1. 将PIX安放至机架,经检测电源系统后接上电源,并加电主机。
2. 将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入
PIX系统;此时系统提示pixfirewall>。
3. 输入命令:enable,进入特权模式,此时系统提示为pixfirewall#。
4. 输入命令: configure terminal,对系统进行初始化设置。
5. 配置以太口参数:
interface ethernet0 auto (auto选项表明系统自适应网卡类型 )
interface ethernet1 auto
6. 配置内外网卡的IP地址:
ip address inside ip_address netmask
ip address outside ip_address netmask
7. 指定外部地址范围:
global 1 ip_address-ip_address
8. 指定要进行要转换的内部地址:
nat 1 ip_address netmask
9. 设置指向内部网和外部网的缺省路由
route inside 0 0 inside_default_router_ip_address
route outside 0 0 outside_default_router_ip_address
10. 配置静态IP地址对映:
static outside ip_address inside ip_address
11. 设置某些控制选项:
conduit global_ip port[-port] protocol foreign_ip [netmask]
global_ip 指的是要控制的地址
port 指的是所作用的端口,其中0代表所有端口
protocol 指的是连接协议,比如:TCP、UDP等
foreign_ip 表示可访问global_ip的外部ip,其中表示所有的ip。
12. 设置telnet选项:
telnet local_ip [netmask]
local_ip 表示被允许通过telnet访问到pix的ip地址(如果不设此项,
PIX的配
置只能由consle方式进行)。
13. 将配置保存:
wr mem
14. 几个常用的网络测试命令:
#ping
#show interface 查看端口状态
#show static 查看静态地址映射
Cisco PIX 520 是一款性能良好的网络安全产品,如果再加上Check
Point 的软件防火墙组成两道防护,可以得到更加完善的安全防范。
主要用于局域网的外连设备(如路由器、拨号访问服务器等)与内部网络之间,实现内部网络的安全防范,避免来自外部的恶意攻击。
Cisco PIX
520的默认配置允许从内到外的所有信息请求,拒绝一切外来的主动访问,只允许内部信息的反馈信息进入。当然也可以通过某些设置,例如:访问表等,允许外部的访问。因为,远程用户的访问需要从外到内的访问。另外,可以通过NAT地址转换,实现公有地址和私有地址的转换。
简单地讲,PIX
520的主要功能有两点:
1.实现网络安全
2.实现地址转换
下面简单列出PIX 520
的基本配置
1.Configure without NAT
nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 auto
interface ethernet1 auto
ip address outside
202.109.77.1 255.255.255.0 (假设对外端口地址)
ip address inside
10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0)
hostname
bluegarden
arp timeout 14400
no failover
names
pager lines 24
logging buffered
debugging
nat (inside) 0 0
0
rip inside default no rip inside passive no rip outside default rip outside passive
route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)
timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute
no snmp-server location no snmp-server contact snmp-server community public
mtu outside 1500 mtu inside 1500
2.Configure with
NAT
nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 auto
interface ethernet1 auto
ip address outside
202.109.77.1 255.255.255.0 (假设对外端口地址)
ip address inside
10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0)
hostname
bluegarden
arp timeout 14400
no failover
names
pager lines 24
logging buffered
debugging
nat (inside) 1 0
0
global (outside) 1 202.109.77.10-202.109.77.20 global (outside) 1 202.109.22.21
no rip inside default no rip inside passive no rip outside default no rip outside passive
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)
timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute
no snmp-server location no snmp-server contact snmp-server community public
mtu outside 1500 mtu inside 1500
Cisco PIX 的多点服务配置
结构图如下:
PIX Two Interface Multiple nameif ethernet0 outside nameif ethernet0 inside interface ethernet0 interface ethernet1
ip address inside ip address outside logging logging host logging trap logging facility no logging arp timeout nat (inside) 1 10.0.0.0 nat (inside) 2 global (outside) 1 global (outside) 1 global (outside) 2
conduit permit icmp any outbound 10 deny outbound 10 deny 0 0 outbound 10 permit outbound 10 deny outbound 10 permit
apply (inside) 10
no rip outside no rip outside rip inside rip inside
route outside 0 0 tacacs-server host aaa authentication any aaa authentication any
static (inside,outside) conduit permit tcp static (inside,outside) conduit permit tcp host
conduit permit udp host
conduit permit udp host
static (inside.outside) conduit permit tcp host
conduit permit tcp host snmp-server host snmp-server location snmp-server contact snmp-server community
telnet 10.1.1.11 telnet 192.168.3.0 |
CISCO PIX 防 火 墙 配 置 实 践 —- 介 绍 一 个PIX 防 火 墙 实 际
配 置 案 例, 因 为 路 由 器 的 配 置在 安 全 性 方 面 和PIX 防 火 墙 是 相 辅 相 成 的, 所 以 路 由 器的 配 置 实 例 也
一 并 列 出。
PIX 防 火 墙
设 置PIX 防 火 墙 的 外 部 地址:
ip address outside 131.1.23.2
设 置PIX 防 火 墙 的 内 部 地址:
ip address inside 10.10.254.1
设 置 一 个 内 部 计 算 机与Internet 上 计 算 机 进 行 通 信 时 所 需 的
全 局 地 址 池:
global 1 131.1.23.10-131.1.23.254
允 许 网 络 地 址 为10.0.0.0 的 网段 地 址 被PIX 翻 译 成 外 部 地
址:
nat 1 10.0.0.0
网 管 工 作 站 固 定 使 用 的 外 部地 址 为131.1.23.11:
static 131.1.23.11 10.14.8.50
允 许 从RTRA 发 送 到 到 网 管 工作 站 的 系 统 日 志 包 通 过PIX 防 火
墙:
conduit 131.1.23.11 514 udp 131.1.23.1
255.255.255.255
允 许 从 外 部 发 起 的 对 邮 件 服务 器 的 连 接(131.1.23.10):
mailhost 131.1.23.10 10.10.254.3
允 许 网 络 管 理 员 通 过 远 程 登录 管 理IPX 防 火 墙:
telnet 10.14.8.50
在 位 于 网 管 工 作 站 上 的 日 志服 务 器 上 记 录 所 有 事 件 日
志:
syslog facility 20.7
syslog host 10.14.8.50
路 由 器 RTRA
—-RTRA 是 外 部 防 护 路 由 器,它 必 须 保 护PIX 防 火 墙 免 受 直
接 攻 击, 保 护FTP/HTTP 服 务器, 同 时 作 为 一 个 警 报 系 统, 如 果 有 人 攻 入 此 路 由器, 管 理 可 以 立 即 被
通 知。
阻 止 一 些 对 路 由 器 本 身 的 攻击:
no service tcp small-servers
强 制 路 由 器 向 系 统 日 志 服 务器 发 送 在 此 路 由 器 发 生 的 每 一 个
事 件, 包 括 被 存 取 列表 拒 绝 的 包 和 路 由 器 配 置 的 改 变; 这 个 动 作 可 以 作 为对 系 统 管 理 员 的 早 期 预
警, 预 示 有 人 在 试 图 攻 击 路 由器, 或 者 已 经 攻 入 路 由 器, 正 在 试 图 攻 击 防 火 墙:
logging trap debugging
此 地 址 是 网 管 工 作 站 的 外 部地 址, 路 由 器 将 记 录 所 有 事 件 到
此 主 机 上:
logging 131.1.23.11
保 护PIX 防 火 墙 和HTTP/FTP 服 务器 以 及 防 卫 欺 骗 攻 击( 见 存 取
列 表):
enable secret xxxxxxxxxxx
interface Ethernet 0
ip address 131.1.23.1 255.255.255.0
interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in
禁 止 任 何 显 示 为 来 源 于 路 由器RTRA 和PIX 防 火 墙 之 间 的 信 息
包, 这 可 以 防 止 欺 骗 攻击:
access-list 110 deny ip 131.1.23.0 0.0.0.255 any
log
防 止 对PIX 防 火 墙 外 部 接 口 的直 接 攻 击 并 记 录 到 系 统 日 志 服
务 器 任 何 企 图 连 接PIX 防 火 墙 外 部 接 口 的 事 件:
access-list 110 deny ip any host 131.1.23.2
log
允 许 已 经 建 立 的TCP 会 话 的 信息 包 通 过:
access-list 110 permit tcp any 131.1.23.0 0.0.0.255
established
允 许 和FTP/HTTP 服 务 器 的FTP 连接:
access-list 110 permit tcp any host 131.1.23.3 eq
ftp
允 许 和FTP/HTTP 服 务 器 的FTP 数据 连 接:
access-list 110 permit tcp any host 131.1.23.2 eq
ftp-data
允 许 和FTP/HTTP 服 务 器 的HTTP 连接:
access-list 110 permit tcp any host 131.1.23.2 eq
www
禁 止 和FTP/HTTP 服 务 器 的 别 的连 接 并 记 录 到 系 统 日 志 服 务 器
任 何 企 图 连 接FTP/HTTP 的事 件:
access-list 110 deny ip any host 131.1.23.2
log
允 许 其 他 预 定 在PIX 防 火 墙 和路 由 器RTRA 之 间 的 流 量:
access-list 110 permit ip any 131.1.23.0
0.0.0.255
限 制 可 以 远 程 登 录 到 此 路 由器 的IP 地 址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
只 允 许 网 管 工 作 站 远 程 登 录到 此 路 由 器, 当 你 想 从Internet
管 理 此 路 由 器 时, 应 对此 存 取 控 制 列 表 进 行 修 改:
access-list 10 permit ip 131.1.23.11
路 由 器 RTRB
—-RTRB 是 内 部 网 防 护 路 由器, 它 是 你 的 防 火 墙 的 最 后 一 道
防 线, 是 进 入 内 部 网的 入 口。
记 录 此 路 由 器 上 的 所 有 活 动到 网 管 工 作 站 上 的 日 志 服 务 器,
包 括 配 置 的 修 改:
logging trap debugging
logging 10.14.8.50
允 许 通 向 网 管 工 作 站 的 系 统日 志 信 息:
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0
0.0.0.255
禁 止 所 有 别 的 从PIX 防 火 墙 发来 的 信 息 包:
access-list 110 deny ip any host 10.10.254.2
log
允 许 邮 件 主 机 和 内 部 邮 件 服务 器 的SMTP 邮 件 连 接:
access-list permit tcp host 10.10.254.3 10.0.0.0
0.255.255.255 eq smtp
禁 止 别 的 来 源 与 邮 件 服 务 器的 流 量:
access-list deny ip host 10.10.254.3 10.0.0.0
0.255.255.255
防 止 内 部 网 络 的 信 任 地 址 欺骗:
access-list deny ip any 10.10.254.0 0.0.0.255
允 许 所 有 别 的 来 源 于PIX 防 火墙 和 路 由 器RTRB 之 间 的 流
量:
access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0
0.255.255.255
限 制 可 以 远 程 登 录 到 此 路 由器 上 的IP 地 址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
只 允 许 网 管 工 作 站 远 程 登 录到 此 路 由 器, 当 你 想 从Internet
管 理 此 路 由 器 时, 应 对此 存 取 控 制 列 表 进 行 修 改:
access-list 10 permit ip 10.14.8.50
—-按 以 上 设 置 配 置 好PIX 防火 墙 和 路 由 器 后,PIX 防 火 墙 外
部 的 攻 击 者 将 无 法 在 外部 连 接 上 找 到 可 以 连 接 的 开 放 端 口, 也 不 可 能 判 断 出内 部 任 何 一 台 主 机
的IP 地 址, 即 使 告 诉 了 内 部 主 机的IP 地 址, 要 想 直 接 对 它 们 进 行Ping 和 连 接 也 是 不 可 能的。 这 样 就
可 以 对 整 个 内 部 网 进 行 有 效 的 保 护。