一 , PIX 防火墙的认识
PIX 是cisco 的硬件防火墙 硬件防火墙的工作速度快,使用方便.
PIX 有很多型号,并发连接数是PIX防火墙的重要参数 PIX 25是典型的设备
PIX 防火墙常见的接口: console Faliover Ethernet USB
网络区域:
内部区域: inside
外部区域: outside
中间区域: 称之为DMZ(停火区域) 放置对外开放的服务器
二, 防火墙的配置规则
没有连接的状态(没有握手或者握手不成功或者非法的数据包),任何数据包无法穿过防火墙.(内部发起的连接可ui会包,通过ACL 开放的服务区允许外部发起连接)
inside 可以访问 outside 和 dmz
dmz 可以访问 outside区域
inside 访问dmz 需要配合static(静态地址转换).
outside访问dmz 需要配合ACL (访问控制列表)
三, PIX 防火墙的配置模式
PIX 防火墙 配置模式与路由器类似 ,有4中管理模式:
PIXfirewall> : 用户模式
PIZfirewall # 特权模式
PIXfirewall(config)# : 配置模式
monitor> : ROM监视模式 开机按住{ESC}键或者大宋一个break字符,进入监视模式
四.PIX 基本配置命令
常用的命令:
nameif:
设置接口的名称,并制定安全级别, 安全的级别取值范围为1~100 ,数值越大级别越高.
:
ethernet0 命名为外部接口 outside 安全级别 0
ethernet1 命令为内部接口 inside, 安全级别是100
ethernet2 命名为DMZ 安全界别为50
命令配置:
PIX625(config)#nameif ethernet0 outside security 0 PIX625(config)#nameif ethernet1 outside security 100 PIX625(config)#nameif ethernet2 outside security 50
interface:
配置以太网接口工作状态,常见的状态有: auto 100full shutdown
aotu: 设置网卡工作再自适应状态.
100full: 设置网卡工作再100mbit/s 全双工状态.
shutdown: 设置网卡接口关闭,否者为激活
配置命令
interface ethernet0 auto
interface ethernet1 100full
interface ethernet1 100full shutdown
ipaddress:
配置网络接口的ip地址.例如:
PIX625(config)#ipaddress outside 133.0.0.1 255.255.255.252 PIX625(config)#ipaddress intside 192.168.0.1 255.255.255.252
###内网inside接口使用私有地址192.168.0.1 ,外网outside接口使用公网地址133.0.0.1 .
global
指定公网地址范围: 定义地址次
GlaBal的命令语法
global (if _name) nat_id ip_adress-ip_address[netmark global_mask]
其中:
(if_name):表示外网接口名称, 一般为outside
nat_id : 简历地址池标识(nat要应用)
ip_adress-ip_address :表示一个IP地址的范围
[network global_mask] : 表示全局ip地址的网络掩码
例如:
PIX625(config)#global (outside) 1 133.0.0.1-133.0.0.15
地址次1对应的ip是:133.0.0.1-133.0.0.15
PIX625(config)#global (outside) 1 133.0.0.1
地址池只有一个ip
PIX625(config)#noglobal (outside) 1133.0.0.1-133.0.0.15
删除这个全局表项
nat: