实验四、防火墙的基本配置

实验四、防火墙的基本配置实验目的通过对防火墙系统的安装与配置实验，加深对防火墙系统工作原理理解，掌握其常见产品的安装与配置方法，为将来从事网络工程建设打下基础。实验要求通过本实验，熟悉防火墙的有关概念和基本功能，掌握防火墙的基本参数配置方法和安全策略配置方法。实验步骤Ciscofirewallpix防火墙的配置主要包括基本参数的配置和安全规则配置。对防火墙进行配置一般有两种途径，即通过串口通信进行本地配置和通过网络进行远程配置，但后一种配置方法只有在前一种配置成功后才可进行，下面分别讲述。3.1实验准备准备以下实验设备：•用于配置和测试的计算机两台以上（安装Windows操作系统），最好有一台笔记本电脑；•防火墙系统一台以上（本实验中采用思科的PIX506系列防火墙）；•直连网线若干根；•RS-232C串行通信线一根；3.2以太网接口的配置我们采用本地配置的方式对防火墙进行配置，连接步骤与交换机的配置过程类似，在此不再重复。如果连接正常且防火墙已启动的情况下，在超级终端窗口上就会出现如下所示的信息：UserAccessVerificationPassword:输入口令（缺省口令为cisco）后就可进入一般用户命令状态（提示符为＞），为了对防火墙参数进行配置，需要进入特权用户状态，PIX出厂时特权用户密码为空，修改密码用passwd命令：PIX>enable 〃进入特权用户状态Password:PIX#在默认情况下，ethernet0是属外部网卡outside,ethernetl是属内部网卡inside,inside已经被激活生效了，但是outside必须通过命令激活。〃进入配置状态PIX#configt〃激活以太接口PIX(config)#interfaceethernet0autoPIX(config)#interfaceethernet1auto〃关闭以太接口PIX(config)#interfaeeethernet0shutdownPIX(config)#interfaceethernetlshutdown〃配置IP地址和子网掩码假设内部网络为：，外部网络为：：PIX(config)#ipaddressinsidePIX(config)#ipaddressoutside//定义安全级别security0是外部端口outside的安全级别(0安全级别最高)，security100是内部端口inside的安全级别，如果还有其他以太口，则可以 security10，security20等命名：PIX(config)#nameifethernet。outsidesecurity0PIX(config)#nameifethernet1insidesecurity100〃如果PIX有三个接口，则可将一个以太口作为dmz(demilitarizedzones非武装区域)，安全级别50：PIX(config)#nameifethernet2dmzsecurity50//配置远程访问[telnet]在默认情况下，PIX的以太端口不允许telnet，可使用下面的命令允许：PIX(config)#telnetinsidePIX(config)#telnetoutside3.3访问控制配置访问列表是防火墙的主要功能配置部分，防火墙有permit和deny两种访问控制权限，可控制的网络协议一般有ip、tcp、udp、icmp等。例如，在内网只允许访问外网主机:54的www服务：PIX(config)#access-list100permitipanyhost54eqwwwPIX(config)#access-list100denyipanyanyPIX(config)#access-group100ininterfaceoutside访问规则一般通过GUI界面来配置比较直观和方便，PIX缺省时内部端口ethernet1的IP为，这样可以通过浏览器的https协议来访问PIX的WEB配置界面(缺省时用户名和密码为空)并根据界面的提示信息来配置PIX防火墙系统：https://192.168.L1/startup.html3.4全局地址配置global命令用于定义内部网或外部网中一个IP地址或一段地址范围，以便在网络地址转换时使用。global命令的语法规则为：global(if_name)Nat_IDip_address-ip_address[netmarkglobal_mask]其中(if_name)表示网络接口名字(如outside)，Nat_ID用来标识定义的地址池，ip_address-ip_address表示单个ip地址或一段ip地址范围，[netmarkglobal_mask]表示全局ip地址的网络掩码。例如：〃定义从5至08的全局外网IP地址池，Nat_ID编号为100：PIX(config)#global(outside)1005-8〃定义一个全局外网IP地址5，Nat_ID编号为200：PIX(config)#global(outside)2005netmask〃删除一个Nat_ID编号为200全局IP地址：PIX(config)#noglobal(outside)20053.5动态地址转换动态网络地址转换(NAT)作用是将内网的私有IP地址转换为外网的公有IP地址，这样，内部网络的用户就可以访问外部网络了。nat命令总是与global命令一起使用，所以，为了进行地址转换(NAT)，必须先用global定义IP池。nat命令语法规则为：nat(if_name)nat_idlocal_ip[netmark]其中(if_name)表示网络接口名字(例如inside)，Nat_id为全局地址池编号，local_ip表示本地被转换的ip地址，用表示所有主机，[netmark]表示内网ip地址的子网掩码。例如：〃将内网的所有主机都映射到外网地址，也就是说可以访问外网：PIX(config)#nat(inside)100 0 0或：PIX(config)#nat(inside)100〃只允许这个网段内的主机可以访问外网。PIX(config)#nat(inside)1003.6静态地址转换如果需要从外网访问内网的一个固定IP地址，可以使用静态地址转换，把该内部地址固定转换成一个指定的外部地址。static命令语法规则为：static(internal_if_name，external_if_name)outside_ip_addrinside_ip_addr其中internal_if_name表示内部网络接口(如inside)，external_if_name为外部网络接口(如outside)，outside_ip_addr为外部网络上的IP地址，inside_ip_addr为内部网络的IP地址。例如：〃将内部地址为的主机固定转换为2这个全局地址，外网用户访问IP地址2实际上是访问内部地址。PIX(config)#static(inside,outside)2 3.7静态端口转换在PIX版本6.0以上，增加了静态端口转换(或称为重定向)的功能，与静态地址转换的功能类似，允许外部用户通过一个特殊的IP地址/端口透过防火墙访问内部指定的内部服务器。该功能可方便发布内部的www、ftp、mail等服务器，同时又保持内部服务器的安全性。命令语法规则为：static[(internal_if_name,external_if_name)]{global_ip|interface}local_ip[netmaskmask][max_cons[max_cons[emb_limit[norandomseq]]]static[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}local_ip[netmaskmask][max_cons[max_cons[emb_limit[norandomseq]]]例如：〃外部用户直接访问地址9telnet端口，通过pix重定向到内部主机9的telnet端口(23)。PIX(config)#static(inside,outside) tcp9telnet9telnetnetmask5500〃外部用户直接访问地址9ftp，通过pix重定向到内部的ftpserver。PIX(config)#static(inside,outside)tcp9ftpftpnetmask5500〃外部用户直接访问地址08www(即80端口)，通过pix重定向到内部192.168.123的主机的www(即80端口)。PIX(config)#static(inside,outside)tcp08wwwwwwnetmask5500〃外部用户直接访问地址01http(8080端口)，通过pix重定向到内部的主机的www(即80端口)。PIX(config)#static(inside,outside)tcp08 8080wwwnetmask5500〃外部用户直接访问地址smtp(25端口)，通过pix重定向到内部的邮件主机的smtp(即25端口)PIX(config)#static(inside,outside)tcp08smtpsmtpnetmask55003.8管道命令使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，对于向内部接口的连接,static和conduit命令将一起使用。conduit命令语法规则：conduitpermitldenyglobal_ipport[-port]protocolforeign_ip[netmask]其中permit|deny为允许或拒绝访问，global_ip是由global或static命令定义的全局ip地址，port指的是服务端口如www等，protocol指的是连接协议如TCP、UDP、ICMP等，foreign_ip表示可访问global_ip的外部IP。例如：〃允许任何外部主机对地址为的主机进行http访问PIX(config)#conduitpermittcphosteqwwwany〃不允许外部主机9对任何全局地址进行ftp访问PIX(config)#conduitdenytcpanyeqftphost9〃设置允许icmp消息向内部和外部通过PIX(config)#conduitpermiticmpanyany〃允许外网的用户能够通过pix防火墙访问内部主机上web服务，所以先做static静态映射把内部IP转换为全局IP2，然后利用conduit命令允许任何外部主机对全局地址2进行http访问。PIX(config)#static(inside,outside)2PIX(config)#conduitpermittcphost2eqwwwany3.9路由配置route命令定义一条静态路由。route命令配置语法：route(if_name)00gateway_ip[metric]其中(if_name)表示接口名字，例如inside，outside，gateway_ip表示网关IP地址，[metric]表示到gateway_ip的跳数。通常缺省是1。例如：〃设置一条指向边界路由器(IP地址)的缺省路由PIX(config)#routeoutside001〃设置一条指向内部的路由PIX(config)#routeinside13.10配置fixup协议fixup