如何配置Cisco PIX防火墻

如何配置Cisco PIX防火墻

在配置PIX防火墻之前，先來介紹一下防火墻的物理特性。防火墻通常具有至少3個接口，但許多早期的防火墻只具有2個接口；當使用具有3個接口的防火墻時，就至少產生了3個網絡，描述如下：
?內部區域（內網）。 內部區域通常就是指企業內部網絡或者是企業內部網絡的一部分。它是互連網絡的信任區域，即受到了防火墻的保護。
?外部區域（外網）。 外部區域通常指Internet或者非企業內部網絡。它是互連網絡中不被信任的區域，當外部區域想要訪問內部區域的主機和服務，通過防火墻，就可以實現有限制的訪問。
??；饏^（DMZ）。 ?；饏^是一個隔離的網絡，或幾個網絡。位于?；饏^中的主機或服務器被稱為堡壘主機。一般在?；饏^內可以放置Web服務器，Mail服務器等。?；饏^對于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業的公開信息，但卻不允許他們訪問企業內部網絡。注意：2個接口的防火墻是沒有?；饏^的。

由于PIX535在企業級別不具有普遍性，因此下面主要說明PIX525在企業網絡中的應用。

PIX防火墻提供4種管理訪問模式：
2 非特權模式。 PIX防火墻開機自檢后，就是處于這種模式。系統顯示為pixfirewall>
2 特權模式。 輸入enable進入特權模式，可以改變當前配置。顯示為pixfirewall#
2 配置模式。 輸入configure terminal進入此模式，絕大部分的系統配置都在這里進行。顯示為pixfirewall(config)#
2 監視模式。 PIX防火墻在開機或重啟過程中，按住Escape鍵或發送一個“Break”字符，進入監視模式。這里可以更新操作系統映象和口令恢復。顯示為monitor>

配置PIX防火墻有6個基本命令：nameif，interface，ip address，nat，global，route.

這些命令在配置PIX是必須的。以下是配置的基本步驟：
1. 配置防火墻接口的名字，并指定安全級別（nameif）。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif ethernet2 dmz security50
提示：在缺省配置中，以太網0被命名為外部接口（outside），安全級別是0；以太網1被命名為內部接口（inside），安全級別是100.安全級別取值范圍為1～99，數字越大安全級別越高。若添加新的接口，語句可以這樣寫：
Pix525(config)#nameif pix/intf3 security40 （安全級別任?。?

2. 配置以太口參數（interface）
Pix525(config)#interface ethernet0 auto（auto選項表明系統自適應網卡類型 ）
Pix525(config)#interface ethernet1 100full（100full選項表示100Mbit/s以太網全雙工通信 ）
Pix525(config)#interface ethernet1 100full shutdown （shutdown選項表示關閉這個接口，若啟用接口去掉shutdown ）

3. 配置內外網卡的IP地址（ip address）
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明顯，Pix525防火墻在外網的ip地址是61.144.51.42，內網ip地址是192.168.0.1

4. 指定要進行轉換的內部地址（nat）
網絡地址翻譯（nat）作用是將內網的私有ip轉換為外網的公有ip.Nat命令總是與global命令一起使用，這是因為nat命令可以指定一臺主機或一段范圍的主機訪問外網，訪問外網時需要利用global所指定的地址池進行對外訪問。nat命令配置語法：nat (if_name) nat_id local_ip [netmark]
其中（if_name）表示內網接口名字，例如inside. Nat_id用來標識全局地址池，使它與其相應的global命令相匹配，local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。[netmark]表示內網ip地址的子網掩碼。
例1．Pix525(config)#nat (inside) 1 0 0
表示啟用nat,內網的所有主機都可以訪問外網，用0可以代表0.0.0.0
例2．Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0這個網段內的主機可以訪問外網。

5. 指定外部地址范圍（global）
global命令把內網的ip地址翻譯成外網的ip地址或一段地址范圍。Global命令的配置語法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中（if_name）表示外網接口名字，例如outside.。Nat_id用來標識全局地址池，使它與其相應的nat命令相匹配，ip_address-ip_address表示翻譯后的單個ip地址或一段ip地址范圍。[netmark global_mask]表示全局ip地址的網絡掩碼。
例1． Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示內網的主機通過pix防火墻要訪問外網時，pix防火墻將使用61.144.51.42-61.144.51.48這段ip地址池為要訪問外網的主機分配一個全局ip地址。
例2． Pix525(config)#global (outside) 1 61.144.51.42
表示內網要訪問外網時，pix防火墻將為訪問外網的所有主機統一使用61.144.51.42這個單一ip地址。
例3. Pix525(config)#no global (outside) 1 61.144.51.42
表示刪除這個全局表項。

6. 設置指向內網和外網的靜態路由（route）
定義一條靜態路由。route命令配置語法：route (if_name) 0 0 gateway_ip [metric]
其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示網關路由器的ip地址。[metric]表示到gateway_ip的跳數。通常缺省是1。
例1． Pix525(config)#route outside 0 0 61.144.51.168 1
表示一條指向邊界路由器（ip地址61.144.51.168）的缺省路由。
例2． Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果內部網絡只有一個網段，按照例1那樣設置一條缺省路由即可；如果內部存在多個網絡，需要配置一條以上的靜態路由。上面那條命令表示創建了一條到網絡10.1.1.0的靜態路由，靜態路由的下一條路由器ip地址是172.16.0.1

OK，這6個基本命令若理解了，就可以進入到pix防火墻的一些高級配置了。

A. 配置靜態IP地址翻譯（static）
如果從外網發起一個會話，會話的目的地址是一個內網的ip地址，static就把內部地址翻譯成一個指定的全局地址，允許這個會話建立。static命令配置語法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示內部網絡接口，安全級別較高。如inside.
external_if_name為外部網絡接口，安全級別較低。如outside等。outside_ip_address為正在訪問的較低安全級別的接口上的ip地址。inside_ ip_address為內部網絡的本地ip地址。
例1． Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
表示ip地址為192.168.0.8的主機，對于通過pix防火墻建立的每個會話，都被翻譯成61.144.51.62這個全局地址，也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。
例2． Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3． Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注釋同例1。通過以上幾個例子說明使用static命令可以讓我們為一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠為具有較低安全級別的指定接口創建一個入口，使它們可以進入到具有較高安全級別的指定接口。

B. 管道命令（conduit）
前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射，但從外部到內部接口的連接仍然會被pix防火墻的自適應安全算法(ASA)阻擋，conduit命令用來允許數據流從具有較低安全級別的接口流向具有較高安全級別的接口，例如允許從外部到DMZ或內部接口的入方向的會話。對于向內部接口的連接，static和conduit命令將一起使用，來指定會話的建立。
conduit命令配置語法：
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允許 | 拒絕訪問
global_ip 指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0；如果global_ip是一臺主機，就用host命令參數。
port 指的是服務所作用的端口，例如www使用80，smtp使用25等等，我們可以通過服務名稱或端口數字來指定端口。
protocol 指的是連接協議，比如：TCP、UDP、ICMP等。
foreign_ip 表示可訪問global_ip的外部ip。對于任意主機，可以用any表示。如果foreign_ip是一臺主機，就用host命令參數。
例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
這個例子表示允許任何外部主機對全局地址192.168.0.8的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eq ftp 就是指允許或拒絕只對ftp的訪問。
例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
例3. Pix525(config)#conduit permit icmp any any
表示允許icmp消息向內部和外部通過。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
這個例子說明static和conduit的關系。192.168.0.3在內網是一臺web服務器，現在希望外網的用戶能夠通過pix防火墻得到web服務。所以先做static靜態映射：192.168.0.3－>61.144.51.62（全局），然后利用conduit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。

C. 配置fixup協議
fixup命令作用是啟用，禁止，改變一個服務或協議通過pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽的服務。見下面例子：
例1． Pix525(config)#fixup protocol ftp 21
啟用ftp協議，并指定ftp的端口號為21
例2． Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
為http協議指定80和1080兩個端口。
例3． Pix525(config)#no fixup protocol smtp 80
禁用smtp協議。

D. 設置telnet
telnet有一個版本的變化。在pix OS 5.0（pix操作系統的版本號）之前，只能從內部網絡上的主機通過telnet訪問pix。在pix OS 5.0及后續版本中，可以在所有的接口上啟用telnet到pix的訪問。當從外部接口要telnet到pix防火墻時，telnet數據流需要用ipsec提供保護，也就是說用戶必須配置pix來建立一條到另外一臺pix，路由器或vpn客戶端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSH client從外部telnet到PIX防火墻，PIX支持SSH1和SSH2，不過SSH1是免費軟件，SSH2是商業軟件。相比之下cisco路由器的telnet就作的不怎么樣了。
telnet配置語法：telnet local_ip [netmask]
local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項，pix的配置方式只能由console進行。

說了這么多，下面給出一個配置實例供大家參考。

Welcome to the PIX firewall

Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config
: Saved
:
PIX Version 6.0(1) ------ PIX當前的操作系統版本為6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 顯示目前pix只有2個接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墻密碼在默認狀態下已被加密，在配置文件中不會以明文顯示，telnet 密碼缺省為cisco
Hostname PIX525 ------ 主機名稱為PIX525
Domain-name 123.com ------ 本地的一個域名服務器123.com，通常用作為外部訪問
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 當前啟用的一些服務或協議，注意rsh服務是不能改變端口號
names ------ 解析本地主機名到ip地址，在配置中可以用名字代替ip地址，當前沒有設置，所以列表為空
pager lines 24 ------ 每24行一分頁
interface ethernet0 auto
interface ethernet1 auto ------ 設置兩個網卡的類型為自適應
mtu outside 1500
mtu inside 1500 ------ 以太網標準的MTU長度為1500字節

ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外網的ip地址61.144.51.42，內網的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix入侵檢測的2個命令。當有數據包具有攻擊或報告型特征碼時，pix將采取報警動作（缺省動作），向指定的日志記錄主機產生系統日志消息；此外還可以作出丟棄數據包和發出tcp連接復位信號等動作，需另外配置。
pdm history enable ------ PIX設備管理器可以圖形化的監視PIX
arp timeout 14400 ------ arp表的超時時間
global (outside) 1 61.144.51.46 ------ 如果你訪問外部論壇或用QQ聊天等等，上面顯示的ip就是這個
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43這個ip地址提供domain-name服務，而且只允許外部用戶訪問domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部網關61.144.51.61
timeout xlate 3:00:00 ------ 某個內部設備向外部發出的ip包經過翻譯(global)后，在缺省3個小時之后此數據包若沒有活動，此前創建的表項將從翻譯表中刪除，釋放該設備占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA認證的超時時間，absolute表示連續運行uauth定時器，用戶超時后，將強制重新認證
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服務器的兩種協議。AAA是指認證，授權，審計。Pix防火墻可以通過AAA服務器增加內部網絡的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由于沒有設置snmp工作站，也就沒有snmp工作站的位置和聯系人
no snmp-server enable traps ------ 發送snmp陷阱
floodguard enable ------ 防止有人偽造大量認證請求，將pix的AAA資源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh訪問pix的超時時間
terminal width 80
Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 將配置保存

上面這個配置實例需要說明一下，pix防火墻直接擺在了與internet接口處，此處網絡環境有十幾個公有ip,可能會有朋友問如果我的公有ip很有限怎么辦？你可以添加router放在pix的前面，或者global使用單一ip地址，和外部接口的ip地址相同即可。另外有幾個維護命令也很有用，show interface查看端口狀態，show static查看靜態地址映射，show ip查看接口ip地址，ping outside | inside ip_address確定連通性。

?

Cisco PIX Firewall Version 6.2(2)

Compiled on Fri 07-Jun-02 17:49 by morlee

pixfirewall up 13 mins 35 secs

Hardware:?? SE440BX2, 128 MB RAM, CPU Pentium II 350 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB

0: ethernet0: address is 00a0.c92d.c81d, irq 11
1: ethernet1: address is 0090.2730.999f, irq 15
2: ethernet2: address is 0090.2757.0574, irq 10
3: ethernet3: address is 00a0.c976.9cdb, irq 9
Licensed Features:
Failover:?????????? Enabled
VPN-DES:??????????? Enabled
VPN-3DES:?????????? Disabled
Maximum Interfaces: 6
Cut-through Proxy:? Enabled
Guards:???????????? Enabled
URL-filtering:????? Enabled
Inside Hosts:?????? Unlimited
Throughput:???????? Unlimited
IKE peers:????????? Unlimited

Serial Number: 18046350 (0x1135d8e)
Running Activation Key: 0xd8aad2ba 0x5d6504f6 0x37c4135f 0x2422e0f4
Configuration last modified by enable_15 at 20:31:14.287 UTC Tue Nov 8 2005
pixfirewall#

?