Cisco PIX防火墙基本配置命令详解

小乔 · 发表于 2016-11-9 14:36:12

Cisco PIX防火墙基本配置命令详解
一、PIX防火墙的认识
PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。

PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。

PIX防火墙常见接口有：console、Failover、Ethernet、USB。

网络区域：

内部网络：inside

外部网络：outside

中间区域：称DMZ(停火区)。放置对外开放的服务器。

二、防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。

(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

三、PIX防火墙的配置模式
PIX防火墙的配置模式与路由器类似，有4种管理模式：

PIXfirewall>：用户模式

PIXfirewall#：特权模式

PIXfirewall(config)#：配置模式

monitor>：ROM监视模式，开机按住[Esc]键或发送一个“Break”字符，进入监视模式。

四、PIX基本配置命令
常用命令有：nameif、interface、ipaddress、nat、global、route、static等。

1、nameif
设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

例如要求设置：

ethernet0命名为外部接口outside，安全级别是0。

ethernet1命名为内部接口inside，安全级别是100。

ethernet2命名为中间接口dmz,安装级别为50。

使用命令：

PIX525(config)#nameif ethernet0 outside security0

PIX525(config)#nameif ethernet1 inside security100

PIX525(config)#nameif ethernet2 dmz security50

2、interface
配置以太口工作状态，常见状态有：auto、100full、shutdown。

auto：设置网卡工作在自适应状态。

100full：设置网卡工作在100Mbit/s，全双工状态。

shutdown：设置网卡接口关闭，否则为激活。

命令：

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 100full

PIX525(config)#interface ethernet1 100fullshutdown

3、ipaddress
配置网络接口的IP地址，例如：

PIX525(config)#ip address outside 133.0.0.1 255.255.255.252

PIX525(config)#ip address inside 192.168.0.1 255.255.255.0

内网inside接口使用私有地址192.168.0.1，外网outside接口使用公网地址133.0.0.1。

4、global
指定公网地址范围：定义地址池。

Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmarkglobal_mask]：表示全局ip地址的网络掩码。

例如：

PIX525(config)#global(outside) 1 133.0.0.1-133.0.0.15

地址池1对应的IP是：133.0.0.1-133.0.0.15

PIX525(config)#global(outside) 1 133.0.0.1

地址池1只有一个IP地址133.0.0.1。

PIX525(config)#noglobal(outside) 1 133.0.0.1

表示删除这个全局表项。

5、nat
地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]

其中：

(if_name)：表示接口名称，一般为inside.

nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

在实际配置中nat命令总是与global命令配合使用。

一个指定外部网络，一个指定内部网络，通过net_id联系在一起。

例如：

PIX525(config)#nat(inside)100

表示内网的所有主机(00)都可以访问由global指定的外网。

PIX525(config)#nat(inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0/16网段的主机可以访问global指定的外网。

6、route
route命令定义静态路由。

语法：

route(if_name) 0 0 gateway_ip[metric]

其中：

(if_name)：表示接口名称。

00：表示所有主机

Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。缺省值是1。

例如：

PIX525(config)#route outside 0 0 133.0.0.11

设置缺省路由从outside口送出，下一跳是133.0.0.1。

00代表0.0.0.00.0.0.0，表示任意网络。

PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.11

设置到10.1.0.0网络下一跳是10.8.0.1。最后的“1”是花费。

7、static
配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address

其中：

internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

outside_ip_address表示外部网络的公有ip地址。

inside_ip_address表示内部网络的本地ip地址。

(括号内序顺是先内后外，外边的顺序是先外后内)

例如：

PIX525(config)#static(inside，outside) 133.0.0.1192.168.0.8

表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址。

PIX525(config)#static(dmz，outside)133.0.0.1172.16.0.2

中间区域ip地址172.16.0.2，访问外部时被翻译成133.0.0.1全局地址。

8、conduit
管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。

例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。

语法：

conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

其中：

global_ip是一台主机时前面加host参数，所有主机时用any表示。

foreign_ip表示外部ip。

[netmask]表示可以是一台主机或一个网络。

例如：

PIX525(config)#static(inside，outside) 133.0.0.1192.168.0.3

PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any

这个例子说明static和conduit的关系。192.168.0.3是内网一台web服务器，

现在希望外网的用户能够通过PIX防火墙访问web服务。

所以先做static静态映射：192.168.0.3－>133.0.0.1

然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。

9、访问控制列表ACL
访问控制列表的命令与couduit命令类似，

例：

PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eqwww

PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 in interface outside

10、侦听命令fixup
作用是启用或禁止一个服务或协议，

通过指定端口设置PIX防火墙要侦听listen服务的端口。

例：

PIX525(config)#fixupprotocolftp21

启用ftp协议，并指定ftp的端口号为21

PIX525(config)#fixup protocol http 8080

PIX525(config)#nofixup protocol http 80

启用http协议8080端口，禁止80端口。

11、telnet
当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或

在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。

例：

telnetlocal_ip[netmask]

local_ip表示被授权可以通过telnet访问到PIX的ip地址。

如果不设此项，PIX的配置方式只能用console口接超级终端进行。

12、显示命令：

游客，如果您要查看本帖隐藏内容请回复

淡淡的苦涩 · 发表于 2016-11-9 14:57:24

内容不错

淡淡的苦涩 · 发表于 2016-11-9 14:57:34

内容不错

sy7527951 · 发表于 2016-11-11 23:19:16

支持一下~~~

光明永來朝 · 发表于 2016-11-13 16:54:00

谢谢分享

znwlx1986 · 发表于 2016-11-23 10:24:34

学习，路过~~

zero_young · 发表于 2016-11-25 11:00:37

感谢楼主分享。

long6018 · 发表于 2016-11-25 16:45:32

111111111111

security~liang · 发表于 2016-11-25 17:03:40

好像突然没有金币了

吃遍天下 · 发表于 2016-11-26 17:05:44

6666666666666

quickmoney · 发表于 2016-11-27 00:51:03

kan kan

s1090012896 · 发表于 2016-11-30 00:16:10

也不知道说什么，但是很感谢

1759123314@ · 发表于 2016-11-30 13:34:12

KANKAN

cisco.mzw · 发表于 2016-11-30 22:19:34

谢谢楼主分享

szgzpysglzasd · 发表于 2016-12-14 14:37:16

账号		自动登录	找回密码
密码			论坛注册

Cisco PIX防火墙基本配置命令详解

客服中心

投诉建议