cisco防火墙配置 cisco防火墙配置-CiscoPIX防火墙配置,cisco防

cisco防火墙配置。硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。

思科防火墙_cisco防火墙配置 -Cisco PIX防火墙配置


摘要:本文讲述了作者第一次亲手接触Cisco PIX防火墙,总结了防火墙基本配置十个方面的内容。
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那中EEPROM,操作系统跟
Cisco IOS相似,都是命令行(Command)式。
我第一次亲手那到的防火墙是Cisco Firewall Pix525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩展口。
如何开始Cisco Firewall Pix呢?我想应该是跟Cisco路由器使用差不多吧,于是用配置线从电脑的COM2连到PIX 525的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默然。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。
进入Pix 525采用超级用户(enable),默然密码为空,修改密码用passwd命令。一般情况下Firewall配置,我们需要做些什么呢?当时第一次接触我也不知道该做些什么,随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用,用于几个小时把几百面的英文书看完了,对命令的使用的知道了一点了,但是对如何配置PIX还是不大清楚该从何入手,我想现在只能去找cisco了,于是在www.cisco.com下载了一些资料,边看边实践了PIX。
防火墙是处网络系统里,因此它跟网络的结构密切相关,一般会涉及的有Route(路由器)、网络IP地址。还有必须清楚标准的TCP【RFC793】和UDP【RFC768】端口的定义。

思科防火墙_cisco防火墙配置 - 如何配置


我想应该是跟Cisco路由器使用差不多吧,于是用配置线从电脑的COM2连到PIX525的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默认。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、insideipaddress(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。
进入Pix525采用超级用户(enable),默然密码为空,修改密码用passwd命令。一般情况下Firewall配置,我们需要做些什么呢?当时第一次接触我也不知道该做些什么,随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用,用于几个小时把几百面的英文书看完了,对命令的使用的知道了一点了,但是对如何配置PIX还是不大清楚该从何入手,我想现在只能去找cisco了,于是在官网下载了一些资料,边看边实践了PIX。
防火墙是处网络系统里,因此它跟网络的结构密切相关,一般会涉及的有Router(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。

思科防火墙_cisco防火墙配置 -基本配置


建立用户



建立用户和修改密码跟CiscoIOS路由器基本一样。

激活



激活以太端口必须用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#configt
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1auto
在默认情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,
inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。

命名端口



采用命令nameif
PIX525(config)#nameifethernet0outsidesecurity0
security100
security0是外部端口outside的安全级别(100安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(DemilitarizedZones非武装区域)。

配置地址



采用命令为:ipaddress
如:内部网络为:192.168.1.0255.255.255.0
外部网络为:222.20.16.0255.255.255.0
PIX525(config)#ipaddressinside192.168.1.1255.255.255.0
PIX525(config)#ipaddressoutside222.20.16.1255.255.255.0

配置远程


在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet192.168.1.1255.255.255.0inside
PIX525(config)#telnet222.20.16.1255.255.255.0outside
测试telnet
在[开始]->[运行]
telnet192.168.1.1
PIXpasswd:
输入密码:cisco

访问列表



此功能与CiscoIOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80
PIX525(config)#access-list100permitipanyhost222.20.16.254eqwww
denyipanyany
PIX525(config)#access-group100ininterfaceoutside

地址转换



NAT跟路由器基本是一样的,
首先必须定义IPPool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
PIX525(config)#nat(outside)1192.168.0.0255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat(outside)10.0.0.00.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
PIX525(config)#global(outside)1222.20.16.201netmask
255.255.255.0
PIX525(config)#nat(outside)10.0.0.00.0.0.0
DHCP

在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCPServer),CiscoFirewallPIX都具有这种功能,下面简单配置DHCPServer,地址段为192.168.1.100―192.168.1.200
DNS:主202.96.128.68备202.96.144.47
主域名称:
DHCPClient通过PIXFirewall
PIX525(config)#ipaddressdhcp
DHCPServer配置
PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcpdns202.96.128.68202.96.144.47
PIX525(config)#dhcpdomain

静态端口



静态端口重定向(PortRedirectionwithStatics)
在PIX版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过FirewallPIX
传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99
telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。
PIX525(config)#static(inside,outside)tcp222.20.16.99
telnet192.168.1.99telnetnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.99
FTP,通过PIX重定向到内部192.168.1.3的FTPServer。
PIX525(config)#static(inside,outside)tcp222.20.16.99
ftp192.168.1.3ftpnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.208
www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。
www192.168.1.2wwwnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.201
HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
8080192.168.1.4wwwnetmask255.255.255.25500
!----外部用户直接访问地址222.20.16.5
smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)

smtp192.168.1.4smtpnetmask255.255.255.25500

显示保存

cisco防火墙配置 cisco防火墙配置-CiscoPIX防火墙配置,cisco防


显示命令showconfig
保存命令writememory

  

爱华网本文地址 » http://www.413yy.cn/a/8103210103/12883.html

更多阅读

华为防火墙公开课视频 华为防火墙配置实例

华为防火墙公开课,到此结束,公开课课程视频共14节,包括我个人学习的配置文档,我已上传百度网盘,WOLF官方博客有链接,各位可自行下载。由于备课时间较紧,个人对华为防火墙的理解还不是很透彻,视频中难免出现错误,请各位及时给我提出。我和我的

Linux防火墙的配置实例 思科防火墙配置实例

Linux防火墙的配置实例2011年09月23日 星期五 上午 10:10转载自 分享最终编辑 ljx081我们该如何利用Linux操作系统自带的防火墙来提高网络的管理控制功能呢?具体的来说,我们可以分三步走。一是先在Linux服务器上开一个后门,这个后门是

cisco防火墙配置 cisco防火墙配置-CiscoPIX防火墙配置,cisco防

cisco防火墙配置。硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。思科防火墙_cisc

声明:《cisco防火墙配置 cisco防火墙配置-CiscoPIX防火墙配置,cisco防》为网友半心人分享!如侵犯到您的合法权益请联系我们删除