeout 14400
　　
　　no failover
　　
　　names
　　
　　pager lines 24
　　
　　logging buffered debugging
　　
　　nat (inside) 1 0 0
　　
　　global (outside) 1 202.109.77.10-202.109.77.20 global (outside) 1 202.109.22.21
　　
　　no rip inside default no rip inside passive no rip outside default no rip outside passive
　　
　　conduit permit icmp any any
　　
　　route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)
　　
　　timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute
　　
　　no snmp-server location no snmp-server contact snmp-server community public
　　
　　mtu outside 1500 mtu inside 1500
　　
　　Cisco PIX 的多点服务配置
　　
　　PIX 520
　　
　　Two Interface Multiple Server Configuration
　　
　　nameif ethernet0 outside security0
　　
　　nameif ethernet0 inside security100
　　
　　interface ethernet0 auto
　　
　　interface ethernet1 auto
　　
　　ip address inside 10.1.1.1 255.0.0.0
　　
　　ip address outside 204.31.17.10 255.255.255.0
　　
　　logging on
　　
　　logging host 10.1.1.11
　　
　　logging trap 7
　　
　　logging facility 20
　　
　　no logging console
　　
　　arp timeout 600
　　
　　nat (inside) 1 10.0.0.0 255.0.0.0
　　
　　nat (inside) 2 192.168.3.0 255.255.255.0
　　
　　global (outside) 1 204.31.1.25-204.31.17.27
　　
　　global (outside) 1 204.31.1.24
　　
　　global (outside) 2 192.159.1.1-192.159.1.254
　　
　　conduit permit icmp any any
　　
　　outbound 10 deny 192.168.3.3 255.255.255.255 1720
　　
　　outbound 10 deny 0 0 80
　　
　　outbound 10 permit 192.168.3.3 255.255.255.255 80
　　
　　outbound 10 deny 192.168.3.3 255.255.255.255 java
　　
　　outbound 10 permit 10.1.1.11 255.255.255.255 80
　　
　　apply (inside) 10 outgoing_src
　　
　　no rip outside passive
　　
　　no rip outside default
　　
　　rip inside passive
　　
　　rip inside default
　　
　　route outside 0 0 204.31.17.1.1
　　
　　tacacs-server host 10.1.1.12 lq2w3e
　　
　　aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 tacacs+
　　
　　aaa authentication any inside 192.168.3.0 255.255.255.0 0 0
　　
　　static (inside,outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0
　　
　　conduit permit tcp 204.31.19.0 255.255.255.0 eg h323 any
　　
　　static (inside,outside) 204.31.17.29 10.1.1.11
　　
　　conduit permit tcp host 204.31.17.29 eq 80 any
　　
　　conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17
　　
　　conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17
　　
　　static (inside.outside) 204.31.1.30 10.1.1.3 netmask 255.255.255.255 10 10
　　
　　conduit permit tcp host 204.31.1.30 eq smtp any
　　
　　conduit permit tcp host 204.31.1.30 eq 113 any
　　
　　snmp-server host 192.168.3.2
　　
　　snmp-server location building 42
　　
　　snmp-server contact polly hedra
　　
　　snmp-server community ohwhatakeyisthee
　　
　　telnet 10.1.1.11 255.255.255.255
　　
　　telnet 192.168.3.0 255.255.255.0
　　
　　CISCO PIX 防火墙配置实践 ---- 介绍一个PIX防火墙实际配置案例，因为路由器的配置在安全性方面和PIX防火墙是相辅相成的，所以路由器的配置实例也一并列出。
　　
　　PIX 防火墙
　　
　　设置PIX防火墙的外部地址：
　　
　　ip address outside 131.1.23.2
　　
　　设置PIX防火墙的内部地址：
　　
　　ip address inside 10.10.254.1
　　
　　设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池：
　　
　　global 1 131.1.23.10-131.1.23.254
　　
　　答应网络地址为10.0.0.0 的网段地址被PIX 翻译成外部地址：
　　
　　nat 1 10.0.0.0
　　
　　网管工作站固定使用的外部地址为131.1.23.11：
　　
　　static 131.1.23.11 10.14.8.50
　　
　　答应从RTRA发送到到网管工作站的系统日志包通过PIX防火墙：
　　
　　conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255
　　
　　答应从外部发起的对邮件服务器的连接（131.1.23.10）：
　　
　　mailhost 131.1.23.10 10.10.254.3
　　
　　答应网络治理员通过远程登录治理IPX防火墙：
　　
　　telnet 10.14.8.50
　　
　　在位于网管工作站上的日志服务器上记录所有事件日志：
　　
　　syslog facility 20.7
　　
　　syslog host 10.14.8.50
　　
　　路由器 RTRA
　　
　　----RTRA是外部防护路由器，它必须保护PIX防火墙免受直接攻击，保护FTP/HTTP服务器，同时作为一个警报系统，假如有人攻入此路由器，治理可以立即被通知。
　　
　　阻止一些对路由器本身的攻击：
　　
　　no service tcp small-servers
　　
　　强制路由器向系统日志服务器发送在此路由器发生的每一个事件，包括被存取列表拒绝的包和路由器配置的改变；这个动作可以作为对系统治理员的早期预警，预示有人在试图攻击路由器，或者已经攻入路由器，正在试图攻击防火墙：
　　
　　logging trap debugging
　　
　　此地址是网管工作站的外部地址，路由器将记录所有事件到此主机上：
　　
　　logging 131.1.23.11
　　
　　保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击（见存取列表）：
　　
　　enable secret xxxxxxxxxxx
　　
　　interface Ethernet 0
　　
　　ip address 131.1.23.1 255.255.255.0
　　
　　interface Serial 0
　　
　　ip unnumbered ethernet 0
　　
　　ip access-group 110 in
　　
　　禁止任何显示为来源于路由器RTRA和PIX防火墙之间的信息包，这可以防止欺骗攻击：
　　
　　access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
　　
　　防止对PIX防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接PIX防火墙外部接口的事件：
　　
　　access-list 110 deny ip any host 131.1.23.2 log
　　
　　答应已经建立的TCP会话的信息包通过：
　　
　　access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
　　
　　答应和FTP/HTTP服务器的FTP连接：
　　
　　access-list 110 permit tcp any host 131.1.23.3 eq ftp
　　
　　答应和FTP/HTTP 服务器的FTP数据连接：
　　
　　access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
　　
　　答应和FTP/HTTP 服务器的HTTP连接：
　　
　　access-list 110 permit tcp any host 131.1.23.2 eq www
　　
　　禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的事件：
　　
　　access-list 110 deny ip any host 131.1.23.2 log
　　
　　答应其他预定在PIX防火墙和路由器RTRA之间的流量：
　　
　　access-list 110 permit ip any 131.1.23.0 0.0.0.255
　　
　　限制可以远程登录到此路由器的IP地址：
　　
　　line vty 0 4
　　
　　login
　　
　　passWord xxxxxxxxxx
　　
　　access-class 10 in
　　
　　只答应网管工作站远程登录到此路由器，当你想从Internet治理此路由器时，应对此存取控制列表进行修改：
　　
　　access-list 10 permit ip 131.1.23.11
　　
　　路由器 RTRB
　　
　　----RTRB是内部网防护路由器，它是你的防火墙的最后一道防线，是进入内部网的入口。
　　
　　记录此路由器上的所有活动到网管工作站上的日志服务器，包括配置的修改：
　　
　　logging trap debugging
　　
　　logging 10.14.8.50
　　
　　答应通向网管工作站的系统日志信息：
　　
　　interface Ethernet 0
　　
　　ip address 10.10.254.2 255.255.255.0
　　
　　no ip proxy-arp
　　
　　ip access-group 110 in
　　
　　
　　
　　access-list 110 permit udp host 10.10.254.0 0.0.0.255
　　
　　禁止所有别的从PIX防火墙发来的信息包：
　　
　　access-list 110 deny ip any host 10.10.254.2 log
　　
　　答应所有别的来源于PIX防火墙和路由器RTRB之间的流量：
　　
　　access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp
　　
　　禁止别的来源与邮件服务器的流量：
　　
　　access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255
　　
　　防止内部网络的信任地址欺骗：
　　
　　access-list deny ip any 10.10.254.0 0.0.0.255
　　
　　答应所有别的来源于PIX防火墙和路由器RTRB之间的流量：
　　
　　access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255
　　
　　限制可以远程登录到此路由器上的IP地址：
　　
　　line vty 0 4
　　
　　login
　　
　　password xxxxxxxxxx
　　
　　access-class 10 in
　　
　　只答应网管工作站远程登录到此路由器，当你想从Internet治理此路由器时，应对此存取控制列表进行修改：
　　
　　access-list 10 permit ip 10.14.8.50
　　
　　----按以上设置配置好PIX防火墙和路由器后，PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口，也不可能判定出内部任何一台主机的IP地址，即使告诉了内部主机的IP地址，要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护。

上一篇：如何正确配置Cisco IOS防火墙

下一篇：CCIE 实验：VPN Tunnel Network [PIX]