PIX525高级命令及实例第10单元PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
示例例子如下:
Pix525(config)#fixup protocol 启用ftp协议,并指定ftp的端口号为21
Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。
2020/10/13
3
四个高级命令
示例语句如下:
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
ip地址为192.168.0.8的主机,对于通过pix防火墙 建立的每个会话,都被翻译成61.144.51.62这个全 局地址,也可以理解成static命令创建了内部ip地 址192.168.0.8和外部ip地址61.144.51.62之间的静态 映射,并且这个映射是双向的。
Pix525(config)#no fixup protocol smtp 80
禁用smtp协议。
2020/10/13
10
四个高级命令
设置telnet: 在pix5.0之前只能从内部网络上的主机通
过telnet访问pix。在pix 5.0及后续版本中, 可以在所有的接口上启用telnet到pix的访问。 当从外部接口要telnet到pix防火墙时,telnet 数据流需要用ipsec提供保护,也就是说用户 必须配置pix来建立一条到另外一台pix、路 由器或vpn客户端的ipsec隧道。我们可以使 用telnet语句管理登录PIX的权限。
小提示:使用static命令可以让我们为一个特定 的内部ip地址设置一个永久的全局ip地址。这样就 能够为具有较低安全级别的指定接口创建一个入 口,使它们可以进入到具有较高安全级别的指定 接口。
2020/10/13
4
四个高级命令
管道命令(conduit):使用static命令可以在一个 本地ip地址和一个全局ip地址之间创建了一个静态 映射,但从外部到内部接口的连接仍然会被pix防 火墙的自适应安全算法(ASA)阻挡,conduit命令用 来允许数据流从具有较低安全级别的接口流向具 有较高安全级别的接口,例如允许从外部到DMZ 或内部接口的入方向的会话。
其中permit|deny为允许|拒绝访问,global_ip指 的是先前由global或static命令定义的全局ip地址, 如果global_ip为0,就用any代替0;如果global_ip是 一台主机,就用host命令参数。port指的是服务所 作用的端口,例如www使用80,smtp使用25等等, 我们可以通过服务名称或端口数字来指定端口。 protocol指的是连接协议,比如:TCP、UDP、 ICMP等。foreign_ip表示可访问global_ip的外部ip。 对于任意主机可以用any表示。如果foreign_ip是一 台主机,就用host命令参数。
static命令配置语法:static (internal_if_name, external_if_name) outside_ip_address inside_ ip_address
其中internal_if_name表示内部网络接口,安全级别 较高。如inside.。external_if_name为外部网络接口, 安全级别较低,如outside等。outside_ip_address为 正在访问的较低安全级别的接口上的ip地址。 inside_ ip_address为内部网络的本地ip地址。
对于向内部接口的连接,static和conduit命令将 一起使用,来指定会话的建立。说得通俗一点管 道命令(conduit)就相当于以往CISCO设备的访 问控制列表(ACL)。
2020/10/13
5
四个高级命令
conduit命令配置语法:conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask]
Pix525(config)#conduit deny tcp any eq
61.144.51.89
设置不允许外部主机61.144.51.89对任何全局地
2020/址10/13进行ftp访问。
7
四个高级命令
Pix525(config)#conduit permit icmp any any 设置允许icmp消息向内部和外部通过。
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq
这两句是将static和conduit语句结合而生效的, 192.168.0.3在内网是一台web服务器,现在希望外 网的用户能够通过pix防火墙得到web服务。所以 先做static静态映射把内部IP192.168.0.3转换为全局 IP61.144.51.62,然后利用conduit命令允许任何外 部主机对全局地址61.144.51.62进行http访问。
2020/10/13
8
四个高级命令
小提示:对于上面的情况不使用conduit 语句设置容许访问规则是不可以的,因为 默认情况下PIX不容许数据包主动从低安全 级别的端口流向高安全级别的端口。
2020/10/13
Hale Waihona Puke Baidu
9
四个高级命令
配置fixup协议: fixup命令作用是启用、禁止、改变一个服务或
协议通过pix防火墙,由fixup命令指定的端口是pix 防火墙要侦听的服务。
PIX525高级命令及实例
第10
2020/10/13
1
本次任务
1、四个高级命令 2、实例分析 3、作业及实例报告
2020/10/13
2
四个高级命令
配置静态IP地址翻译(static):如果从外网发起 一个会话,会话的目的地址是一个内网的ip地址, static就把内部地址翻译成一个指定的全局地址, 允许这个会话建立。
2020/10/13
6
四个高级命令
示例语句如下:
Pix525(config)#conduit permit tcp host 192.168.0.8 eq
表示允许任何外部主机对全局地址192.168.0.8 的这台主机进行http访问。其中使用eq和一个端口 来允许或拒绝对这个端口的访问。Eq ftp就是指允 许或拒绝只对ftp的访问。