PIX:一个合法IP完成inside、outside和dmz之间的访问

现有条件:
100M宽带接入,分配一个合法的IP(222.134.135.98)(只有1个静态IP是否够用?);PiX515e-r-DMZ-BUN1台(具有Inside、Outside、DMZ三个RJ45接口)!
请问能否实现以下功能:
1、内网中的所有用户可以防问Internet和DMZ中的WEB服务器。
2、外网的用户可以防问DMZ区的Web平台。
3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器。
注:DMZ区WEB服务器作为应用服务器,使用内网中的数据库服务器。
解决方案:
一、 概述
本方案中,根据现有的设备,只要1个合法的IP地址(电信的IP地址好贵啊,1年租期10000元),分别通过PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以实现所提的功能要求。
二、 实施步骤
初始化PiX515e-r-DMZ-BUN:
给每个边界接口分配一个名字,并指定安全级别 
pix515e(config)# nameif ethernet0 outside security0
pix515e(config)# nameif ethernet1 inside security100
pix515e(config)# nameif ethernet2 dmz security50
给每个接口分配IP地址
pix515e(config)# ip address outside 222.134.135.98 255.255.255.252 pix515e(config)# ip address inside 192.168.1.1 255.255.255.0 pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0
为Pix防火墙每个接口定义一条静态或缺省路由。 
pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1
(通过IP地址为222.134.135.97的路由器路由所有的出站数据包/外部接口/)
pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1
pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1
pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1
配置Pix防火墙作为内部用户的DPCH服务器 
pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 inside
pix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68
pix515e(config)# dhcpd enable inside

1、配置Pix防火墙来允许处于内部接口上的用户防问Internet和堡垒主机

同时允许DMZ接口上的主机可以防问Internet
通过设置NAT和PAT来实现高安全级别接口上的主机对低安全级别接口上的主机的防问。
(1)命令如下: 
pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0
pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0
pix515e(config)# global (outside) 10 interface
pix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0
(2)第一个nat命令允许在安全级别为100的内部接口上的主机,去连接那些安全级别比它低的接口上的主机。在第一个命令中,低安全级别接口上的主机包括外部接口上的主机和非军事区/DMZ/上的主机。第二个nat命令允许在安全级别为50的DMZ上的主机,去连接那些安全级别比它低的接口上的主机。而在第二个命令中,低安全级别的接口只包含外部接口。
(3)因为全局地址池和nat (inside)命令都使用nat_id为10,所以在192.168.1.0网络上的主机地址将被转换成任意地址池中的地址。因此,当内部接口上用户访问DMZ上的主机时,它的源地址被转换成global (dmz)命令定义的10.0.0.10-10.0.0.254范围中的某一个地址。当内部接口上的主机防问Internet时,它的源地址将被转换成global (outside)命令定义的222.134.135.98和一个源端口大于1024的结合。
(4)当DMZ上用户访问外部主机时,它的源地址被转换成global (outside)命令定义的222.134.135.98和一个源端口大于1024的结合。Global (dmz)命令只在内部用户访问DMZ接口上的Web服务器时起作用。
(5)内部主机访问DMZ区的主机时,利用动态内部NAT——把在较安全接口上的主机地址转换成不×××全接口上的一段IP地址或一个地址池(10.0.0.10-10.0.0.254)。内部主机和DMZ区的主机防问Internet时,利用PAT——1个IP地址和一个源端口号的结合,它将创建一个惟一的对话,即PAT全局地址(222.134.135.98)的源端口号对应着内部或DMZ区中的唯一的IP地址来标识唯一的对话。PAT全局地址(222.134.135.98)的源端口号要大于1024.理论上,在使用PAT时,最多可以允许64000台内部主机使用一个外部IP地址,从实际环境中讲大约4000台内部的主机可以共同使用一个外部IP地址。)
2、 配置PIX防火墙允许外网的用户可以防问DMZ区的Web服务器
通过配置静态内部转换、ACL和端口重定向来实现外网对DMZ区的Web防问。
(1)命令如下 
static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0
access-list outside_access_in line 1 permit tcp any interface outside
access-group 101 in interface outside
(2)PIX防火墙静态PAT所使用的共享全局地址可以是一个惟一的地址,也可以是一个共享的出站PAT地址,还可以与外部接口共享一个地址。
(3)Static静态转换中“DNS”表示进行“DNS记录转换”
DNS记录转换应用在当内部的主机通过域名连接处于内部的服务器,并且用来进行域名解析的服务器处于PIX防火墙外部的情况下。
一个处于内网中的客户端通过域名向地址为10.0.0.2的Web服务器发送一个HTTP请示。首先要通过PIX防火墙外部接口上的DNS服务器进行域名解析,因此客户端将DNS解析请求包发送到PIX防火墙上。当PIX防火墙收到客户端的DNS解析请求包时,将IP头中不可路由的源地址进行转换,并且将这个DNS解析请求转发到处于PIX防火墙外部接口上的DNS服务器。DNS服务器通过A-记录进行地址解析,并将结果返回到客户端。当PIX防火墙收到 DNS解析回复后,它不仅要将目的地址进行转换,而且还要将DNS解析回复中的地址替换成Web服务器的实际地址。然后PIX防火墙将DNS解析发回客户端。这样所产生的结果是,当客户端收到这个DNS解析回复,它会认为它与Web服务器处于内部网络中,可以通过DMZ接口直接到达。
3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器
通过静态内部转换可以实现DMZ区的主机对内网中的主机的防问。
(1)命令如下: 
static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0
access-list dmz_access_in line 1 permit tcp any any
access-group dmz_access_in in interface dmz
(2)静态内部地址转换可以让一台内部主机固定地使用PIX防火墙全局网络中的一个地址。使用Static命令可以配置静态转换。Static命令创建一个在本地IP地址和一个全局IP地址之间的永久映射(被称为静态转换槽或xlate),可以用来创建入站和出站之间的转换。
除了Static命令之外,还必须配置一个适当的访问控制列表(ACL),用来允许外部网络对内部服务器的入站访问。

转载于:https://blog.51cto.com/lianghongpan/56083

思科PIX防火墙的实际应用配置相关推荐

  1. 思科pix防火墙配置实例大全

    在配置PIX防火墙之前,先来介绍一下防火墙的物理特性.防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口:当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内 ...

  2. 防火墙入侵于检测——————3、思科 PIX 防火墙和 ASA 防火墙产品线

    思科 PIX 防火墙和思科 ASA自适应安全工具模型和特点 PIX防火墙家族 ASA自适应安全工具家族 思科PIX 防火墙 501 安全工具  •Designed for small offices ...

  3. 思科PIX防火墙配置清除

    防火墙的配置的清除分为两个大的步骤: 一.防火墙密码的破解 1.准备一台笔记本电脑,安装软件tftpd,配置好本机IP地址和TFTP服务器的文件路径,开启TFTP服务器 2.重启PIX防火墙,键盘按下 ...

  4. 用ASDM管理思科PIX防火墙

    ASDM是思科提供的自适应安全设备管理器 一.ASDM的按装 1.登录到PIX并且进入启用模式:"pix> enable"         2.进入启用模式之后,输入命令&q ...

  5. Cisco PIX防火墙配置指南

    总结了防火墙基本配置十个方面的内容.  硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种pc式的电脑主机加上闪存(flash)和防火墙操作系统.它的硬件跟共控机差不多,都 ...

  6. cisco PIX防火墙 基本命令配置及详解

    企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色.防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络 ...

  7. cisco pix防火墙命令使用

    任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色.防火墙通常位于企业网络的边缘,这使得内部网络与internet之间或者与其他外部网络互相隔离,并限制 ...

  8. CISCO PIX防火墙的配置

    硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,Cisco PIX防火墙操作系统跟Cisco IOS相似,都是用命令行的方式来进行操作.用配置线从电脑的COM2连到防火墙的console口,进入P ...

  9. Cisco PIX防火墙配置命令大全

    Cisco PIX防火墙配置命令大全 来源: 作者:XUEYAN 出处:巧巧读书 2007-04-26 进入讨论组 关 键 词:子网掩码   协议   路由器   服务器   访问控制    一.PI ...

最新文章

  1. Hyper-V的三种网卡
  2. jQuery插件:超酷的多列网格式拖放插件gridster.js
  3. 回望云计算发展 重新解读三种云服务
  4. FPGA之道(33)Verilog数据类型
  5. 实行计算机分类标识管理的根本目的,会计信息系统试卷A及答案
  6. PHP:验证邮箱合法性
  7. android Matrix图片变换处理
  8. 神经网络(11)--具体实现:unrolling parameters
  9. Oracle(四)多表查询
  10. CentOS网络设置 couldn‘t resolve host ‘mirrorlist.centos.org问题解决
  11. 巧用DOS命令打印上线文件列表
  12. 小程序发布上线流程_微信小程序发布_审核上线流程及注意事项_企业服务汇
  13. 天邑TY1608_S905L3B_支持RTL8822CS、MT7668_线刷/卡刷_刷机固件包
  14. 了解前沿信息科技 做好学习就业规划
  15. 程序设计思维与实践 Week14 限时大模拟A - 猫睡觉问题
  16. 四维超混沌系统matlab
  17. 左右滑屏设置_android手势滑屏及左右滑屏
  18. WFP(三)——编译、部署驱动文件*.sys——微软msnmntr项目
  19. mysql删除多表视图数据,【杂谈】怎样删除mysql数据表视图中数据
  20. java 爬取快递100 快递信息

热门文章

  1. free not return memory
  2. ffmpeg录屏/摄像头/指定窗口;别名alias设置
  3. 【FFmpeg】便捷函数汇总(持续更新中...)
  4. 【AI】caffe使用步骤(四):训练和预测
  5. 【C++】operator bool() 和 operator const bool() const
  6. 可以打游戏的计算机,还在用笔记本玩游戏?台式机才能给你极致享受
  7. 哪个工具编译java_用什么工具来编译JAVA啊?
  8. mysql intersects_mysql gis 空间数据库 根据 经纬度查找附近 (INTERSECTS,within)
  9. postgres默认安装后有哪些表_Greenplum 行存、列存,堆表、AO表的原理和选择
  10. python编程求圆的面积案例_Python实用案例编程入门:第七章 调式手段