PIX防火墙原理与配置

PIX防火墙原理与配置学习目标了解PIX防火墙的基本概念掌握防火墙的基本配置命令理解PIX常见配置案例了解常用维护方法课程目录第1节PIX防火墙基本概念第2节PIX防火墙基本配置方法第3节PIX防火墙配置案例第4节PIX防护配置PIX防火墙的区域InsideoutsideDMZ内部网络外部网络中间区域inside可以访问任何outside和dmz区域。dmz可以访问outside区域。inside访问dmz需要配合static(静态地址转换)。outside访问dmz需要配合acl(访问控制列表)。IP包过滤技术介绍对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处访问控制列表(ACL)一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则NAT基本原理PCServerServerPCEudemonEth0/0/1Eth0/0/0TrustUntrust数据报1源：目的：数据报2源：目的：数据报1源：.目的：数据报2源：目的：InternetNAT（NetworkAddressTranslation，地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程NAT/PAT地址转换内网用户PIX内网Internet地址池

NAT地址转换：一对一（IP—>IP）PAT地址转换:一对多（IP—>IP+端口号）映射内部服务器WEB服务器DMZ01:80FTP服务器00:2141:21S0:410100外网用户Eudemon内网Internet内网用户41:80双向NATtrustuntrust00课程目录第1节PIX防火墙基本概念第2节PIX防火墙基本配置方法第3节PIX防火墙配置案例第4节PIX防护配置PIX防火墙的接口PIX防火墙常见接口 Console口---------用于初始配置 Failover口---------用于故障切换端口 Ethernet口---------用于业务互联和管理 USB口----------用于升级加载PIX防火墙的配置模式PIX防火墙的配置模式与路由器类似，有4种管理模式：PIXfirewall>用户模式PIXfirewall#特权模式PIXfirewall(config)#配置模式monitor>

ROM监视模式开机按住[Esc]键或发送一个“Break”字符，进入监视模式。PIX防火墙的基本命令命令格式用途及说明Enablepasswordpassword

[encrypted]从非特权模式进入特权模式时的验证命令，注意password可以是数字或字符串，但区分大小写，且长度最大为16个字符。选项[encrypted]是默认应用的，在配置文件中口令是被加密的hostnamenewname为防火墙配置名称Writeterminal保存当前配置，存储于RAM中Writenet保存当前配置文件到TFTP服务器Writeerase清除Flash中的启动配置文件Writememory对PIX的任意修改都会立即生效，并将配置保存于Flash中，且不影响防火墙的处理工作PIX防火墙的基本命令命

令

格

式用途及说明Writestandby将当前处于活跃状态的防火墙的当前配置保存在备份防火墙的RAM中，一般使用故障切换功能的防火墙自动定期将配置写入备份单元configurenet将TFTP的配置文件与RAM中配置文件合并，存储于RAM中configurememory将当前配置文件与启动配置文件合并，存储于Flash中Showconfig用于显示存储在Flash中的启动配置文件Showrunning-config显示PIX防火墙的RAM中当前的配置文件PIX防火墙的基本命令命

令

格

式用途及说明Showhistory显示以前的输入命令。也可以按上下箭头逐个检查以前输入的命令Showinterface查看接口的信息。在显示结果中“Lineprotocolup/down”表示物理连接正常/不正常；“Networkinterfacetype”表示接口类型；“Nobuffer”内存不足，流量过大导致速度降低；“Overruns”网络接口淹没，不能缓存接收的信息；“underruns”防火墙被淹没，不能让数据快速到达网络接口；“babbles”发送器在接口上的时间过长；“defered”链路上有数据活动，导致发送之前被延迟的帧的数量Showmemory显示存储器中和当前可用的存储信息PIX防火墙的基本命令命

令

格

式用途及说明showversion显示防火墙操作系统版本以及硬件类型、存储器类型、处理器类型、Flash类型、许可证特性、序列号码、激活密钥等Showxlate显示地址转换列表；其中“Global”表示全局地址；“Local”表示本地地址；“Static”表示静态地址翻译；“nconns”本地与全局地址对连接数量；“econns”未完成连接（半打开）数量Showtelnet显示被授权的Telnet访问IP地址信息pingIP测试连通性telnetIP通过Telnet方式访问该IP地址设备PIX防火墙的基本命令1、nameif设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。例如要求设置：ethernet0命名为外部接口outside，安全级别是0。ethernet1命名为内部接口inside，安全级别是100。ethernet2命名为中间接口dmz,安装级别为50。使用命令：PIX525(config)#nameifethernet0outsidesecurity0PIX525(config)#nameifethernet1insidesecurity100PIX525(config)#nameifethernet2dmzsecurity50PIX防火墙的基本命令2、interface配置以太口工作状态，常见状态有：auto、100full、shutdown。auto：设置网卡工作在自适应状态。100full：设置网卡工作在100Mbit/s，全双工状态。shutdown：设置网卡接口关闭，否则为激活。命令：PIX525(config)#interfaceethernet0autoPIX525(config)#interfaceethernet1100fullPIX525(config)#interfaceethernet1100fullshutdownPIX防火墙的基本命令3、ipaddress配置网络接口的IP地址例如：内网inside接口使用私有地址，外网outside接口使用公网地址PIX525(config)#ipaddressoutside52PIX525(config)#ipaddressinside。PIX防火墙的基本命令4、global指定公网地址范围：定义地址池。Global命令的配置语法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中：(if_name)：表示外网接口名称，一般为outside。nat_id：建立的地址池标识(nat要引用)。ip_address-ip_address：表示一段ip地址范围。[netmarkglobal_mask]：表示全局ip地址的网络掩码。例如：PIX525(config)#global(outside)1-5地址池1对应的IP是：-5PIX525(config)#global(outside)1地址池1只有一个IP地址。PIX525(config)#noglobal(outside)1表示删除这个全局表项。PIX防火墙的基本命令5、nat地址转换命令，将内网的私有ip转换为外网公网ip。nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。local_ip：表示内网的ip地址。对于表示内网所有主机。[netmark]：表示内网ip地址的子网掩码。在实际配置中nat命令总是与global命令配合使用。一个指定外部网络，一个指定内部网络，通过net_id联系在一起。例如：PIX525(config)#nat(inside)100表示内网的所有主机(00)都可以访问由global指定的外网。PIX525(config)#nat(inside)1表示只有/16网段的主机可以访问global指定的外网。PIX防火墙的基本命令6、routeroute命令定义静态路由。语法：route(if_name)00gateway_ip[metric]其中：(if_name)：表示接口名称。00：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。[metric]：路由花费。缺省值是1。例如：PIX525(config)#routeoutside001设置缺省路由从outside口送出，下一跳是。00代表

，表示任意网络。PIX525(config)#routeinside1设置到网络下一跳是。最后的“1”是花费。PIX防火墙的基本命令7、static配置静态IP地址翻译，使内部地址与外部地址一一对应。语法：static(internal_if_name,external_if_name)outside_ip_addr

inside_ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name表示外部网络接口，安全级别较低，如outside。outside_ip_address表示外部网络的公有ip地址。inside_ip_address表示内部网络的本地ip地址。(括号内序顺是先内后外，外边的顺序是先外后内)例如：PIX525(config)#static(inside，outside)表示内部ip地址，访问外部时被翻译成全局地址。PIX525(config)#static(dmz，outside)中间区域ip地址，访问外部时被翻译成全局地址。PIX防火墙的基本命令8、conduit管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。语法：Conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]其中：global_ip是一台主机时前面加host参数，所有主机时用any表示。foreign_ip表示外部ip。[netmask]表示可以是一台主机或一个网络。例如：PIX525(config)#static(inside，outside)PIX525(config)#conduitpermittcphosteqwwwany这个例子说明static和conduit的关系。是内网一台web服务器，现在希望外网的用户能够通过PIX防火墙访问web服务。所以先做static静态映射：－>然后利用conduit命令允许任何外部主机对全局地址进行http访问。PIX防火墙的基本命令9、访问控制列表ACL访问控制列表的命令与couduit命令类似例：PIX525(config)#access-list100permitipanyhost

eqwwwPIX525(config)#access-list100denyipanyanyPIX525(config)#access-group100ininterfaceoutsidePIX防火墙的基本命令访问列表和管道特性对比访问列表特性访问管道特性需要先使用access-list定义范围，并通过access-group命令与接口建立关联，才能生效只需使用conduit，不需要与接口建立关联即可生效access-list和access-group具备较高的优先级conduit具备较低的优先级不仅适用于从较低安全级别接口到较高安全级别接口的流量控制，而且也可控制从较高安全级别接口到较低安全级别接口的流量只能控制从较低安全级别接口到较高安全级别接口的流量PIX防火墙的基本命令10、侦听命令fixup作用是启用或禁止一个服务或协议，通过指定端口设置PIX防火墙要侦听listen服务的端口。例1：启用ftp协议，并指定ftp的端口号为21PIX525(config)#fixupprotocolftp21例2：启用http协议8080端口，禁止80端口。PIX525(config)#fixupprotocolhttp8080PIX525(config)#nofixupprotocolhttp80PIX防火墙的基本命令11、telnet配置命令：telnetlocal_ip[netmask]local_ip表示被授权可以通过telnet访问到PIX的ip地址。如果不设此项，PIX的配置方式只能用console口接超级终端进行。在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。PIX525(config)#telnetinsidePIX525(config)#telnetoutsidePIX防火墙的基本命令12、显示命令：Showinterface；查看端口状态。Showstatic；查看静态地址映射。Showip；查看接口ip地址。Writeterminal；将当前配置信息写到终端。Showcpuusage；显示CPU利用率，排查故障时常用。Showtraffic；查看流量。Showblocks；显示拦截的数据包。Showmem；显示内存课程目录第1节PIX防火墙基本概念第2节PIX防火墙基本配置方法第3节PIX防火墙配置案例第4节PIX防护配置例1配置PIX接口IP，连通性outsideinsideDMZ/24//24/24E2E1E0//24/24/24LANDMZWAN要求：PIX能PING通各接口对端IP。例1配置PIX接口IP，连通性PIX>enablePassword:PIX#conftPIX(config)#hostnamePIXPIX(config)#interfacee0autoPIX(config)#interfacee1autoPIX(config)#interfacee2autoPIX(config)#nameife0outsidesecurity0PIX(config)#nameife1insidesecurity100PIX(config)#nameife2dmzsecurity50PIX(config)#ipaddressoutsidePIX(config)#ipaddressinsidePIX(config)#ipaddressdmz

例1配置PIX接口IP，连通性PIX(config)#showinterface例1配置PIX接口IP，连通性PIX(config)#ping／测试到LAN路由器接口的连通性responsereceived--40msresponsereceived--10msresponsereceived--20msPIX(config)#ping／测试到DMZ路由器接口的连通性responsereceived--40msresponsereceived--10msresponsereceived--20msPIX(config)#ping／WAN路由器接口的连通性responsereceived--20msresponsereceived--0msresponsereceived--10ms例2inside访问outside

outsideinside/24/24E1E0/24/24LAN注：如果PIX不做设置，则从LAN到WAN的流量是无法出去的。要求：PC1所在网段能够访问PC2。/24/24PC1PC2需求1：内部网络/8转换，使用外部网络地址00-10例2inside访问outside

PIX(config)#nat(inside)1PIX(config)#global(outside)100-10需求2：内部网络/8转换，使用外部接口地址---PATPIX(config)#nat(inside)100PIX(config)#global(outside)1interfaceoutsideinterfaceaddressaddedtoPATpoolPIX(config)#例2inside访问outside

需求3：地址池和PAT同时使用，地址池地址和内部网络地址是一一对应的关系，现实中有时地址池不够，建议和PAT同时使用。PIX(config)#nat(inside)1PIX(config)#global(outside)100-09PIX(config)#global(outside)110Global10willbePortAddressTranslated需求4：使用ACL来限制内部网络到外部网络的NAT

。//建立内到外的

telnet列表kkk

PIX(config)#access-listkkkpermittcpanyany

eqtelnet//允许ACL列表kkk

的流量PIX(config)#global(outside)1interfaceoutsideinterfaceaddressaddedtoPATpool验证：1、在LAN的路由上telnetPC2

2、使用PC1telnetPC2

C:\>telnet例2inside访问outside

例3配置PIXDHCP服务器要求：PC1自动获取IP地址后访问PC2，转换地址为00。outsideinside/24E1E0/24/24PC2PC1例3配置PIXDHCP服务器配置步骤：//设定内部需转换的地址段

PIX(config)#nat(inside)1//NAT转换后的地址

PIX(config)#global(outside)100//内部网络使用的dhcp

地址池

PIX(config)#dhcpdaddress0-00inside//设置分配dns地址

PIX(config)#dhcpd

dns3334//在内部接口上启用dhcp

服务器

PIX(config)#dhcpdenableinside例4:NONAT转换NAT实现内部网络到外部网络转换，需要替换源地址，但有时不需要转换内部网络地址，而是直接透传。则可用NONAT实行。outsideinside/24E1E0/24/24PC2PC1/24要求：PC1访问PC2时，地址不转换，相当于PIX做路由。例4:NONAT转换方法1：Identitynonat

//nat

编号为0时，即启动nonat

转换，不用地址池PIX(config)#nat(inside)0nat0willbeidentitytranslatedforoutbound//在pix防火墙上查看结果PIX(config)#showxlate

1inuse,2mostusedGlobalLocalPIX(config)#方法2：bypassnonat//设置允许内部流量PIX(config)#access-listcccpermitipanyany//加载列表PIX(config)#nat(inside)0access-listccc

总结：Identitynonat

和bypassnonat

区别，bypassnonat

没有xlate

记录，而且可以通过ACL来限制流量例4:静态内部转换静态内部转换static命令允许一个位于低安全级别接口的流量，穿过pix防火墙到达一个有较高安全级别的

接口。例如：如果你想允许从外部接口到达DMZ接口或者从外部接口到内部接口的入站会话，就必须通过配置static命令和access-list命令来实现。outsideDMZ/24E2E0/24/24PC2WEB/24外部访问WEB服务器时IP地址为0，端口号为80配置步骤://建立外到内的访问ACLPIX(config)#access-listkkkpermittcpanyhost0eq80//ACL加载的outside接口上PIX(config)#access-groupkkkininterfaceoutside//建立静态转换PIX(config)#static(inside,outside)0例4:静态内部转换总结：static必须和access-list一起使用，返回数据包不受pix的nat（inside）和global(outside)的控制，也就是说，pix不配置nat

和global，同样数据包一样可以返回。例5:ICMP透传

默认情况下pix的接口的默认可以被网络ping通。但对于穿越pix的icmp

的流量可以通过nat

加ACL来控制，对于接口的icmp

流量通过icmp

命令来控制。outsideinside/24E1E0/24/24PC2PC1/24例5:ICMP透传1、控制PIX接口的ICMP流量。//外部主机不能PING通PIXPIX(config)#icmpdeny00outside//内部主机不能PING通PIXPIX(config)#icmpdeny00inside//允许内部主机PING通PIXPIX(config)#clear

icmpdeny00inside//允许外部主机PING通PIXPIX(config)#clear

icmpdeny00outside如果做了PAT转换，则外部网络是不能PING通PIX的外部接口。例5:ICMP透传2、icmp

穿越pix，由外到内流量。PIX(config)#static(inside,outside)PIX(config)#access-listkkkpermiticmpanyhostPIX(config)#access-groupkkkininterfaceoutside3、icmp

穿越pix，由内到外流量。PIX(config)#nat(inside)100PIX(config)#global(outside)1interfaceoutsideinterfaceaddressaddedtoPATpool