PIX防火墙原理与配置
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
PIX 防火墙原理与配置
Copyright © 2010 Bestlink Corporation, All rights reserved
学习目标
了解PIX防火墙的基本概念 掌握防火墙的基本配置命令 理解PIX常见配置案例 了解常用维护方法
Page 2
Copyright © 2010 Bestlink Corporation, All rights reserved
IP包过滤技术介绍
❖ 对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进 行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤 的核心技术是访问控制列表。
R
内部网络
Internet
办事处
公司总部
Page 5
未授权用户
Copyright © 2010 Bestlink Corporation, All rights reserved
Page 13
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
命令格式
Enable password password [encrypted]
hostname newname
用途及说明
从非特权模式进入特权模式时的验证命令,注意 password可以是数字或字符串,但区分大小写, 且长度最大为16个字符。选项[encrypted]是默认 应用的,在配置文件中口令是被加密的
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
命令格式 Write standby
用途及说明
将当前处于活跃状态的防火墙的当前配置保存在备份防火墙的 RAM中,一般使用故障切换功能的防火墙自动定期将配置 写入备份单元
Page 20
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
4、global
指定公网地址范围:定义地址池。 Global命令的配置语法: global(if_name) nat_id ip_address-ip_address[netmarkglobal_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address: 表示一段ip地址范围。 [netmarkglobal_mask]: 表示全局ip地址的网络掩码。
Copyright © 2010 Bestlink Corporation, All rights reserved
课程目录
第1节 PIX防火墙基本概念 第2节 PIX防火墙基本配置方法 第3节 PIX防火墙配置案例 第4节 PIX防护配置
Page 11
Copyright © 2010 Bestlink Corporation, All rights reserved
Server 202.120.10.2
Internet
Server 192.168.1.2
数据报2
源:202.120.10.2 目的:192.168.1.3
数据报2
源:202.120.10.2 目的:202.169.10.1
PC 202.130.10.3
❖ NAT(Network Address Translation,地址转换)是将IP 数据报报头中的IP地址转换为另一个IP地址的过程
Show xlate
Show telnet ping IP telnet IP
显示地址转换列表;其中“Global”表示全局地址;“Local”表 示本地地址;“Static”表示静态地址翻译;“nconns”本地 与全局地址对连接数量;“econns”未完成连接(半打开) 数量
显示被授权的Telnet访问IP地址信息
为防火墙配置名称
Write terminal
保存当前配置,存储于RAM中
Write net Write erase Write memory
保存当前配置文件到TFTP服务器
清除Flash中的启动配置文件
对PIX的任意修改都会立即生效,并将配置保存于 Flash中,且不影响防火墙的处理工作
Page 14
Page 15
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
命令格式 Show history
Show interface
用途及说明
显示以前的输入命令。也可以按上下箭头逐个检查以前输入的 命令
查看接口的信息。在显示结果中“Line protocol up/down”表示 物理连接正常/不正常;“Network interface type”表示接口 类型;“No buffer”内存不足,流量过大导致速度降低; “Overruns”网络接口淹没,不能缓存接收的信息; “underruns”防火墙被淹没,不能让数据快速到达网络接 口;“babbles”发送器在接口上的时间过长;“defered”链 路上有数据活动,导致发送之前被延迟的帧的数量
Show memory 显示存储器中和当前可用的存储信息
Page 16
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
命令格式 show version
用途及说明
显示防火墙操作系统版本以及硬件类型、存储器类型、处理器 类型、Flash类型、许可证特性、序列号码、激活密钥等
NAT基本原理
数据报1
PC
源:192.168.1.3
192.168.1.3 目的:202.120.10.2
数据报1 源:202.169.10.1 目的:202..120.10.2
Trust
Eudemon Untrust
Eth0/0/0 192.168.1.1
Eth0/0/1 202.169.10.1
课程目录
第1节 PIX防火墙基本概念 第2节 PIX防火墙基本配置方法 第3节 PIX防火墙配置案例 第4节 PIX防护配置
Page 3
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX防火墙的区域
外部网络
outside
DMZ
10.110.5.100
Internet
外网用户
Page 9
Copyright © 2010 Bestlink Corporation, All rights reserved
双向NAT
192.168.1.1 trust
202.1.1.1
untrust
192.168.1.10
202.1.1.10
Page 10
Inside
中间区域
内部网络
inside可以访问任何outside和dmz区域。 dmz可以访问outside区域。 inside访问dmz需要配合static(静态地址转换)。 outside访问dmz需要配合acl(访问控制列表)。
Page 4
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的接口
PIX防火墙常见接口 Console口---------用于初始配置 Failover口---------用于故障切换端口 Ethernet口---------用于业务互联和管理 USB口----------用于升级加载
Page 12
Copyright © 2010 Bestlink Corporation, All rights reserved
例如要求设置: ethernet0命名为外部接口outside,安全级别是0。 ethernet1命名为内部接口inside,安全级别是100。 ethernet2命名为中间接口dmz,安装级别为50。
使用命令: PIX525(config)#nameif ethernet 0 outside security 0 PIX525(config)#nameif ethernet 1 inside security 100 PIX525(config)#nameif ethernet 2 dmz security 50
命令: PIX525(config)#interface ethernet 0 auto PIX525(config)#interface ethernet 1 100 full PIX525(config)#interface ethernet 1 100 full shutdown
Page 19
Page 7
Copyright © 2010 Bestlink Corporation, All rights reserved
NAT/PAT地址转换
PIX
内网
内网用户
地址池 202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4
NAT地址转换:一对一(IP—>IP) PAT地址转换: 一对多(IP—>IP+端口号)
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
3、ipaddress 配置网络接口的IP地址
例如: 内网inside接口使用私有地址192.168.0.1,外网outside接口使用
公网地址133.0.0.1 PIX525(config)#ipaddress outside 133.0.0.1 255.255.255.252 PIX525(config)#ipaddress inside 192.168.0.1 255.255.255.0 。
configure net 将TFTP的配置文件与RAM中配置文件合并,存储于RAM中
configure memory
Show config
Show runningconfig
将当前配置文件与启动配置文件合并,存储于Flash中
用于显示存储在Flash中的启动配置文件 显示PIX防火墙的RAM中当前的配置文件
访问控制列表(ACL)
❖ 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):
IP报头
TCP报头
数据
协议号 源地址 目的地址
源端口 目的端口
对于TCP来说,这5个元素组 成了一个TCP相关,访问控 制列表就是利用这些元素定
义的规则
Page 6
Copyright © 2010 Bestlink Corporation, All rights reserved
测试连通性
通过Telnet方式访问该IP地址设备
Page 17
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字 越大安全级别越高。
Page 18
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
2、interface 配置以太口工作状态,常见状态有:auto、100full、shutdown。 auto:设置网卡工作在自适应状态。 100full:设置网卡工作在100Mbit/s,全双工状态。 shutdown:设置网卡接口关闭,否则为激活。
PIX防火墙的配置模式
PIX防火墙的配置模式与路由器类似,有4种管理模式: ❖ PIXfirewall> 用户模式 ❖ PIXfirewall# 特权模式 ❖ PIXfirewall(config)# 配置模式 ❖ monitor> ROM监视模式
开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
Internet
Page 8
Copyright © 2010 Bestlink Corporation, All rights reserved
映射内部服务器
内网用户
内网
10.110.5.101:80
DMZ
Eud 服务器
10.110.5.101
FTP 服务器
Copyright © 2010 Bestlink Corporation, All rights reserved
学习目标
了解PIX防火墙的基本概念 掌握防火墙的基本配置命令 理解PIX常见配置案例 了解常用维护方法
Page 2
Copyright © 2010 Bestlink Corporation, All rights reserved
IP包过滤技术介绍
❖ 对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进 行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤 的核心技术是访问控制列表。
R
内部网络
Internet
办事处
公司总部
Page 5
未授权用户
Copyright © 2010 Bestlink Corporation, All rights reserved
Page 13
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
命令格式
Enable password password [encrypted]
hostname newname
用途及说明
从非特权模式进入特权模式时的验证命令,注意 password可以是数字或字符串,但区分大小写, 且长度最大为16个字符。选项[encrypted]是默认 应用的,在配置文件中口令是被加密的
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
命令格式 Write standby
用途及说明
将当前处于活跃状态的防火墙的当前配置保存在备份防火墙的 RAM中,一般使用故障切换功能的防火墙自动定期将配置 写入备份单元
Page 20
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
4、global
指定公网地址范围:定义地址池。 Global命令的配置语法: global(if_name) nat_id ip_address-ip_address[netmarkglobal_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address: 表示一段ip地址范围。 [netmarkglobal_mask]: 表示全局ip地址的网络掩码。
Copyright © 2010 Bestlink Corporation, All rights reserved
课程目录
第1节 PIX防火墙基本概念 第2节 PIX防火墙基本配置方法 第3节 PIX防火墙配置案例 第4节 PIX防护配置
Page 11
Copyright © 2010 Bestlink Corporation, All rights reserved
Server 202.120.10.2
Internet
Server 192.168.1.2
数据报2
源:202.120.10.2 目的:192.168.1.3
数据报2
源:202.120.10.2 目的:202.169.10.1
PC 202.130.10.3
❖ NAT(Network Address Translation,地址转换)是将IP 数据报报头中的IP地址转换为另一个IP地址的过程
Show xlate
Show telnet ping IP telnet IP
显示地址转换列表;其中“Global”表示全局地址;“Local”表 示本地地址;“Static”表示静态地址翻译;“nconns”本地 与全局地址对连接数量;“econns”未完成连接(半打开) 数量
显示被授权的Telnet访问IP地址信息
为防火墙配置名称
Write terminal
保存当前配置,存储于RAM中
Write net Write erase Write memory
保存当前配置文件到TFTP服务器
清除Flash中的启动配置文件
对PIX的任意修改都会立即生效,并将配置保存于 Flash中,且不影响防火墙的处理工作
Page 14
Page 15
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
命令格式 Show history
Show interface
用途及说明
显示以前的输入命令。也可以按上下箭头逐个检查以前输入的 命令
查看接口的信息。在显示结果中“Line protocol up/down”表示 物理连接正常/不正常;“Network interface type”表示接口 类型;“No buffer”内存不足,流量过大导致速度降低; “Overruns”网络接口淹没,不能缓存接收的信息; “underruns”防火墙被淹没,不能让数据快速到达网络接 口;“babbles”发送器在接口上的时间过长;“defered”链 路上有数据活动,导致发送之前被延迟的帧的数量
Show memory 显示存储器中和当前可用的存储信息
Page 16
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
命令格式 show version
用途及说明
显示防火墙操作系统版本以及硬件类型、存储器类型、处理器 类型、Flash类型、许可证特性、序列号码、激活密钥等
NAT基本原理
数据报1
PC
源:192.168.1.3
192.168.1.3 目的:202.120.10.2
数据报1 源:202.169.10.1 目的:202..120.10.2
Trust
Eudemon Untrust
Eth0/0/0 192.168.1.1
Eth0/0/1 202.169.10.1
课程目录
第1节 PIX防火墙基本概念 第2节 PIX防火墙基本配置方法 第3节 PIX防火墙配置案例 第4节 PIX防护配置
Page 3
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX防火墙的区域
外部网络
outside
DMZ
10.110.5.100
Internet
外网用户
Page 9
Copyright © 2010 Bestlink Corporation, All rights reserved
双向NAT
192.168.1.1 trust
202.1.1.1
untrust
192.168.1.10
202.1.1.10
Page 10
Inside
中间区域
内部网络
inside可以访问任何outside和dmz区域。 dmz可以访问outside区域。 inside访问dmz需要配合static(静态地址转换)。 outside访问dmz需要配合acl(访问控制列表)。
Page 4
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的接口
PIX防火墙常见接口 Console口---------用于初始配置 Failover口---------用于故障切换端口 Ethernet口---------用于业务互联和管理 USB口----------用于升级加载
Page 12
Copyright © 2010 Bestlink Corporation, All rights reserved
例如要求设置: ethernet0命名为外部接口outside,安全级别是0。 ethernet1命名为内部接口inside,安全级别是100。 ethernet2命名为中间接口dmz,安装级别为50。
使用命令: PIX525(config)#nameif ethernet 0 outside security 0 PIX525(config)#nameif ethernet 1 inside security 100 PIX525(config)#nameif ethernet 2 dmz security 50
命令: PIX525(config)#interface ethernet 0 auto PIX525(config)#interface ethernet 1 100 full PIX525(config)#interface ethernet 1 100 full shutdown
Page 19
Page 7
Copyright © 2010 Bestlink Corporation, All rights reserved
NAT/PAT地址转换
PIX
内网
内网用户
地址池 202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4
NAT地址转换:一对一(IP—>IP) PAT地址转换: 一对多(IP—>IP+端口号)
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
3、ipaddress 配置网络接口的IP地址
例如: 内网inside接口使用私有地址192.168.0.1,外网outside接口使用
公网地址133.0.0.1 PIX525(config)#ipaddress outside 133.0.0.1 255.255.255.252 PIX525(config)#ipaddress inside 192.168.0.1 255.255.255.0 。
configure net 将TFTP的配置文件与RAM中配置文件合并,存储于RAM中
configure memory
Show config
Show runningconfig
将当前配置文件与启动配置文件合并,存储于Flash中
用于显示存储在Flash中的启动配置文件 显示PIX防火墙的RAM中当前的配置文件
访问控制列表(ACL)
❖ 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):
IP报头
TCP报头
数据
协议号 源地址 目的地址
源端口 目的端口
对于TCP来说,这5个元素组 成了一个TCP相关,访问控 制列表就是利用这些元素定
义的规则
Page 6
Copyright © 2010 Bestlink Corporation, All rights reserved
测试连通性
通过Telnet方式访问该IP地址设备
Page 17
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字 越大安全级别越高。
Page 18
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
2、interface 配置以太口工作状态,常见状态有:auto、100full、shutdown。 auto:设置网卡工作在自适应状态。 100full:设置网卡工作在100Mbit/s,全双工状态。 shutdown:设置网卡接口关闭,否则为激活。
PIX防火墙的配置模式
PIX防火墙的配置模式与路由器类似,有4种管理模式: ❖ PIXfirewall> 用户模式 ❖ PIXfirewall# 特权模式 ❖ PIXfirewall(config)# 配置模式 ❖ monitor> ROM监视模式
开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
Internet
Page 8
Copyright © 2010 Bestlink Corporation, All rights reserved
映射内部服务器
内网用户
内网
10.110.5.101:80
DMZ
Eud 服务器
10.110.5.101
FTP 服务器