Cisco PIX防火墙配置命令大全

Cisco PIX防火墙配置命令大全
来源：作者：XUEYAN 出处：巧巧读书 2007-04-26 进入讨论组
关键词：子网掩码协议路由器服务器访问控制
一、PIX防火墙的认识

PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。

PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。

PIX防火墙常见接口有：console、Failover、Ethernet、USB。

网络区域：

内部网络：inside

外部网络：outside

中间区域：称DMZ(停火区)。放置对外开放的服务器。

二、防火墙的配置规则

没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。

(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

三、PIX防火墙的配置模式

PIX防火墙的配置模式与路由器类似，有4种管理模式：

PIXfirewall>：用户模式

PIXfirewall#：特权模式

PIXfirewall(config)#：配置模式

monitor>：ROM监视模式，开机按住[Esc]键或发送一个“Break”字符，进入监视模式。

四、PIX基本配置命令

常用命令有：nameif、interface、ipaddress、nat、global、route、static等。

1、nameif

设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

例如要求设置：

ethernet0命名为外部接口outside，安全级别是0。

ethernet1命名为内部接口inside，安全级别是100。

ethernet2命名为中间接口dmz,安装级别为50。

使用命令：

PIX525(config)#nameif ethernet0 outsidesecurity 0

PIX525(config)#nameif ethernet1 insidesecurity 100

PIX525(config)#nameif ethernet2 dmzsecurity 50

2、interface

配置以太口工作状态，常见状态有：auto、100full、shutdown。

auto：设置网卡工作在自适应状态。

100full：设置网卡工作在100Mbit/s，全双工状态。

shutdown：设置网卡接口关闭，否则为激活。

命令：

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 100full

PIX525(config)#interface ethernet1 100fullshutdown

3、ipaddress

配置网络接口的IP地址，例如：

PIX525(config)#ipaddress outside 133.0.0.1 255.255.255.252

PIX525(config)#ipaddress inside 192.168.0.1 255.255.255.0

内网inside接口使用私有地址192.168.0.1，外网outside接口使用公网地址133.0.0.1。

4、global

指定公网地址范围：定义地址池。

Global命令的配置语法：

global(if_name) nat_id ip_address-ip_address [netmarkglobal_mask]

其中：

(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmarkglobal_mask]：表示全局ip地址的网络掩码。

例如：

PIX525(config)#global(outside) 1 133.0.0.1-133.0.0.15

地址池1对应的IP是：133.0.0.1-133.0.0.15

PIX525(config)#global(outside) 1 133.0.0.1

地址池1只有一个IP地址133.0.0.1。

PIX525(config)#noglobal(outside) 1 133.0.0.1

表示删除这个全局表项。

5、nat

地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat(if_name) nat_id local_ip [netmark]

其中：

(if_name)：表示接口名称，一般为inside.

nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

在实际配置中nat命令总是与global命令配合使用。

一个指定外部网络，一个指定内部网络，通过net_id联系在一起。

例如：

PIX525(config)#nat(inside) 1 0 0

表示内网的所有主机( 0 0 )都可以访问由global指定的外网。

PIX525(config)#nat(inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0/16网段的主机可以访问global指定的外网。

6、route

route命令定义静态路由。

语法：

route(if_name) 0 0 gateway_ip [metric]

其中：

(if_name)：表示接口名称。

0 0：表示所有主机

Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。缺省值是1。

例如：

PIX525(config)#routeoutside 0 0 133.0.0.1 1

设置缺省路由从outside口送出，下一跳是133.0.0.1。

00代表0.0.0.0 0.0.0.0，表示任意网络。

PIX525(config)#routeinside 10.1.0.0 255.255.0.0 10.8.0.11

设置到10.1.0.0网络下一跳是10.8.0.1。最后的“1”是花费。

7、static

配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：

static(internal_if_name,external_if_name) outside_ip_addr inside_ip_address

其中：

internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

outside_ip_address表示外部网络的公有ip地址。

inside_ip_address表示内部网络的本地ip地址。

(括号内序顺是先内后外，外边的顺序是先外后内)

例如：

PIX525(config)#static(inside，outside) 133.0.0.1 192.168.0.8

表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址。

PIX525(config)#static(dmz，outside) 133.0.0.1 172.16.0.2

中间区域ip地址172.16.0.2，访问外部时被翻译成133.0.0.1全局地址。

8、conduit

管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。

例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。

语法：

conduit permit|deny protocol global_ipport[-port] foreign_ip[netmask]

其中：

global_ip是一台主机时前面加host参数，所有主机时用any表示。

foreign_ip表示外部ip。

[netmask]表示可以是一台主机或一个网络。

例如：

PIX525(config)#static(inside，outside) 133.0.0.1 192.168.0.3

PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any

这个例子说明static和conduit的关系。192.168.0.3是内网一台web服务器，

现在希望外网的用户能够通过PIX防火墙访问web服务。

所以先做static静态映射：192.168.0.3－>133.0.0.1

然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。

9、访问控制列表ACL

访问控制列表的命令与couduit命令类似，

例：

PIX525(config)#access-list 100 permit ip anyhost 133.0.0.1 eq www

PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 ininterface outside

10、侦听命令fixup

作用是启用或禁止一个服务或协议，

通过指定端口设置PIX防火墙要侦听listen服务的端口。

例：

PIX525(config)#fixup protocol ftp 21

启用ftp协议，并指定ftp的端口号为21

PIX525(config)#fixup protocol http 8080

PIX525(config)#nofixup protocol http 80

启用http协议8080端口，禁止80端口。

11、telnet

当从外部接口要telnet到PIX防火墙时，telnet数据流需要用***隧道ipsec提供保护或

在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。

例：

telnetlocal_ip[netmask]

local_ip表示被授权可以通过telnet访问到PIX的ip地址。

如果不设此项，PIX的配置方式只能用console口接超级终端进行。

12、显示命令：

showinterface　；查看端口状态。

showstatic；查看静态地址映射。

showip；查看接口ip地址。

showconfig；查看配置信息。

showrun；显示当前配置信息。

writeterminal；将当前配置信息写到终端。

showcpuusage；显示CPU利用率，排查故障时常用。

showtraffic；查看流量。

showblocks；显示拦截的数据包。

showmem；显示内存

13、DHCP服务

PIX具有DHCP服务功能。

例：

PIX525(config)#ipaddress dhcp

PIX525(config)#dhcpdaddress 192.168.1.100-192.168.1.200 inside

PIX525(config)#dhcpdns 202.96.128.68 202.96.144.47

PIX525(config)#dhcpdomain abc.com.cn

五、PIX防火墙举例

设：

ethernet0命名为外部接口outside，安全级别是0。

ethernet1被命名为内部接口inside，安全级别100。

ethernet2被命名为中间接口dmz，安全级别50。

PIX525#conft

PIX525(config)#nameif ethernet0 outside security 0

PIX525(config)#nameif ethernet1 inside security 100

PIX525(config)#nameif ethernet2 dmz security 50

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 100full

PIX525(config)#interface ethernet2 100full

PIX525(config)#ipaddress outside 133.0.0.1 255.255.255.252;设置接口IP

PIX525(config)#ipaddress inside 10.66.1.200 255.255.0.0;设置接口IP

PIX525(config)#ipaddress dmz 10.65.1.200 255.255.0.0;设置接口IP

PIX525(config)#global(outside) 1 133.1.0.1-133.1.0.14;定义的地址池

PIX525(config)#nat(inside) 1 0 0 ;00表示所有

PIX525(config)#route outside 0 0 133.0.0.2;设置默认路由

PIX525(config)#static(dmz，outside) 133.1.0.1 10.65.1.101;静态NAT

PIX525(config)#static(dmz，outside) 133.1.0.2 10.65.1.102;静态NAT

PIX525(config)#static(inside，dmz) 10.66.1.200 10.66.1.200;静态NAT

PIX525(config)#access-list 101 permit ip anyhost 133.1.0.1 eq www;设置ACL

PIX525(config)#access-list 101 permit ip anyhost 133.1.0.2 eq ftp;设置ACL

PIX525(config)#access-list 101 deny ip any any;设置ACL

PIX525(config)#access-group 101 ininterface outside;将ACL应用在outside端口

当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。

当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会

映射成地址池的IP，到外部去找。

当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101，static是双向的。

PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。

静态路由指示内部的主机和dmz的数据包从outside口出去。更多内容请看Cisco IOS技术手册 Cisco防火墙安装配置 CISCO防火墙产品专题，或进入讨论组讨论。

转载于:https://blog.51cto.com/hanbing/120741

Cisco PIX防火墙配置命令大全相关推荐

思科pix防火墙配置实例大全
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性.防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口:当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内 ...
Cisco PIX防火墙配置指南
总结了防火墙基本配置十个方面的内容. 硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种pc式的电脑主机加上闪存(flash)和防火墙操作系统.它的硬件跟共控机差不多,都 ...
华为防火墙配置命令大全!救急！
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的 ...
Cisco 路由器防火墙配置命令及实例
一.access-list 用于创建访问规则. (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } s ...
cisco pix防火墙命令使用
任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色.防火墙通常位于企业网络的边缘,这使得内部网络与internet之间或者与其他外部网络互相隔离,并限制 ...
CISCO PIX防火墙的配置
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,Cisco PIX防火墙操作系统跟Cisco IOS相似,都是用命令行的方式来进行操作.用配置线从电脑的COM2连到防火墙的console口,进入P ...
cisco PIX防火墙基本命令配置及详解
企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色.防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络 ...
CISCO交换机配置命令大全
CISCO交换机配置命令大全 1.在基于IOS的交换机上设置主机名/系统名: switch(config)# hostname hostname 在基于CLI的交换机上设置主机名/系统名: switc ...
cisco 模拟器安装及交换机的基本配置实验心得_软考网络工程师级配置题总结 | 交换机配置、路由器配置、广域网接入配置、L2TP配置、IPSec配置、PIX防火墙配置...
软考网络工程师级配置题总结一. 交换机配置 1. 交换机的基本配置 Enable 进入特权模式 Config terminal 进入配置模式 Enable password cisco 设置enab ...

Cisco PIX防火墙配置命令大全

Cisco PIX防火墙配置命令大全相关推荐

最新文章

热门文章