思科防火墙个人总结
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单的说是一种PC式的电脑主机加上闪存和防火墙操作系统。
所有从外部到内部或内部到外部的通信都必须经过它;只有有内部访问策略授权的通信才能被允许通过;系统本身具有很强的高可靠性;
防火墙技术:包过滤技术(访问控制列表);状态检测
我第一次亲手配置的是防火墙Cisco firewall pix 525.
下面是一般用到的最基本配置
1.建立用户、设置密码
跟Cisco IOS路由器基本一样。
2.激活以太端口、命名端口与安全级别、配置以太网端口IP地址及静态路由,
配置telnet
PIX525(config)#interface ethernet0
PIX525(config-if)#nameif outside
PIX525(config-if)#security-level 0
PIX525(config-if)#ip address 221.12.59.243 255.255.255.128
PIX525(config-if)#no shut
PIX525(config)#ip address outside 221.12.59.243 255.255.255.128
PIX525(config)#route outside 0.0.0.0 0.0.0.0 221.12.59.241 1
PIX525(config)#telnet 172.18.32.0 255.255.224.0 inside
XG-PIX-525# show nameif
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif gb-ethernet0 dmz security20
nameif gb-ethernet1 inside1 security80
XG-PIX-525# show route
outside 0.0.0.0 0.0.0.0 221.12.59.241 1 OTHER static
inside1 172.16.0.0 255.240.0.0 172.18.254.134 1 OTHER static
inside1 172.18.254.132 255.255.255.252 172.18.254.133 1 CONNECT static dmz 192.168.254.0 255.255.255.0 192.168.254.1 1 CONNECT static outside 221.12.59.240 255.255.255.248 221.12.59.243 1 CONNECT static XG-PIX-525# show ip
System IP Addresses:
ip address outside 221.12.59.243 255.255.255.248
no ip address inside
ip address dmz 192.168.254.1 255.255.255.0
ip address inside1 172.18.254.133 255.255.255.252
Current IP Addresses:
ip address outside 221.12.59.243 255.255.255.248
no ip address inside
ip address dmz 192.168.254.1 255.255.255.0
ip address inside1 172.18.254.133 255.255.255.252
XG-PIX-525# show telnet
192.168.254.0 255.255.255.0 dmz
172.18.240.0 255.255.240.0 inside1
172.18.32.0 255.255.224.0 inside1
2.访问列表
此功能与cisco IOS基本上是相似的,有permit和deny两个功能,网络协议一般有IP、TCP、UDP、ICMP、SSH等等,如:
PIX525(config)#access-list 110 permit icmp any any
PIX525(config)#access-list 110 permit tcp any host 221.12.59.244 eq www PIX525(config)#access-list 110 permit tcp any host 221.12.59.243 eq ssh PIX525(config)#access-list 110 permit tcp any host 221.12.59.244 eq ftp PIX525(config)#access-group 100 in interface outside
3.global
指定公网地址范围:定义地址池
Global(if_name) nat_id ip_address-ip-address [netmark global_mask]
(if_name):表示外网接口名称,一般为outside。
Nat_id:建立的地址池标识(nat要引用)。
PIX525(config)#global(outside) 1
PIX525(config)#global(outside) 1 221.12.59.243
PIX525(config)#no global(outside) 1 221.12.59.243
4.地址转换(NAT)与端口转换(PAT)
地址转换命令,将内网的私有IP转换为外网公网IP。
Nat(if_name) nat_id local_ip [netmark]
(if_name):表示内网接口名称,一般为inside。
Nat_id:表示地址池,由global命令定义。
在实际配置中nat命令总是与global命令配合使用。
PIX525(config)#nat(inside) 1 0 0 ——表示内网的所有主机(00)都可以访问由global指定的外网。
PIX525(config)#nat(inside) 1 172.16.5.0 255.255.0.0
4.static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
Static(internal_if_name,external_if_name) nat_id outside_ip inside_ip 括号内序顺是先内后外,外边的顺序是先外后内。
PIX525(config)#static(inside,outside) 1 221.12.59.243 172.18.240.1将内网主机发布在外网
PIX525(config)#static(dmz,outside) 1 221.12.59.243 192.168.1.1 10000
静态端口重定向
允许外部用户通过一个特殊的IP地址/端口通过防火墙。
PIX525(config)# static(inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0