实验四防火墙基本配置实验

实验四防火墙基本配置实验【实验目的】1．认识防火墙的基根源理；2．掌握防火墙的基本配置方法。【实验环境】1．实验3-4人一组。2．CiscoPIX防火墙一台。3．PC机4台，其中一台PC机上安装FTP服务器端软件，并连接在内部网络。4．RJ-45连接电缆若干。5．Console配置线一根。【实验内容】1．按图1-1搭建当地配置环境经过PC机用Console配置线连接到防火墙Console口对防火墙进行配置。Console口Console口配置电缆防火墙RS-232串口PC图1-1Console配置环境2．按图1-2拓扑结构组网。ethernet0/0内部PC

ethernet1/0外面PC防火墙FTPServer图1-2包过滤防火墙配置案例组网图3．配置要求：（如有已保存的配置，先使用writeerase除去闪存中的配置信息）（1）所有的口令都设置为“cisco”（实质上，除了“cisco”之外，你可设置为任意的口令，但实验中一致用“cisco”以防备口令纷乱带来的问题）。（2）内部网络是，子网掩码为。PIX防火墙的内部IP地址是。3）外面网络是，子网掩码为，PIX防火墙的外面IP地址是。4）在防火墙上配置地址变换，使内部PC机使用IP地址接见外面网络。5）用于外面网络的默认路由是。（6）外面网络上的计算机只能接见内部网络FTP服务。7）赞同网段的电脑telnet到防火墙上。4．将配置文件以附件方式用电子邮件发送到lws@。附件名为：实验四配置文件-学号姓名。【实验参照步骤】注意：实验中用到的IP地址等内容以实验要求中的内容为准，以下内容中的配置举例仅为说明命令的用法。在配置PIX防火墙从前，先来介绍一下防火墙的物理特点。防火墙平时拥有最少3个接口，但好多早期的防火墙只拥有2个接口；当使用拥有3个接口的防火墙时，就最少产生了3个网络，描述以下：内部地域（内网）：内部地域平时就是指企业内部网络也许是企业内部网络的一部分。它是互连网络的相信地域，即碰到了防火墙的保护。外面地域（外网）：外面地域平时指Internet也许非企业内部网络。它是互连网络中不被相信的地域，当外面地域想要接见内部地域的主机和服务，经过防火墙，便能够实现有限制的接见。停火区（DMZ）：停火区是一个隔断的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内能够放置Web服务器，Mail服务器等。停火区对于外部用户平时是能够接见的，这种方式让外面用户能够接见企业的公开信息，但却不一样意他们接见企业内部网络。注意：2个接口的防火墙是没有停火区的。当第一次启动PIX防火墙的时候，能够看到一个这样的屏幕显示:能够依照提示回答“是”也许“否”来决定可否依照这个互动提示来设置PIX防火墙。对这个问题一般回答“否”。（因为要学习如何真切地设置防火墙，不是不过回答一系列问题即可以学会的。）尔后，出现提示符:pixfirewall>在提示符的后边有一个大于号“>，”表示现在处于PIX用户模式。PIX防火墙供应4种管理接见模式：非特权模式：PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>特权模式：输入enable进入特权模式，能够改变当前配置。显示为pixfirewall#配置模式：输入configureterminal进入此模式，绝大部分的系统配置都在这里进行。显示为

pixfirewall(config)#监察模式：PIX防火墙在开机或重启过程中，按住Escape键或发送一个"Break"字符，进入监察模式。这里能够更新*作系统映象和口令恢复。显示为monitor>配置PIX防火墙有6个基本命令：nameif，interface，ipaddress，nat，global，route。这些命令在配置PIX时是必定的。以下是配置的基本步骤：1．配置防火墙接口的名字，并指定安全级别（nameif）。pixfirewall(config)#nameifethernet0outsidesecurity0pixfirewall(config)#nameifethernet1insidesecurity100pixfirewall(config)#nameifdmzsecurity50提示：在缺省配置中，以太网0被命名为外面接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若增加新的接口，语句能够这样写：pixfirewall(config)#nameifpix/intf3security40（安全级别任取）2．配置以太口参数（interface）pixfirewall(config)#interfaceethernet0auto（auto选项表示系统自适应网卡种类）pixfirewall(config)#interfaceethernet1100full（100full选项表示100Mbit/s以太网全双工通信）pixfirewall(config)#interfaceethernet1100fullshutdown（shutdown选项表示关闭这个接口，若启用接口去掉shutdown）3．配置内外网卡的IP地址（ipaddress）Pix防火墙在外网的IP地址是，内网IP地址是4．指定要进行变换的内部地址（nat）网络地址翻译（nat）作用是将内网的私有ip变换为外网的公有IP。nat命令总是与global命令一起使用，这是因为nat命令能够指定一台主机或一段范围的主机接见外网，接见外网时需要利用global所指定的地址池进行对外接见。nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]其中（if_name）表示内网接口名字，比方inside。nat_id用来表记全局地址池，使它与其相应的global命令相般配，local_ip表示内网被分配的IP地址。比方表示内网所有主机能够对外接见。[netmark]表示内网ip地址的子网掩码。例1．Pixfirewall(config)#nat(inside)100表示启用nat,内网的所有主机都能够接见外网，用0能够代表例2．表示只有这个网段内的主机能够接见外网。5．指定外面地址范围（global）global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。Global命令的配置语法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中（if_name）表示外网接口名字，比方outside.。nat_id用来表记全局地址池，使它与其相应的nat命令相般配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmarkglobal_mask]表示全局ip地址的网络掩码。例1．表示内网的主机经过pix防火墙要接见外网时，pix防火墙将使用2-8这段ip地址池为要接见外网的主机分配一个全局ip地址。例2．表示内网要接见外网时，pix防火墙将为接见外网的所有主机一以致用2这个单一ip地址。例表示删除这个全局表项。6．设置指向内网和外网的静态路由（

route）定义一条静态路由。route命令配置语法：route(if_name)00gateway_ip[metric]其中（if_name）表示接口名字，比方inside，outside。Gateway_ip

表示网关路由器的

ip地址。[metric]表示到gateway_ip的跳数。平时缺省是1。例1．Pixfirewall(config)#routeoutside00681表示一条指向界线路由器（ip地址）的缺省路由。例2．Pixfirewall(config)#routeinside1Pixfirewall(config)#routeinside1若是内部网络只有一个网段，依照例1那样设置一条缺省路由即可；网络，需要配置一条以上的静态路由。上面那条命令表示创办了一条到网络路由，静态路由的下一条路由器ip地址是。

若是内部存在多个的静态这6个基本命令若理解了，便能够进入到

pix

防火墙的一些高级配置了。1．配置静态

IP

地址翻译（

static）若是从外网倡导一个会话，会话的目的地址是一个内网的

ip

地址，static就把内部地址翻译成一个指定的全局地址，赞同这个会话建立。static命令配置语法：static(internal_if_name，external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name为外面网络接口，安全级别较低，如outside等。outside_ip_address为正在接见的较低安全级其余接口上的ip地址。inside_ip_address为内部网络的当地ip地址。例1．表示ip地址为的主机，对于经过pix防火墙建立的每个会话，都被翻译成2这个全局地址，也能够理解成ip地址2之间的静态照射。

static命令创办了内部

ip

地址

和外面例2．例3．说明同例1。经过以上几个例子说明使用static命令能够让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样便能够为拥有较低安全级其余指定接口创办一个入口，使它们能够进入到拥有较高安全级其余指定接口。2．管道命令（conduit）前面讲过使用static命令能够在一个当地ip地址和一个全局ip地址之间创办了一个静态照射，但从外面到内部接口的连接依旧会被

pix

防火墙的自适应安全算法

(ASA)阻截。conduit命令用来赞同数据流从拥有较低安全级其余接口流向拥有较高安全级其余接口，比方赞同从外面到DMZ或内部接口的入方向的会话。对于向内部接口的连接，

static和conduit命令将一起使用，来指定会话的建立。conduit命令配置语法：conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]permit|deny赞同|拒绝接见global_ip指的是先前由global或static命令定义的全局ip

地址，若是

global_ip

为0，就用

any

代替

0；若是

global_ip

是一台主机，就用host命令参数。port

指的是服务所作用的端口，比方

www使用

80，smtp使用

25等等，我们能够经过服务名称或端口数字来指定端口。protocol指的是连接协议，比方：foreign_ip表示可接见global_ip

TCP、UDP、ICMP等。的外面ip。对于任意主机，能够用

any

表示。若是foreign_ip

是一台主机，就用

host命令参数。例1.Pixfirewall(config)#conduitpermittcphosteqwwwany这个例子表示赞同任何外面主机对全局地址的这台主机进行http接见。其中使用eq和一个端口来赞同或拒绝对这个端口的接见。Eqftp就是指赞同或拒绝只对ftp的接见。例表示不一样不测面主机9对任何全局地址进行ftp接见。例3.Pixfirewall(config)#conduitpermiticmpanyany表示赞同icmp信息向内部和外面经过。例Pixfirewall(config)#conduitpermittcphost2eqwwwany这个例子说明static和conduit的关系。在内网是一台web服务器，现在希望外网的用户能够经过pix防火墙获取web服务。所以先做static静态照射：－>2（全局），尔后利用进行http接见。

conduit

命令赞同任何外面主机对全局地址

3．配置

fixup

协议fixup的端口是

命令作用是启用，禁止，改变一个服务或协议经过pix防火墙要侦听的服务。见下面例子：

pix

防火墙，由

fixup

命令指定例1．

Pixfirewall(config)#fixupprotocolftp21

启用

ftp

协议，并指定

ftp

的端口号为21例2．

Pixfirewall(config)#fixupprotocolhttp80Pixfirewall(config)#fixupprotocolhttp1080

为http协议指定

80和1080两个端口。例3．

Pixfirewall(config)#nofixupprotocolsmtp80

禁用

smtp协议。4．设置

telnettelnet有一个版本的变化。在pixOS5.0（pix*作系统的版本号）从前，只能从内部网络上的主机经过telnet接见pix。在pixOS5.0及后续版本中，能够在所有的接口上启用telnet到pix的接见。当从外面接口要telnet到pix防火墙时，telnet数据流需要用ipsec供应保护，也就是说用户必定配置pix来建立一条到别的一台pix，路由器或vpn客户端的ipsec地道。别的就是在PIX上配置SSH，尔后用SSHclient从外面telnet到PIX防火墙，PIX支持SSH1和SSH2，但是SSH1是免费软件，SSH2是商业软件。对照之下cisco路由器的telnet就做得不怎么样了。telnet配置语法：telnetlocal_ip[netmask]local_ip表示被授权经过telnet接见到pix的ip地址。若是不设此项，pix的配置方式只能由console进行。别的有几个保护命令也很适用，showinterface查察端口状态，showstatic查察静态地址照射，showip查察接口ip地址，pingoutside|insideip_address确定连通性。下面给出一个配置实例供大家参照interfaceethernet0autointerfaceethernet1autonameifethernet0outsidesecurity0nameifethernet1insidesecurity100enablepassword5Pi.ymYwLiU8volVencryptedpasswdTa.5POa/MPM0/qsuencryptedhostnameXXXXXXXXdomain-nameXXXXXXXXXXXfixupprotocoldnsmaximum-length512fixupprotocolftp21fixupprotocolh323h2251720fixupprotocolh323ras1718-1719fixupprotocolhttp80fixupprotocolrsh514fixupprotocolrtsp554fixupprotocolsip5060fixupprotocolsipudp5060fixupprotocolskinny2000fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocoltftp69namespagerlines24mtuoutside1500mtuinside1500ipauditinfoactionalarmipauditattackactionalarmpdmlocation55insidepdmlogginginformational100pdmhistoryenablearptimeout14400global(outside)1interfacenat(inside)00static(inside,outside)tcpinterfacewwwwwwnetmask5500static(inside,outside)tcpinterfaceftpftpnetmask5500conduitpermittcphost2eqwwwanyconduitpermittcphost2eqftpanyconduitpermiticm