思科PIX防火墙的基本配置

思科PIX 防火墙的基本配置

【项目目标】

掌握PIX 防火墙基本配置方法。

【项目背景】

某公司使用Cisco PIX 515防火墙连接到internet ，ISP 分配给该公司一段公网IP 地址。公司具有Web 服务器和Ftp 服务器，要求让内网用户和外网用户都能够访问其web 服务和FTP 服务，但外部网络用户不可以访问内网。

【方案设计】

1.总体设计

ISP 分配给该公司一段公网IP 地址为61.1.1.2—61.1.1.254。在DMZ 区域放置一台Web 服务器和一台Ftp 服务器，使用61.1.1.3和61.1.1.4这两个全局IP 地址分别将Web 服务器和Ftp 服务器发布到Internet 。利用访问控制列表来控制外网用户的访问。

2.任务分解

任务1：防火墙基本配置。

任务2：接口基本配置。

任务3：配置防火墙默认路由。

任务4：配置内网用户访问外网规则。

任务5：发布DMZ 区域的服务器。

任务6：配置访问控制列表。

任务7：查看与保存配置。

3.知识准备

所有的防火墙都是按以下两种情况配置的：

（1）拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型。

（2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

不过大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的内部用户能够发送和接收Email ，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP 的进程。

4.拓扑结构：如图8-17所示。

图8-17 项目拓扑结构

5.设备说明

PIX515

dmz outsid

inside File Server Web

192.168.1.Interne

以PIX515防火墙7.X 版本的操作系统为例，介绍其配置过程。在配置之前先假设pix515防火墙的ethernet0接口作为外网接口(命名为outside)，并分配全局IP 地址为61.1.1.2；ethernet1接口作为内网接口(命名为inside)，并分配私有IP 地址为192.168.1.1；ethernet2接口作为DMZ 接口，并分配私有IP 地址为192.168.2.1。内网的私有IP 地址使用范围为192.168.1.1-192.168.1.254，子网掩码为255.255.255.0。防火墙的下一跳路由器地址假设为61.1.1.1；dmz 区域中Web 服务器IP 地址取192.168.2.3，Ftp 服务器IP 地址取192.168.2.4。

【项目实施】

任务1：防火墙基本配置

1.任务描述：

掌握防火墙基本配置方法

2.操作步骤：

步骤1：设置防火墙的特权密码

步骤2：设置防火墙的名称

步骤3：设置防火墙的域名

步骤4：设置防火墙的登陆密码

任务2

：接口基本配置

1.任务描述：

掌握防火墙接口地址配置的方法

2.操作步骤：

步骤1：为e0接口命名为outside

步骤2：定义e0接口的安全级别

步骤3：设置e0接口为自适应网卡类型