Cisco PIX防火墙配置命令大全
生活随笔
收集整理的這篇文章主要介紹了
Cisco PIX防火墙配置命令大全
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
Cisco PIX防火墻配置命令大全
來源: 作者:XUEYAN 出處:巧巧讀書 2007-04-26 進入討論組
關 鍵 詞:子網掩碼?? 協議?? 路由器?? 服務器?? 訪問控制???
一、PIX防火墻的認識 PIX是Cisco的硬件防火墻,硬件防火墻有工作速度快,使用方便等特點。 PIX有很多型號,并發連接數是PIX防火墻的重要參數。PIX25是典型的設備。 PIX防火墻常見接口有:console、Failover、Ethernet、USB。?
??? 網絡區域: 內部網絡:inside 外部網絡:outside 中間區域:稱DMZ(停火區)。放置對外開放的服務器。 二、防火墻的配置規則 沒有連接的狀態(沒有握手或握手不成功或非法的數據包),任何數據包無法穿過防火墻。 (內部發起的連接可以回包。通過ACL開放的服務器允許外部發起連接) inside可以訪問任何outside和dmz區域。 dmz可以訪問outside區域。 inside訪問dmz需要配合static(靜態地址轉換)。 outside訪問dmz需要配合acl(訪問控制列表)。 三、PIX防火墻的配置模式 PIX防火墻的配置模式與路由器類似,有4種管理模式: PIXfirewall>:用戶模式 PIXfirewall#:特權模式 PIXfirewall(config)#:配置模式 monitor>:ROM監視模式,開機按住[Esc]鍵或發送一個“Break”字符,進入監視模式。 四、PIX基本配置命令 常用命令有:nameif、interface、ipaddress、nat、global、route、static等。 1、nameif 設置接口名稱,并指定安全級別,安全級別取值范圍為1~100,數字越大安全級別越高。 例如要求設置: ethernet0命名為外部接口outside,安全級別是0。 ethernet1命名為內部接口inside,安全級別是100。 ethernet2命名為中間接口dmz,安裝級別為50。 使用命令: PIX525(config)#nameif ethernet0 outsidesecurity 0 PIX525(config)#nameif ethernet1 insidesecurity?100 PIX525(config)#nameif ethernet2 dmzsecurity?50 2、interface 配置以太口工作狀態,常見狀態有:auto、100full、shutdown。 auto:設置網卡工作在自適應狀態。 100full:設置網卡工作在100Mbit/s,全雙工狀態。 shutdown:設置網卡接口關閉,否則為激活。 命令: PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 100full PIX525(config)#interface ethernet1 100fullshutdown 3、ipaddress 配置網絡接口的IP地址,例如: PIX525(config)#ipaddress outside 133.0.0.1 255.255.255.252 PIX525(config)#ipaddress inside 192.168.0.1 255.255.255.0 內網inside接口使用私有地址192.168.0.1,外網outside接口使用公網地址133.0.0.1。 4、global 指定公網地址范圍:定義地址池。 Global命令的配置語法: global(if_name) nat_id ip_address-ip_address [netmarkglobal_mask] 其中: (if_name):表示外網接口名稱,一般為outside。 nat_id:建立的地址池標識(nat要引用)。 ip_address-ip_address:表示一段ip地址范圍。 [netmarkglobal_mask]:表示全局ip地址的網絡掩碼。 例如: PIX525(config)#global(outside) 1 133.0.0.1-133.0.0.15 地址池1對應的IP是:133.0.0.1-133.0.0.15 PIX525(config)#global(outside) 1 133.0.0.1 地址池1只有一個IP地址133.0.0.1。 PIX525(config)#noglobal(outside) 1 133.0.0.1 表示刪除這個全局表項。 5、nat 地址轉換命令,將內網的私有ip轉換為外網公網ip。 nat命令配置語法:nat(if_name) nat_id local_ip [netmark] 其中: (if_name):表示接口名稱,一般為inside. nat_id:表示地址池,由global命令定義。 local_ip:表示內網的ip地址。對于0.0.0.0表示內網所有主機。 [netmark]:表示內網ip地址的子網掩碼。 在實際配置中nat命令總是與global命令配合使用。 一個指定外部網絡,一個指定內部網絡,通過net_id聯系在一起。 例如: PIX525(config)#nat(inside) 1 0 0 表示內網的所有主機( 0 0 )都可以訪問由global指定的外網。 PIX525(config)#nat(inside) 1 172.16.5.0 255.255.0.0 表示只有172.16.5.0/16網段的主機可以訪問global指定的外網。 6、route route命令定義靜態路由。 語法: route(if_name) 0 0 gateway_ip [metric] 其中: (if_name):表示接口名稱。 0 0:表示所有主機 Gateway_ip:表示網關路由器的ip地址或下一跳。 [metric]:路由花費。缺省值是1。 例如: PIX525(config)#routeoutside 0 0 133.0.0.1 1 設置缺省路由從outside口送出,下一跳是133.0.0.1。 00代表0.0.0.0 0.0.0.0,表示任意網絡。 PIX525(config)#routeinside 10.1.0.0 255.255.0.0 10.8.0.11 設置到10.1.0.0網絡下一跳是10.8.0.1。最后的“1”是花費。 7、static 配置靜態IP地址翻譯,使內部地址與外部地址一一對應。 語法: static(internal_if_name,external_if_name) outside_ip_addr inside_ip_address 其中: internal_if_name表示內部網絡接口,安全級別較高,如inside。 external_if_name表示外部網絡接口,安全級別較低,如outside。 outside_ip_address表示外部網絡的公有ip地址。 inside_ip_address表示內部網絡的本地ip地址。 (括號內序順是先內后外,外邊的順序是先外后內) 例如: PIX525(config)#static(inside,outside) 133.0.0.1 192.168.0.8 表示內部ip地址192.168.0.8,訪問外部時被翻譯成133.0.0.1全局地址。 PIX525(config)#static(dmz,outside) 133.0.0.1 172.16.0.2 中間區域ip地址172.16.0.2,訪問外部時被翻譯成133.0.0.1全局地址。 8、conduit 管道conduit命令用來設置允許數據從低安全級別的接口流向具有較高安全級別的接口。 例如允許從outside到DMZ或inside方向的會話(作用同訪問控制列表)。 語法: conduit permit|deny protocol global_ipport[-port] foreign_ip[netmask] 其中: global_ip是一臺主機時前面加host參數,所有主機時用any表示。 foreign_ip表示外部ip。 [netmask]表示可以是一臺主機或一個網絡。 例如: PIX525(config)#static(inside,outside) 133.0.0.1 192.168.0.3 PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any 這個例子說明static和conduit的關系。192.168.0.3是內網一臺web服務器, 現在希望外網的用戶能夠通過PIX防火墻訪問web服務。 所以先做static靜態映射:192.168.0.3->133.0.0.1 然后利用conduit命令允許任何外部主機對全局地址133.0.0.1進行http訪問。 9、訪問控制列表ACL 訪問控制列表的命令與couduit命令類似, 例: PIX525(config)#access-list 100 permit ip anyhost 133.0.0.1 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 ininterface outside 10、偵聽命令fixup 作用是啟用或禁止一個服務或協議, 通過指定端口設置PIX防火墻要偵聽listen服務的端口。 例: PIX525(config)#fixup protocol ftp 21 啟用ftp協議,并指定ftp的端口號為21 PIX525(config)#fixup protocol http 8080 PIX525(config)#nofixup protocol http 80 啟用http協議8080端口,禁止80端口。 11、telnet 當從外部接口要telnet到PIX防火墻時,telnet數據流需要用***隧道ipsec提供保護或 在PIX上配置SSH,然后用SSHclient從外部到PIX防火墻。 例: telnetlocal_ip[netmask] local_ip表示被授權可以通過telnet訪問到PIX的ip地址。 如果不設此項,PIX的配置方式只能用console口接超級終端進行。 12、顯示命令: showinterface ;查看端口狀態。 showstatic;查看靜態地址映射。 showip;查看接口ip地址。 showconfig;查看配置信息。 showrun;顯示當前配置信息。 writeterminal;將當前配置信息寫到終端。 showcpuusage;顯示CPU利用率,排查故障時常用。 showtraffic;查看流量。 showblocks;顯示攔截的數據包。 showmem;顯示內存 13、DHCP服務 PIX具有DHCP服務功能。 例: PIX525(config)#ipaddress dhcp PIX525(config)#dhcpdaddress 192.168.1.100-192.168.1.200 inside PIX525(config)#dhcpdns 202.96.128.68 202.96.144.47 PIX525(config)#dhcpdomain abc.com.cn 五、PIX防火墻舉例 設: ethernet0命名為外部接口outside,安全級別是0。 ethernet1被命名為內部接口inside,安全級別100。 ethernet2被命名為中間接口dmz,安全級別50。 PIX525#conft PIX525(config)#nameif ethernet0 outside security 0 PIX525(config)#nameif ethernet1 inside security 100 PIX525(config)#nameif ethernet2 dmz security 50 PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 100full PIX525(config)#interface ethernet2 100full PIX525(config)#ipaddress outside 133.0.0.1 255.255.255.252;設置接口IP PIX525(config)#ipaddress inside 10.66.1.200 255.255.0.0;設置接口IP PIX525(config)#ipaddress dmz 10.65.1.200 255.255.0.0;設置接口IP PIX525(config)#global(outside) 1 133.1.0.1-133.1.0.14;定義的地址池 PIX525(config)#nat(inside) 1 0 0 ;00表示所有 PIX525(config)#route outside 0 0 133.0.0.2;設置默認路由 PIX525(config)#static(dmz,outside) 133.1.0.1 10.65.1.101;靜態NAT PIX525(config)#static(dmz,outside) 133.1.0.2 10.65.1.102;靜態NAT PIX525(config)#static(inside,dmz) 10.66.1.200 10.66.1.200;靜態NAT PIX525(config)#access-list 101 permit ip anyhost 133.1.0.1 eq www;設置ACL PIX525(config)#access-list 101 permit ip anyhost 133.1.0.2 eq ftp;設置ACL PIX525(config)#access-list 101 deny ip any any;設置ACL PIX525(config)#access-group 101 ininterface ?outside;將ACL應用在outside端口 當內部主機訪問外部主機時,通過nat轉換成公網IP,訪問internet。 當內部主機訪問中間區域dmz時,將自己映射成自己訪問服務器,否則內部主機將會 映射成地址池的IP,到外部去找。 當外部主機訪問中間區域dmz時,對133.0.0.1映射成10.65.1.101,static是雙向的。 PIX的所有端口默認是關閉的,進入PIX要經過acl入口過濾。 靜態路由指示內部的主機和dmz的數據包從outside口出去。?? 更多內容請看Cisco IOS技術手冊?? Cisco防火墻安裝配置?? CISCO防火墻產品專題,或進入討論組討論。
來源: 作者:XUEYAN 出處:巧巧讀書 2007-04-26 進入討論組
關 鍵 詞:子網掩碼?? 協議?? 路由器?? 服務器?? 訪問控制???
一、PIX防火墻的認識 PIX是Cisco的硬件防火墻,硬件防火墻有工作速度快,使用方便等特點。 PIX有很多型號,并發連接數是PIX防火墻的重要參數。PIX25是典型的設備。 PIX防火墻常見接口有:console、Failover、Ethernet、USB。?
??? 網絡區域: 內部網絡:inside 外部網絡:outside 中間區域:稱DMZ(停火區)。放置對外開放的服務器。 二、防火墻的配置規則 沒有連接的狀態(沒有握手或握手不成功或非法的數據包),任何數據包無法穿過防火墻。 (內部發起的連接可以回包。通過ACL開放的服務器允許外部發起連接) inside可以訪問任何outside和dmz區域。 dmz可以訪問outside區域。 inside訪問dmz需要配合static(靜態地址轉換)。 outside訪問dmz需要配合acl(訪問控制列表)。 三、PIX防火墻的配置模式 PIX防火墻的配置模式與路由器類似,有4種管理模式: PIXfirewall>:用戶模式 PIXfirewall#:特權模式 PIXfirewall(config)#:配置模式 monitor>:ROM監視模式,開機按住[Esc]鍵或發送一個“Break”字符,進入監視模式。 四、PIX基本配置命令 常用命令有:nameif、interface、ipaddress、nat、global、route、static等。 1、nameif 設置接口名稱,并指定安全級別,安全級別取值范圍為1~100,數字越大安全級別越高。 例如要求設置: ethernet0命名為外部接口outside,安全級別是0。 ethernet1命名為內部接口inside,安全級別是100。 ethernet2命名為中間接口dmz,安裝級別為50。 使用命令: PIX525(config)#nameif ethernet0 outsidesecurity 0 PIX525(config)#nameif ethernet1 insidesecurity?100 PIX525(config)#nameif ethernet2 dmzsecurity?50 2、interface 配置以太口工作狀態,常見狀態有:auto、100full、shutdown。 auto:設置網卡工作在自適應狀態。 100full:設置網卡工作在100Mbit/s,全雙工狀態。 shutdown:設置網卡接口關閉,否則為激活。 命令: PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 100full PIX525(config)#interface ethernet1 100fullshutdown 3、ipaddress 配置網絡接口的IP地址,例如: PIX525(config)#ipaddress outside 133.0.0.1 255.255.255.252 PIX525(config)#ipaddress inside 192.168.0.1 255.255.255.0 內網inside接口使用私有地址192.168.0.1,外網outside接口使用公網地址133.0.0.1。 4、global 指定公網地址范圍:定義地址池。 Global命令的配置語法: global(if_name) nat_id ip_address-ip_address [netmarkglobal_mask] 其中: (if_name):表示外網接口名稱,一般為outside。 nat_id:建立的地址池標識(nat要引用)。 ip_address-ip_address:表示一段ip地址范圍。 [netmarkglobal_mask]:表示全局ip地址的網絡掩碼。 例如: PIX525(config)#global(outside) 1 133.0.0.1-133.0.0.15 地址池1對應的IP是:133.0.0.1-133.0.0.15 PIX525(config)#global(outside) 1 133.0.0.1 地址池1只有一個IP地址133.0.0.1。 PIX525(config)#noglobal(outside) 1 133.0.0.1 表示刪除這個全局表項。 5、nat 地址轉換命令,將內網的私有ip轉換為外網公網ip。 nat命令配置語法:nat(if_name) nat_id local_ip [netmark] 其中: (if_name):表示接口名稱,一般為inside. nat_id:表示地址池,由global命令定義。 local_ip:表示內網的ip地址。對于0.0.0.0表示內網所有主機。 [netmark]:表示內網ip地址的子網掩碼。 在實際配置中nat命令總是與global命令配合使用。 一個指定外部網絡,一個指定內部網絡,通過net_id聯系在一起。 例如: PIX525(config)#nat(inside) 1 0 0 表示內網的所有主機( 0 0 )都可以訪問由global指定的外網。 PIX525(config)#nat(inside) 1 172.16.5.0 255.255.0.0 表示只有172.16.5.0/16網段的主機可以訪問global指定的外網。 6、route route命令定義靜態路由。 語法: route(if_name) 0 0 gateway_ip [metric] 其中: (if_name):表示接口名稱。 0 0:表示所有主機 Gateway_ip:表示網關路由器的ip地址或下一跳。 [metric]:路由花費。缺省值是1。 例如: PIX525(config)#routeoutside 0 0 133.0.0.1 1 設置缺省路由從outside口送出,下一跳是133.0.0.1。 00代表0.0.0.0 0.0.0.0,表示任意網絡。 PIX525(config)#routeinside 10.1.0.0 255.255.0.0 10.8.0.11 設置到10.1.0.0網絡下一跳是10.8.0.1。最后的“1”是花費。 7、static 配置靜態IP地址翻譯,使內部地址與外部地址一一對應。 語法: static(internal_if_name,external_if_name) outside_ip_addr inside_ip_address 其中: internal_if_name表示內部網絡接口,安全級別較高,如inside。 external_if_name表示外部網絡接口,安全級別較低,如outside。 outside_ip_address表示外部網絡的公有ip地址。 inside_ip_address表示內部網絡的本地ip地址。 (括號內序順是先內后外,外邊的順序是先外后內) 例如: PIX525(config)#static(inside,outside) 133.0.0.1 192.168.0.8 表示內部ip地址192.168.0.8,訪問外部時被翻譯成133.0.0.1全局地址。 PIX525(config)#static(dmz,outside) 133.0.0.1 172.16.0.2 中間區域ip地址172.16.0.2,訪問外部時被翻譯成133.0.0.1全局地址。 8、conduit 管道conduit命令用來設置允許數據從低安全級別的接口流向具有較高安全級別的接口。 例如允許從outside到DMZ或inside方向的會話(作用同訪問控制列表)。 語法: conduit permit|deny protocol global_ipport[-port] foreign_ip[netmask] 其中: global_ip是一臺主機時前面加host參數,所有主機時用any表示。 foreign_ip表示外部ip。 [netmask]表示可以是一臺主機或一個網絡。 例如: PIX525(config)#static(inside,outside) 133.0.0.1 192.168.0.3 PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any 這個例子說明static和conduit的關系。192.168.0.3是內網一臺web服務器, 現在希望外網的用戶能夠通過PIX防火墻訪問web服務。 所以先做static靜態映射:192.168.0.3->133.0.0.1 然后利用conduit命令允許任何外部主機對全局地址133.0.0.1進行http訪問。 9、訪問控制列表ACL 訪問控制列表的命令與couduit命令類似, 例: PIX525(config)#access-list 100 permit ip anyhost 133.0.0.1 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 ininterface outside 10、偵聽命令fixup 作用是啟用或禁止一個服務或協議, 通過指定端口設置PIX防火墻要偵聽listen服務的端口。 例: PIX525(config)#fixup protocol ftp 21 啟用ftp協議,并指定ftp的端口號為21 PIX525(config)#fixup protocol http 8080 PIX525(config)#nofixup protocol http 80 啟用http協議8080端口,禁止80端口。 11、telnet 當從外部接口要telnet到PIX防火墻時,telnet數據流需要用***隧道ipsec提供保護或 在PIX上配置SSH,然后用SSHclient從外部到PIX防火墻。 例: telnetlocal_ip[netmask] local_ip表示被授權可以通過telnet訪問到PIX的ip地址。 如果不設此項,PIX的配置方式只能用console口接超級終端進行。 12、顯示命令: showinterface ;查看端口狀態。 showstatic;查看靜態地址映射。 showip;查看接口ip地址。 showconfig;查看配置信息。 showrun;顯示當前配置信息。 writeterminal;將當前配置信息寫到終端。 showcpuusage;顯示CPU利用率,排查故障時常用。 showtraffic;查看流量。 showblocks;顯示攔截的數據包。 showmem;顯示內存 13、DHCP服務 PIX具有DHCP服務功能。 例: PIX525(config)#ipaddress dhcp PIX525(config)#dhcpdaddress 192.168.1.100-192.168.1.200 inside PIX525(config)#dhcpdns 202.96.128.68 202.96.144.47 PIX525(config)#dhcpdomain abc.com.cn 五、PIX防火墻舉例 設: ethernet0命名為外部接口outside,安全級別是0。 ethernet1被命名為內部接口inside,安全級別100。 ethernet2被命名為中間接口dmz,安全級別50。 PIX525#conft PIX525(config)#nameif ethernet0 outside security 0 PIX525(config)#nameif ethernet1 inside security 100 PIX525(config)#nameif ethernet2 dmz security 50 PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 100full PIX525(config)#interface ethernet2 100full PIX525(config)#ipaddress outside 133.0.0.1 255.255.255.252;設置接口IP PIX525(config)#ipaddress inside 10.66.1.200 255.255.0.0;設置接口IP PIX525(config)#ipaddress dmz 10.65.1.200 255.255.0.0;設置接口IP PIX525(config)#global(outside) 1 133.1.0.1-133.1.0.14;定義的地址池 PIX525(config)#nat(inside) 1 0 0 ;00表示所有 PIX525(config)#route outside 0 0 133.0.0.2;設置默認路由 PIX525(config)#static(dmz,outside) 133.1.0.1 10.65.1.101;靜態NAT PIX525(config)#static(dmz,outside) 133.1.0.2 10.65.1.102;靜態NAT PIX525(config)#static(inside,dmz) 10.66.1.200 10.66.1.200;靜態NAT PIX525(config)#access-list 101 permit ip anyhost 133.1.0.1 eq www;設置ACL PIX525(config)#access-list 101 permit ip anyhost 133.1.0.2 eq ftp;設置ACL PIX525(config)#access-list 101 deny ip any any;設置ACL PIX525(config)#access-group 101 ininterface ?outside;將ACL應用在outside端口 當內部主機訪問外部主機時,通過nat轉換成公網IP,訪問internet。 當內部主機訪問中間區域dmz時,將自己映射成自己訪問服務器,否則內部主機將會 映射成地址池的IP,到外部去找。 當外部主機訪問中間區域dmz時,對133.0.0.1映射成10.65.1.101,static是雙向的。 PIX的所有端口默認是關閉的,進入PIX要經過acl入口過濾。 靜態路由指示內部的主機和dmz的數據包從outside口出去。?? 更多內容請看Cisco IOS技術手冊?? Cisco防火墻安裝配置?? CISCO防火墻產品專題,或進入討論組討論。
轉載于:https://blog.51cto.com/hanbing/120741
總結
以上是生活随笔為你收集整理的Cisco PIX防火墙配置命令大全的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 两条链路实现负载均衡和容错的设计
- 下一篇: 人如其名(退了51CTO的群)