PIX防火墙

常用命令有:nameif、interface、ip address、nat、global、route、static等。

nameif

设置接口名称，并指定安全级别，安全级别取值范围为1~100，数字越大安全级别越高。

例如要求设置:

ethernet0命名为外部接口outside，安全级别是0。

ethernet1命名为内部接口inside，安全级别是100。

ethernet2命名为中间接口dmz, 安装级别为50。

使用命令:

PIX525(config)#nameif ethernet0 outside security0

PIX525(config)#nameif ethernet1 inside security100

PIX525(config)#nameif ethernet2 dmz security50

interface

配置以太口工作状态，常见状态有:auto、100full、shutdown。

auto:设置网卡工作在自适应状态。

100full:设置网卡工作在100Mbit/s，全双工状态。

shutdown:设置网卡接口关闭，否则为激活。

命令:

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 100full

PIX525(config)#interface ethernet1 100full shutdown

ip address

配置网络接口的IP地址，例如:

PIX525(config)#ip address outside 133.0.0.1 255.255.255.252

PIX525(config)#ip address inside 192.168.0.1 255.255.255.0

内网inside接口使用私有地址192.168.0.1，外网outside接口使用公网地址133.0.0.1。

global

指定公网地址范围:定义地址池。

Global命令的配置语法:

global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中:

(if_name):表示外网接口名称，一般为outside。

nat_id:建立的地址池标识(nat要引用)。

ip_address-ip_address:表示一段ip地址范围。

[netmark global_mask]:表示全局ip地址的网络掩码。

例如:

PIX525(config)#global (outside) 1 133.0.0.1-133.0.0.15

地址池1对应的IP是:133.0.0.1-133.0.0.15

PIX525(config)#global (outside) 1 133.0.0.1

地址池1只有一个IP地址 133.0.0.1。

PIX525(config)#no global (outside) 1 133.0.0.1

表示删除这个全局表项。

nat

地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法:nat (if_name) nat_id local_ip或acl_id [netmark]

其中:

(if_name):表示接口名称，一般为inside.

nat_id: 表示地址池，由global命令定义。

local_ip: 表示内网的ip地址。对于0.0.0.0表示内网所有主机。

[netmark]:表示内网ip地址的子网掩码。

在实际配置中nat命令总是与global命令配合使用。

一个指定外部网络，一个指定内部网络，通过net_id联系在一起。

例如:

PIX525(config)#nat (inside) 1 0 0

表示内网的所有主机(0 0)都可以访问由global指定的外网。

PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0/16网段的主机可以访问global指定的外网。

route

route命令定义静态路由。

语法:

route (if_name) 0 0 gateway_ip [metric]

其中:

(if_name):表示接口名称。

0 0 :表示所有主机,

Gateway_ip:表示网关路由器的ip地址或下一跳。

[metric]:路由花费。缺省值是1。

例如:

PIX525(config)#route outside 0 0 133.0.0.1 1

设置缺省路由从outside口送出，下一跳是133.0.0.1。

0 0 代表 0.0.0.0 0.0.0.0，表示任意网络。

PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1

设置到10.1.0.0网络下一跳是10.8.0.1。最后的"1"是花费。

static

配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法:

static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address

其中:

internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

outside_ip_address表示外部网络的公有ip地址。

inside_ ip_address表示内部网络的本地ip地址。

(括号内序顺是先内后外，外边的顺序是先外后内)

例如:

PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.8

表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址。

PIX525(config)#static (dmz，outside) 133.0.0.1 172.16.0.2

中间区域ip地址172.16.0.2，访问外部时被翻译成133.0.0.1全局地址。

conduit

管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。

例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。

语法:

conduitpermit|deny protocol global_ip port[-port] foreign_ip [netmask]

其中:

global_ip是一台主机时前面加host参数，所有主机时用any表示。

foreign_ip 表示外部ip。

[netmask] 表示可以是一台主机或一个网络。

例如:

PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.3

PIX525(config)#conduitpermit tcp host 133.0.0.1 eq www any

这个例子说明static和conduit的关系。192.168.0.3是内网一台web服务器，

现在希望外网的用户能够通过PIX防火墙访问web服务。

所以先做static静态映射:192.168.0.3->133.0.0.1

然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。

访问控制列表ACL

访问控制列表的命令与conduit命令类似，

例:

PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www

PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 in interface outside

10、侦听命令fixup

作用是启用或禁止一个服务或协议，

通过指定端口设置PIX防火墙要侦听listen服务的端口。

例:

PIX525(config)#fixup protocol ftp 21

启用ftp协议，并指定ftp的端口号为21

PIX525(config)#fixup protocol http 8080

PIX525(config)#no fixup protocol http 80

启用http协议8080端口，禁止80端口。

telnet

当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或

在PIX上配置SSH，然后用SSH client从外部到PIX防火墙。

例:

telnet local_ip [netmask]

local_ip 表示被授权可以通过telnet访问到PIX的ip地址。

如果不设此项，PIX的配置方式只能用console口接超级终端进行。

PIX防火墙的配置模式与路由器类似，有4种管理模式:

PIXfirewall>:用户模式

PIXfirewall#:特权模式

PIXfirewall(config)#:配置模式

monitor>:ROM监视模式，开机按住[Esc]键或发送一个"Break"字符，进入监视模式。

放置对外开放的服务器。

没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。

(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

outside访问dmz需要配合static(静态地址转换)。

inside访问dmz需要配合acl(访问控制列表)。

设:

ethernet0命名为外部接口outside，安全级别是0。

ethernet1被命名为内部接口inside，安全级别100。

ethernet2被命名为中间接口dmz，安全级别50。

参考配置:

PIX525#conf t ;进入配置模式

PIX525(config)#nameif ethernet0 outside security0 ;设置定全级0

PIX525(config)#nameif ethernet1 inside security100 ;设置定全级100

PIX525(config)#nameif ethernet2 dmz security50 ;设置定全级50

PIX525(config)#interface ethernet0 auto ;设置自动方式

PIX525(config)#interface ethernet1 100full ;设置全双工方式

PIX525(config)#interface ethernet2 100full ;设置全双工方式

PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;设置接口IP

PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;设置接口IP

PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;设置接口IP

PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定义的地址池

PIX525(config)#nat (inside) 1 0 0 ;0 0表示所有

PIX525(config)#route outside 0 0 133.0.0.2 ;设置默认路由

PIX525(config)#static (dmz，outside) 133.1.0.1 10.65.1.101 ;静态NAT

PIX525(config)#static (dmz，outside) 133.1.0.2 10.65.1.102 ;静态NAT

PIX525(config)#static (inside，dmz) 10.65.1.200 10.66.1.200 ;静态NAT

PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL

PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL

PIX525(config)#access-list 101 deny ip any any ;设置ACL

PIX525(config)#access-group 101 in interface outside ;将ACL应用在outside端口

当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。

当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会

映射成地址池的IP，到外部去找。

当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101， static是双向的。

PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。

静态路由指示内部的主机和dmz的数据包从outside口出去。

show interface ;查看端口状态。

show static ;查看静态地址映射。

show ip ;查看接口ip地址。

show config ;查看配置信息。

show run ;显示当前配置信息。

write terminal ;将当前配置信息写到终端。

show cpu usage ;显示CPU利用率，排查故障时常用。

show traffic ;查看流量。

show connect count ;查看连接数。

show blocks ;显示拦截的数据包。

show mem ;显示内存

13、DHCP 服务

PIX具有DHCP服务功能。

例:

PIX525(config)#ip address dhcp

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

PIX525(config)#dhcp domain

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在具体应用防火墙技术时，还要考虑到两个方面:

一是防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

(1)设置网卡IP地址为192.168.1.234，子网掩码为255.255.255.0，网关为192.168.1.1。

(2)设置DNS为61.177.7.1。

(3)Linux防火墙设置，禁用SELinux，启用防火墙，信任WWW、FTP、SSH、SMTP端口。

(4)设置防火墙，使能信任TCP协议的POP3端口。

一个个人防火墙, 通常软件应用过滤信息进入或留下。一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs (解除军事管制区域) 界限。 这样防火墙过滤所有信息进入或留下被连接的网络。 后者定义对应于"防火墙" 的常规意思在网络, 和下面会谈谈这类型防火墙。

以下是两个主要类型防火墙: 网络层防火墙和 应用层防火墙。 这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。

网络层防火墙

网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项"否定规则"就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的"应用层"上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。

XML 防火墙是一种新型态的应用层防火墙。

代理服务

代理服务设备(可能是一台专属的硬件，或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求)，同时封锁其他的封包，达到类似于防火墙的效果。

代理由外在网络使窜改一个内部系统更加困难, 并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置) 。 相反地, 入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的; 代理人然后伪装作为那个系统对其它内部机器。 当对内部地址空间的用途加强安全, 破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。

防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的"私人地址空间", 依照被定义在[RFC 1918] 。 管理员经常设置了这样情节在努力(无定论的有效率) 假装内部地址或网络。

防火墙的适当的配置要求技巧和智能。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错可使防火墙不能作为安全工具.