|
|
工作在透明模式下时,pix相当于一条网线,故障切换由其它的三层设
所以不用设置别的网络地址,只要加一个ip用于以后配置就可以了.
以下内容需要回复才能看到
一、升级系统
由于一般的PIX系列的防火墙出场时候预装的IOS是6.X的版本,而只有7.0以上才支持透明模式.
所以第一步是升级IOS
准备工作:
然后去cisco网站上下载一个7.0的bin文件(我下载的是pix701.bin)放到tftp服务器的根目录下
正式开始:
防火墙通电,按ESC进入monitor> 状态下。
monitor> address 192.1.1.1 --设置防火墙IP
address 192.1.1.1
monitor> server 192.1.1.2 --设置tftp服务器的IP
server 192.1.1.2
monitor> ping 192.1.1.2 --检测一下是否能ping通
Sending 5, 100-byte 0x7970 ICMP Echoes to 10.32.2.78, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor> file pix701.bin --声明你下载的那个bin文件的全称
file pix704.bin
monitor> tftp --开始灌入
tftp pix704.bin@192.168.1.80...........................
耐心等待.一直到出现非特权模式的那个">"符号.下面要吧bin文件考到flash里面去,以后启动的时候才能正常使用
pixfirewall> en
Password:
pixfirewall# con t
pixfirewall(config)# interface ethernet1 --进入端口模式
pixfirewall(config-if)# ip address 192.1.11 255.255.255.0 --配置e1口的IP
pixfirewall(config-if)# nameif inside --配置e1口为防火墙的inside口
INFO: Security level for "inside" set to 100 by default.
pixfirewall(config-if)# no shutdown --激活inside口
pixfirewall(config-if)# ping 192.1.1.2 --测试一下
Sending 5, 100-byte ICMP Echos to 192.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
pixfirewall(config-if)# exit --退出端口模式
pixfirewall(config)# copy tftp flash: --copybin文件
Address or name of remote host []? 192.1.1.2 --tftp服务器IP
Source filename []? pix701.bin --文件名
Destination filename [pix701.bin]? pix701.bin --确认
Accessing tftp://192.1.1.2/pix701.bin...!! --开始copy 耐心等待
Writing file flash:pix701.bin...!!!!!!!!!!!!!
5124096 bytes copied in 82.80 secs (62488 bytes/sec)
pixfirewall(config)# reload --升级完成.重启!!!!!!!ps.第一次启动时间会稍长不要着急
二、PIX防问控制一般用ACL就能实现
1、用access-list写建立一个列表.
2、access-group (access-list name) interface (interface name ) in/out应用上去就可以了
三、例子
pixfirewall> en
Password:
pixfirewall# con t
pixfirewall(config)# interface ethernet0
pixfirewall(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
pixfirewall(config-if)# no shutdown
pixfirewall(config-if)# exit
pixfirewall(config)# interface ethernet1
pixfirewall(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
pixfirewall(config-if)# no shutdown
pixfirewall(config-if)# exit
配置透明模式
pixfirewall(config)# firewall transparent --设置防火墙为透明模式
pixfirewall(config)# access-list out-list extended permit icmp any any --设置允许通过所有的协议
pixfirewall(config)# access-list out-list extended permit ip any any --设置允许通过所有的IP
pixfirewall(config)# access-group out-list in interface outside --把刚才的访问列表绑在outside口
pixfirewall(config)# access-group out-list out interface outside --把刚才的访问列表绑在outside口
pixfirewall(config)# ip address 192.168.11.1 255.255.255.0 --设置一个以后配置防火墙的IP
access-list goout permit tcp any any eq 7411 --允许打开的端口7411
access-list goout permit tcp any any eq 7412 --允许打开的端口7412
.....
在后面加一句
access-list goout deny tcp any any --关闭除7411和7412外的所有端口
access-group goout in interface outside --把acl规则应用到outside的入口端上
access-group goout out interface outside --把acl规则应用到outside的出口端上
开启telnet
telnet 192.168.11.0 255.255.255.0 inside
添加用户
username cisco password cisco123456
四、acl中in和out的区别
in和out是相对的,比如:
A(s0)-----(s0)B(s1)--------(s1)C
假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:
B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)
现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:
1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的
2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)
虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,
实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),
把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)
假设你要把铁门(ACL)安在C,那时候应该用in还是out呢?
这个问题留给你自己回答了,呵呵
相对于路由器的,穿过路由器的是out 即将进入的是in
扩展acl,要靠近源 ,标准acl靠近目标地址
实际上in和out的应用是很灵活的 |
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2009-12-21 13:06:25
置顶卡
喧嚣卡
变色卡
千斤顶
