[求助]cisco pix515E防火墻配置

hdy2000

--------------------------------------------------------------------------------\r\n\r\n對于同網(wǎng)段不限制端口，對于制定網(wǎng)段只開放以下端口：\r\n\r\n1．GW：開放5631，5632（pcanywhere標(biāo)準(zhǔn)）\r\n3389（終端服務(wù)）\r\n8890（SMGP）\r\n2．WEB: 開放5631，5632（pcanywhere標(biāo)準(zhǔn)）\r\n3389（終端服務(wù)）\r\n8080（CPWEB）\r\n1(綜合業(yè)務(wù)平臺)\r\n3．FTP： 開放 21（可更改），建議使用SERV-U,比較方便。\r\n\r\n\r\n\r\n哪位大大幫忙啊。。不會啊，明天就要給電信調(diào)試啊。。�？郳r\n請問可否實(shí)現(xiàn)，如何設(shè)置？\r\n\r\n請?zhí)峁┟�令行樣本�?/td>

911eva

我第一次親手那到的防火墻是Cisco Firewall Pix 525，是一種機(jī)架式標(biāo)準(zhǔn)（即能安裝在標(biāo)準(zhǔn)的機(jī)柜里），有2U的高度，正面看跟Cisco 路由器一樣，只有一些指示燈，從背板看，有兩個(gè)以太口（RJ-45網(wǎng)卡）,一個(gè)配置口（console）,2個(gè)USB,一個(gè)15針的Failover口，還有三個(gè)PCI擴(kuò)展口。 \r\n\r\n如何開始Cisco Firewall Pix呢？我想應(yīng)該是跟Cisco 路由器使用差不多吧，于是用配置線從電腦的COM2連到PIX 525的console口，進(jìn)入PIX操作系統(tǒng)采用windows系統(tǒng)里的“超級終端”，通訊參數(shù)設(shè)置為默然。初始使用有一個(gè)初始化過程，主要設(shè)置：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，如果以上設(shè)置正確，就能保存以上設(shè)置，也就建立了一個(gè)初始化設(shè)置了。 \r\n\r\n進(jìn)入Pix 525采用超級用戶(enable),默然密碼為空，修改密碼用passwd 命令。一般情況下Firewall配置，我們需要做些什么呢？當(dāng)時(shí)第一次接觸我也不知道該做些什么，隨設(shè)備一起來的有《硬件的安裝》和《命令使用手冊》。我首先看了命令的使用，用于幾個(gè)小時(shí)把幾百面的英文書看完了，對命令的使用的知道了一點(diǎn)了，但是對如何配置PIX還是不大清楚該從何入手，我想現(xiàn)在只能去找cisco了,于是在www.cisco.com下載了一些資料，邊看邊實(shí)踐了PIX。 \r\n\r\n防火墻是處網(wǎng)絡(luò)系統(tǒng)里，因此它跟網(wǎng)絡(luò)的結(jié)構(gòu)密切相關(guān)，一般會涉及的有Route(路由器)、網(wǎng)絡(luò)IP地址。還有必須清楚標(biāo)準(zhǔn)的TCP[RFC793]和UDP[RFC768]端口的定義。 \r\n\r\n下面我講一下一般用到的最基本配置 \r\n\r\n1、 建立用戶和修改密碼 \r\n\r\n跟Cisco IOS路由器基本一樣。 \r\n\r\n2、 激活以太端口 \r\n\r\n必須用enable進(jìn)入，然后進(jìn)入configure模式 \r\n\r\nPIX525>enable \r\n\r\nPassword: \r\n\r\nPIX525#config t \r\n\r\nPIX525(config)#interface ethernet0 auto \r\n\r\nPIX525(config)#interface ethernet1 auto \r\n\r\n在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。 \r\n\r\n3、 命名端口與安全級別 \r\n\r\n采用命令nameif \r\n\r\nPIX525(config)#nameif ethernet0 outside security0 \r\n\r\nPIX525(config)#nameif ethernet0 outside security100 \r\n\r\nsecurity0是外部端口outside的安全級別（0安全級別最高） \r\n\r\nsecurity100是內(nèi)部端口inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個(gè)網(wǎng)卡組成多個(gè)網(wǎng)絡(luò)，一般情況下增加一個(gè)以太口作為DMZ(Demilitarized Zones非武裝區(qū)域)。 \r\n\r\n4、 配置以太端口IP 地址 \r\n\r\n采用命令為：ip address \r\n\r\n如：內(nèi)部網(wǎng)絡(luò)為：192.168.1.0 255.255.255.0 \r\n\r\n外部網(wǎng)絡(luò)為：222.20.16.0 255.255.255.0 \r\n\r\nPIX525(config)#ip address inside 192.168.1.1 255.255.255.0 \r\n\r\nPIX525(config)#ip address outside 222.20.16.1 255.255.255.0 \r\n\r\n5、 配置遠(yuǎn)程訪問[telnet] \r\n\r\n在默然情況下，PIX的以太端口是不允許telnet的，這一點(diǎn)與路由器有區(qū)別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關(guān)。 \r\n\r\nPIX525(config)#telnet 192.168.1.1 255.255.255.0 inside \r\n\r\nPIX525(config)#telnet 222.20.16.1 255.255.255.0 outside \r\n\r\n測試telnet \r\n\r\n在[開始]->[運(yùn)行] \r\n\r\ntelnet 192.168.1.1 \r\n\r\nPIX passwd: \r\n\r\n輸入密碼：cisco \r\n\r\n6、 訪問列表(access-list) \r\n\r\n此功能與Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個(gè)功能，網(wǎng)絡(luò)協(xié)議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問主機(jī):222.20.16.254的www,端口為：80 \r\n\r\nPIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www \r\n\r\nPIX525(config)#access-list 100 deny ip any any \r\n\r\nPIX525(config)#access-group 100 in interface outside \r\n\r\n7、 地址轉(zhuǎn)換（NAT）和端口轉(zhuǎn)換(PAT) \r\n\r\nNAT跟路由器基本是一樣的， \r\n\r\n首先必須定義IP Pool，提供給內(nèi)部IP地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。 \r\n\r\nPIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 \r\n\r\nPIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0 \r\n\r\n如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則： \r\n\r\nPIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0 \r\n\r\n則某些情況下，外部地址是很有限的，有些主機(jī)必須單獨(dú)占用一個(gè)IP地址，必須解決的是公用一個(gè)外部IP(222.20.16.201),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時(shí)共享一個(gè)IP,有點(diǎn)像代理服務(wù)器一樣的功能。配置如下： \r\n\r\nPIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 \r\n\r\nPIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0 \r\n\r\nPIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0 \r\n\r\n8、 DHCP Server \r\n\r\n在內(nèi)部網(wǎng)絡(luò)，為了維護(hù)的集中管理和充分利用有限IP地址，都會啟用動(dòng)態(tài)主機(jī)分配IP地址服務(wù)器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.168.1.200 \r\n\r\nDNS: 主202.96.128.68 備202.96.144.47 \r\n\r\n主域名稱：abc.com.cn \r\n\r\nDHCP Client 通過PIX Firewall \r\n\r\nPIX525(config)#ip address dhcp \r\n\r\nDHCP Server配置 \r\n\r\nPIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside \r\n\r\nPIX525(config)#dhcp dns 202.96.128.68 202.96.144.47 \r\n\r\nPIX525(config)#dhcp domain abc.com.cn \r\n\r\n9、 靜態(tài)端口重定向(Port Redirection with Statics) \r\n\r\n在PIX 版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個(gè)特殊的IP地址/端口通過Firewall PIX 傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器了，這種方式并不是直接連接，而是通過端口重定向，使得內(nèi)部服務(wù)器很安全。 \r\n\r\n命令格式： \r\n\r\nstatic [(internal_if_name,external_if_name)]{global_ip|interface} local_ip \r\n\r\n[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] \r\n\r\nstatic [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip \r\n\r\n[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] \r\n\r\n!----外部用戶直接訪問地址222.20.16.99 telnet端口，通過PIX重定向到內(nèi)部主機(jī)192.168.1.99的telnet端口（23）。 \r\n\r\nPIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0 \r\n\r\n!----外部用戶直接訪問地址222.20.16.99 FTP，通過PIX重定向到內(nèi)部192.168.1.3的FTP Server。 \r\n\r\nPIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0 \r\n\r\n!----外部用戶直接訪問地址222.20.16.208 www(即80端口)，通過PIX重定向到內(nèi)部192.168.123的主機(jī)的www(即80端口)。 \r\n\r\nPIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0 \r\n\r\n!----外部用戶直接訪問地址222.20.16.201 HTTP(8080端口)，通過PIX重定向到內(nèi)部192.168.1.4的主機(jī)的www(即80端口)。 \r\n\r\nPIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0 \r\n\r\n!----外部用戶直接訪問地址222.20.16.5 smtp(25端口)，通過PIX重定向到內(nèi)部192.168.1.5的郵件主機(jī)的smtp(即25端口) \r\n\r\nPIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0 \r\n\r\n10、顯示與保存結(jié)果 \r\n\r\n采用命令show config \r\n\r\n\r\n\r\n保存采用write memory

fengliu4608

不錯(cuò)，有沒有515E的詳細(xì)攻略？

jhongzh

Cisco firewall Pix515e 配置\r\n進(jìn)入pix 515e采用超級用戶(enable),默然密碼為空，修改密碼用passwd 命令。一般情況下firewall配置 \r\n下面講一下一般用到的最基本配置 \r\n1、 建立用戶和修改密碼 \r\n跟cisco ios路由器基本一樣。 \r\n2、 激活以太端口 \r\n必須用enable進(jìn)入，然后進(jìn)入configure模式 \r\npix515e>enable \r\npassword: \r\npix515e#config t \r\npix515e(config)#interface ethernet0 auto \r\npix515e(config)#interface ethernet1 auto \r\n在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。 \r\n3、 命名端口與安全級別 \r\n采用命令nameif \r\npix515e(config)#nameif ethernet0 outside security0 \r\npix515e(config)#nameif ethernet0 outside security100 \r\nsecurity0是外部端口outside的安全級別（0安全級別最高） \r\nsecurity100是內(nèi)部端口inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個(gè)網(wǎng)卡組成多個(gè)網(wǎng)絡(luò)，一般情況下增加一個(gè)以太口作為dmz(demilitarized zones非武裝區(qū)域)。 \r\n4、 配置以太端口ip 地址 \r\n采用命令為：ip address \r\n如：內(nèi)部網(wǎng)絡(luò)為：192.168.1.0 255.255.255.0 \r\n外部網(wǎng)絡(luò)為：222.20.16.0 255.255.255.0 \r\npix515e(config)#ip address inside 192.168.1.1 255.255.255.0 \r\npix515e(config)#ip address outside 222.20.16.1 255.255.255.0 \r\n5、 配置遠(yuǎn)程訪問[telnet] \r\n在默然情況下，pix的以太端口是不允許telnet的，這一點(diǎn)與路由器有區(qū)別。inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關(guān)。 \r\npix515e(config)#telnet 192.168.1.1 255.255.255.0 inside \r\npix515e(config)#telnet 222.20.16.1 255.255.255.0 outside \r\n測試telnet \r\n在[開始]->[運(yùn)行] \r\ntelnet 192.168.1.1 \r\npix passwd: \r\n輸入密碼：cisco \r\n6、 訪問列表(access-list) \r\n此功能與cisco ios基本上是相似的，也是firewall的主要部分，有permit和deny兩個(gè)功能，網(wǎng)絡(luò)協(xié)議一般有ip|tcp|udp|icmp等等，如：只允許訪問主機(jī):222.20.16.254的www,端口為：80 \r\npix515e(config)#access-list 100 permit ip any host 222.20.16.254 eq www \r\npix515e(config)#access-list 100 deny ip any any \r\npix515e(config)#access-group 100 in interface outside \r\n7、 地址轉(zhuǎn)換（nat）和端口轉(zhuǎn)換(pat) \r\nnat跟路由器基本是一樣的， \r\n首先必須定義ip pool，提供給內(nèi)部ip地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。 \r\npix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 \r\npix515e(config)#nat (outside) 1 192.168.0.0 255.255.255.0 \r\n如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則： \r\npix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0 \r\n則某些情況下，外部地址是很有限的，有些主機(jī)必須單獨(dú)占用一個(gè)ip地址，必須解決的是公用一個(gè)外部ip(222.20.16.201),則必須多配置一條命令，這種稱為（pat），這樣就能解決更多用戶同時(shí)共享一個(gè)ip,有點(diǎn)像代理服務(wù)器一樣的功能。配置如下： \r\npix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 \r\npix515e(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0 \r\npix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0 \r\n8、 dhcp server \r\n在 內(nèi)部網(wǎng)絡(luò)，為了維護(hù)的集中管理和充分利用有限ip地址，都會啟用動(dòng)態(tài)主機(jī)分配ip地址服務(wù)器（dhcp server），cisco firewall pix都具有這種功能，下面簡單配置dhcp server,地址段為192.168.1.100—192.168.168.1.200 \r\ndns: 主202.96.128.68 備202.96.144.47 \r\n主域名稱：abc.com.cn \r\ndhcp client 通過pix firewall \r\npix515e(config)#ip address dhcp \r\ndhcp server配置 \r\npix515e(config)#dhcpd address 192.168.1.100-192.168.1.200 inside \r\npix515e(config)#dhcp dns 202.96.128.68 202.96.144.47 \r\npix515e(config)#dhcp domain abc.com.cn \r\n9、 靜態(tài)端口重定向(port redirection with statics) \r\n在pix 版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個(gè)特殊的ip地址/端口通過firewall pix 傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。這種功能也就是可以發(fā)布內(nèi)部www、ftp、mail等服務(wù)器了，這種方式并不是直接連接，而是通過端口重定向，使得內(nèi)部服 務(wù)器很安全。 \r\n命令格式： \r\nstatic [(internal_if_name,external_if_name)]{global_ip|interface} local_ip \r\n[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] \r\nstatic [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip \r\n[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] \r\n!----外部用戶直接訪問地址222.20.16.99 telnet端口，通過pix重定向到內(nèi)部主機(jī)192.168.1.99的telnet端口（23）。 \r\npix515e(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0 \r\n!----外部用戶直接訪問地址222.20.16.99 ftp，通過pix重定向到內(nèi)部192.168.1.3的ftp server。 \r\npix515e(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0 \r\n!----外部用戶直接訪問地址222.20.16.208 www(即80端口)，通過pix重定向到內(nèi)部192.168.123的主機(jī)的www(即80端口)。 \r\npix515e(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0 \r\n!----外部用戶直接訪問地址222.20.16.201 http(8080端口)，通過pix重定向到內(nèi)部192.168.1.4的主機(jī)的www(即80端口)。 \r\npix515e(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0 \r\n!----外部用戶直接訪問地址222.20.16.5 smtp(25端口)，通過pix重定向到內(nèi)部192.168.1.5的郵件主機(jī)的smtp(即25端口) \r\npix515e(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0 \r\n10、顯示與保存結(jié)果 \r\n采用命令show config \r\n保存采用write memory