思科防火墙个人总结

防火墙

硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单的说是一种PC式的电脑主机加上闪存和防火墙操作系统。

所有从外部到内部或内部到外部的通信都必须经过它；只有有内部访问策略授权的通信才能被允许通过；系统本身具有很强的高可靠性；

防火墙技术：包过滤技术（访问控制列表）；状态检测

我第一次亲手配置的是防火墙Cisco firewall pix 525.

下面是一般用到的最基本配置

1.建立用户、设置密码

跟Cisco IOS路由器基本一样。

2.激活以太端口、命名端口与安全级别、配置以太网端口IP地址及静态路由，

配置telnet

PIX525(config)#interface ethernet0

PIX525(config-if)#nameif outside

PIX525(config-if)#security-level 0

PIX525(config-if)#ip address 221.12.59.243 255.255.255.128

PIX525(config-if)#no shut

PIX525(config)#ip address outside 221.12.59.243 255.255.255.128

PIX525(config)#route outside 0.0.0.0 0.0.0.0 221.12.59.241 1

PIX525(config)#telnet 172.18.32.0 255.255.224.0 inside

XG-PIX-525# show nameif

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif gb-ethernet0 dmz security20

nameif gb-ethernet1 inside1 security80

XG-PIX-525# show route

outside 0.0.0.0 0.0.0.0 221.12.59.241 1 OTHER static

inside1 172.16.0.0 255.240.0.0 172.18.254.134 1 OTHER static

inside1 172.18.254.132 255.255.255.252 172.18.254.133 1 CONNECT static dmz 192.168.254.0 255.255.255.0 192.168.254.1 1 CONNECT static outside 221.12.59.240 255.255.255.248 221.12.59.243 1 CONNECT static XG-PIX-525# show ip

System IP Addresses:

ip address outside 221.12.59.243 255.255.255.248

no ip address inside

ip address dmz 192.168.254.1 255.255.255.0

ip address inside1 172.18.254.133 255.255.255.252

Current IP Addresses:

ip address outside 221.12.59.243 255.255.255.248

no ip address inside

ip address dmz 192.168.254.1 255.255.255.0

ip address inside1 172.18.254.133 255.255.255.252

XG-PIX-525# show telnet

192.168.254.0 255.255.255.0 dmz

172.18.240.0 255.255.240.0 inside1

172.18.32.0 255.255.224.0 inside1

2.访问列表

此功能与cisco IOS基本上是相似的，有permit和deny两个功能，网络协议一般有IP、TCP、UDP、ICMP、SSH等等，如：

PIX525(config)#access-list 110 permit icmp any any

PIX525(config)#access-list 110 permit tcp any host 221.12.59.244 eq www PIX525(config)#access-list 110 permit tcp any host 221.12.59.243 eq ssh PIX525(config)#access-list 110 permit tcp any host 221.12.59.244 eq ftp PIX525(config)#access-group 100 in interface outside

3.global

指定公网地址范围：定义地址池

Global(if_name) nat_id ip_address-ip-address [netmark global_mask]

(if_name):表示外网接口名称，一般为outside。

Nat_id:建立的地址池标识（nat要引用）。

PIX525(config)#global(outside) 1

PIX525(config)#global(outside) 1 221.12.59.243

PIX525(config)#no global(outside) 1 221.12.59.243

4.地址转换（NAT）与端口转换（PAT）

地址转换命令，将内网的私有IP转换为外网公网IP。

Nat(if_name) nat_id local_ip [netmark]

(if_name):表示内网接口名称，一般为inside。

Nat_id:表示地址池，由global命令定义。

在实际配置中nat命令总是与global命令配合使用。

PIX525(config)#nat(inside) 1 0 0 ——表示内网的所有主机（00）都可以访问由global指定的外网。

PIX525(config)#nat(inside) 1 172.16.5.0 255.255.0.0

4.static

配置静态IP地址翻译，使内部地址与外部地址一一对应。

Static(internal_if_name,external_if_name) nat_id outside_ip inside_ip 括号内序顺是先内后外，外边的顺序是先外后内。

PIX525(config)#static(inside,outside) 1 221.12.59.243 172.18.240.1将内网主机发布在外网

PIX525(config)#static(dmz,outside) 1 221.12.59.243 192.168.1.1 10000

静态端口重定向

允许外部用户通过一个特殊的IP地址/端口通过防火墙。

PIX525(config)# static(inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0