造价通
反馈
取消

热门搜词

造价通
取消 发送 反馈意见

建设工程知识

cisco防火墙配置基本配置

2018/06/19159 作者:佚名
导读: 建立用户 建立用户和修改密码跟。Cisco IOS路由器基本一样 激活 激活以太端口必须用enable进入,然后进入configure模式PIX525>enablePassword:PIX525#config tPIX525(config)#interface ethernet0 autoPIX525(config)#interface ethernet1 a

建立用户

建立用户和修改密码跟。Cisco IOS路由器基本一样

激活

激活以太端口必须用enable进入,然后进入configure模式

PIX525>enable

Password:

PIX525#config t

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 auto

在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside,

inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。

命名端口

采用命令nameif

PIX525(config)#nameif ethernet0 outside security0

security100

security0是外部端口outside的安全级别(100安全级别最高)

security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。

配置地址

采用命令为:ip address

如:内部网络为:192.168.1.0 255.255.255.0

外部网络为:222.20.16.0 255.255.255.0

PIX525(config)#ip address inside 192.168.1.1 255.255.255.0

PIX525(config)#ip address outside 222.20.16.1 255.255.255.0

配置远程

在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。

PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside

PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside

测试telnet

在[开始]->[运行]

telnet 192.168.1.1

PIX passwd:

输入密码:cisco

访问列表

此功能与Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80

PIX525(config)#access-list 100permit ip any host 222.20.16.254 eq www

deny ip any any

PIX525(config)#access-group 100 in interface outside

地址转换

NAT跟路由器基本是一样的,

首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#nat (inside) 1 192.168.0.0 255.255.255.0

如果是内部全部地址都可以转换出去则:

PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0

则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#global (outside) 1 222.20.16.201 netmask

255.255.255.0

PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0

DHCP

在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面简单配置DHCP Server,地址段为192.168.1.100-192.168.1.200

DNS: 主202.96.128.68 备202.96.144.47

主域名称:

DHCP Client 通过PIX Firewall

PIX525(config)#ip address dhcp

DHCP Server配置

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200

inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

PIX525(config)#dhcp domain

静态端口

静态端口重定向(Port Redirection with Statics)

在PIX 版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX

传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。

命令格式:

static

[(internal_if_name,external_if_name)]{global_ip|interface}

local_ip

[netmask

mask][max_cons[max_cons[emb_limit[norandomseq]]]

static

[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}

local_ip

[netmask

mask][max_cons[max_cons[emb_limit[norandomseq]]]

!----外部用户直接访问地址222.20.16.99

telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。

PIX525(config)#static (inside,outside) tcp 222.20.16.99

telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.99

FTP,通过PIX重定向到内部192.168.1.3的FTP Server。

PIX525(config)#static (inside,outside) tcp 222.20.16.99

ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.208

www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。

www 192.168.1.2 www netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.201

HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。

8080 192.168.1.4 www netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.5

smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)

smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0

显示保存

显示命令show config

保存命令write memory

*文章为作者独立观点,不代表造价通立场,除来源是“造价通”外。
关注微信公众号造价通(zjtcn_Largedata),获取建设行业第一手资讯

热门推荐

相关阅读