防火墙的安装和配置

515-UR（10000条并发 连接，Failover功能和 6个接口）
515-Failover束（提供备 用Failover防火墙）
56位DES和/或168位3DES
PIX525
525-R（6个接口，多达280， 525-UR（8个接口， 000条并发连接） Failover支持，多达 280，000条并发连接） 535-R（6个接口，多达500， 535-UR（8个接口， 000条并发连接） Failover支持，多达 500，000条并发连接）
8.1.2 安装前 部署中的安装前阶段是确定PIX型号、许可证、特性和
物理位置的阶段。
选择许可证 选择PIX型号
1.选择许可证 无限制（Unrestricted） 当防火墙使用无限制（UR） 许可证时允许安装和使用最大数量的接口和RAM。无 限制许可证支持故障倒换功能。 受限（Restricted） 当防火墙使用受限制（R）许可证 时，其支持的接口数量受到限制，另外，系统中的 RAM的可用数量也受到限制。一个使用受限制许可证 的防火墙不能通过配置故障倒换功能来实现冗余。 故障倒换（Failover） 当使用故障倒换（FO）软件许 可证的PIX防火墙与使用无限制许可证的PIX防火墙协 同工作时，将被置于故障倒换模式。
8.3.2 配置防火墙名称、域名和密码
firewall(config)# hostname pix
pix(config)# domain-name pix.lab pix(config)# passwd cisco
pix(config)# enable password cisco
8.3.3 配置防火墙路由设置
pix(config)# route outside 0.0.0.0 0.0.0.0 10.21.67.2 1
该route命令中末尾的1指明了下一跳的度量值，这是可选 的。通常缺省路由将会指向防火墙连接到Internet的下一 跳路由，如Internet服务商网络中的路由器。
8.3.4 配置防火墙管理远程接入 PIX防火墙支持三种主要的远程管理接入方式：
在防火墙的配置中，我们首先要Leabharlann Baidu循的原则就是安全实用， 从这个角度考虑，在防火墙的配置过程中需坚持以下三个基 本原则： 1．简单实用： 2．全面深入：
3．内外兼顾：
8.2.2 防火墙的初始配置 像路由器一样，在使用之前，防火墙也需要经过基本的初 始配置。但因各种防火墙的初始配置基本类似，所以在此 仅以Cisco PIX防火墙为例进行介绍。 防火墙与路由器一样也有四种用户配置模式，即：非特权 模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式 （Interface Mode），进入这四种用户模式的命令也与路 由器一样：
机初始配置连接方法一样，如图8-1所示。
3.初始PIX输入 当PIX515通电后，会看到前置面板上的3个LED灯，如 图8-2所示，分别标有POWER，NETWORK 和ACT。 当防火墙部件是活动的failover时，ACT LED会亮。如 果没有配置Failover，ACT LED将总是亮着。当至少 一个接口通过流量时，NETWORK LED会亮。
firewall(config)#
firewall(config)# interface ethernet0 auto firewall(config)# interface ethernet1 auto firewall(config)# nameif ethernet0 outside security0 firewall(config)# nameif ethernet1 inside security100 firewall(config)# ip address outside 10.19.24.1 255.255.255.0 firewall(config)# ip address inside 192.168.122.1 255.255.255.0
8.1.3 安装
1. 接口配置
2. 电缆连接 3. 初始PIX输入
1.接口配置 在PIX上对安全策略进行 配置的第一步是确定要使 用的接口并收集他的基本 配置信息。每一个PIX都 至少有两个接口：内部接 口（较安全）和外部接口 （较不安全）。使用表82可以帮组你简化配置PIX 接口的过程，记录每个接 口的基本信息是有用的。
2.配置SSH接入
步骤1 给防火墙分配一个主机名和域名； 步骤2 生产并保存RSA密钥对；
步骤3 配置防火墙允许SSH接入。
pix(config)# ca generate rsa key 1024 pix(config)# ca save all pix(config)# crypto key generate rsa modulus 1024 pix(config)# ssh 10.21.120.15 255.255.255.255 inside
2．选择PIX型号
防火 墙型 号
PIX501
许可证选项
受限
10位用户许可证
无限制
50位用户许可证
故障倒换 （Failover）
N/A
加密
56位DES和/或168位3DES
PIX506
56位DES
168位3DES
N/A
56位DES和/或168位3DES
PIX515
515-R（5000条并发连接和2 个接口）与515-R-BUN （10000条并发连接和3个接 口）
8.3 配置Cisco PIX防火墙
这里我们选用第三种方式配置Cisco PIX 525防火墙。 1．同样是用一条串行电缆从电脑的COM口连到 Cisco PIX 525防火墙的console口； 2．开启所连电脑和防火墙的电源，进入Windows系 统自带的“超级终端”，通讯参数可按系统默然。进入防 火墙初始化配置，在其中主要设置有：Date(日期)、time( 时间)、hostname(主机名称)、inside ip address(内部网 卡IP地址)、domain(主域)等，完成后也就建立了一个初 始化设置了。此时的提示符为：pixfirewall>。 3．输入enable命令，进入Pix 525特权用户模式，默 然密码为空。
防火墙的具体配置步骤如下： 1．将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空 余串口上，如图8-1。 2．打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。 3．运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附 件”程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面 有关介绍。 4．当PIX防火墙进入系统后即显示“pixfirewall>”的提示符，这就证明防火墙已启动 成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 5．输入命令：enable，进入特权用户模式，此时系统提示为：pixfirewall#。 6．输入命令：configure terminal，进入全局配置模式，对系统进行初始化设置。 7. 配置保存：write memory 8. 退出当前模式：exit 9. 查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后， 即显示出当前所有可用的命令及简单功能描述。 10. 查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显 示出防火墙所有接口配置情况。 11. 查看静态地址映射：show static，这个命令也须在特权用户模式下执行，执行后 显示防火墙的当前静态地址映射情况。
第8章 防火墙安装与配置
《网络设备的安装与管理》
本章内容
● 防火墙安装 ● 防火墙配置
● 配置Cisco PIX防火墙
● 恢复PIX的口令
● 升级PIX版本
8.1 防火墙安装
8.1.1 PIX防火墙安装定制
在开始考虑安装PIX之前，必须决定哪种PIX模式能够满足你 的业务需要。PIX系列产品中有许多相同的特征和功能；每 个PIX模式中接口和连接数量是不同的。下面的问题将帮助 理解你的网络需求，并把你的注意力集中到防火墙必须包含 的服务和性能上。
在PIX的7.x版本中分配IP地址 firewall(config)# interface ethernet 2
firewall(config-if)#
firewall(config-if)# no shutdown firewall(config-if)# nameif dmz01 firewall(config-if)# security-level 50 firewall(config-if)# speed auto firewall(config-if)# duplex auto firewall(config-if)# ip address 10.21.67.17 255.255.255.240
当你第一次启动PIX防火墙的时候，你应该看到如图8-3所 示的以下输出：
8.2
防火墙配置
8.2.1 防火墙的基本配置原则 拒绝所有的流量，这需要在你的网络中特殊指定能够进入 和出去的流量的一些类型。 允许所有的流量，这种情况需要你特殊指定要拒绝的流量 的类型。大多数防火墙默认都是拒绝所有的流量作为安全 选项。一旦你安装防火墙后，你需要打开一些必要的端口 来使防火墙内的用户在通过验证之后可以访问系统。换句 话说，如果你想让你的员工们能够发送和接收Email，你 必须在防火墙上设置相应的规则或开启允许POP3和 SMTP的进程。
525-Failover束（提供备 用Failover防火墙）
56位DES和/或168位3DES
PIX535
535-Failover束（提供备 用Failover防火墙）
56位DES和/或168位3DES
型号选择主要基于两个方面：性能和容错性。 性能被分为两类：吞吐量和并发连接。
容错性是在PIX515平台中第一次被引入。
8.3.1 在防火墙接口上分配IP地址 要在网络中通信，防火墙需要在其接口上指定IP地址。这 项工作在PIX的6.x和7.x版本中的实施有区别，但是基本步 骤是一样的：启用接口、配置接口参数、为该接口指定IP 地址。
在PIX的6.x版本中分配IP地址 firewall# configure terminal
有多少用户（连接）将会通过防火墙？ 防火墙支持语音和多媒体应用吗？
本单位需要多少接口？
本单位需要VPN服务吗？若需要，安全级别是什么：56 位DES、168位3DES还是两者都要？
防火墙需要如VPN加速卡等附件设备吗？
本单位希望使用PIX设备管理器吗？ 本单位需要用容错性吗？
回答这些问题不仅能帮助你为单位选择适当的PIX模型， 还能帮助你购买正确的许可证。
1. Telnet;
2. SSH; 3. ASDM/PDM。
其中Telnet和SSH都是用来提供对防火墙的命令行界 面（CLI）方式接入，而ASDM/PDM提供的则是一种 基于HTTPS的图形化界面（GUI）管理控制台。
1.配置Telnet接入 pix (config)# telnet 10.21.120.15 255.255.255.255 inside
缺省情况下，enable命令假定用户尝试接入的特权级别是 15（最高特权级别）。在配置PIX的基本网络接入的时候， 有一些必须实施； 为防火墙接口分配IP地址；
配置防火墙名称、域名和密码；
设置防火墙路由； 配置防火墙的远程管理接入功能；
为出站流量设置地址转换；
配置ACL； 配置防火墙日志。
防火墙配 置 接口速度 IP地址和 掩码 接口名： HW 接口名： SW 安全级别 MTU大 小
外部 网
内部 网
接口1
接口2
接口3
接口
2.电缆连接 在启动PIX之前，把控制端口（Console）电缆连接到PC机
（通常是便于移动的笔记本电脑）的COM端口，再通过
Windows系统自带的超级终端（HyperTerminal）程序进 行选项配置。防火墙的初始配置物理连接与前面介绍的交换