資源描述:
《Cisco PIX 防火墻配置命令詳解》由會員上傳分享,免費在線閱讀,更多相關內(nèi)容在工程資料-天天文庫���。
1、CiscoPIX防火墻配置命令詳解??2010-10-1216:40:09
2�����、??分類:網(wǎng)絡管理(router,
3��、??標簽:
4、字號大中小?訂閱一�����、PIX防火墻的認識PIX是Cisco的硬件防火墻�����,硬件防火墻有工作速度快���,使用方便等特點����。PIX有很多型號����,并發(fā)連接數(shù)是PIX防火墻的重要參數(shù)����。PIX25是典型的設備。PIX防火墻常見接口有:console��、Failover�、Ethernet�����、USB��。網(wǎng)絡區(qū)域:內(nèi)部網(wǎng)絡:inside外部網(wǎng)絡:outside中間區(qū)域:稱DMZ(?�;饏^(qū))�����。放置對外開放的服務器���。二、防火墻的配置規(guī)則沒有連接的狀態(tài)
5����、(沒有握手或握手不成功或非法的數(shù)據(jù)包),任何數(shù)據(jù)包無法穿過防火墻�。(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務器允許外部發(fā)起連接)inside可以訪問任何outside和dmz區(qū)域�����。dmz可以訪問outside區(qū)域。inside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)��。outside訪問dmz需要配合acl(訪問控制列表)��。三��、PIX防火墻的配置模式PIX防火墻的配置模式與路由器類似�����,有4種管理模式:PIXfirewall>:用戶模式PIXfirewall#:特權模式PIXfirewall(config)#:配置模式moni
6���、tor>:ROM監(jiān)視模式��,開機按住[Esc]鍵或發(fā)送一個“Break”字符��,進入監(jiān)視模式����。四���、PIX基本配置命令常用命令有:nameif、interface�����、ipaddress、nat���、global�、route�、static等。1���、nameif設置接口名稱�,并指定安全級別�,安全級別取值范圍為1~100,數(shù)字越大安全級別越高�。例如要求設置:ethernet0命名為外部接口outside,安全級別是0�。ethernet1命名為內(nèi)部接口inside,安全級別是100�����。ethernet2命名為中間接口dmz,安裝級別為50���。使用命令:PIX
7�����、525(config)#nameifethernet0outsidesecurity0PIX525(config)#nameifethernet1insidesecurity100PIX525(config)#nameifethernet2dmzsecurity502����、interface配置以太口工作狀態(tài),常見狀態(tài)有:auto�����、100full�����、shutdown�。auto:設置網(wǎng)卡工作在自適應狀態(tài)。100full:設置網(wǎng)卡工作在100Mbit/s���,全雙工狀態(tài)�����。shutdown:設置網(wǎng)卡接口關閉���,否則為激活。命令:PIX525(conf
8�、ig)#interfaceethernet0autoPIX525(config)#interfaceethernet1100fullPIX525(config)#interfaceethernet1100fullshutdown3、ipaddress配置網(wǎng)絡接口的IP地址���,例如:PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252PIX525(config)#ipaddressinside192.168.0.1255.255.255.0內(nèi)網(wǎng)inside接口使用私有地址192.
9����、168.0.1�,外網(wǎng)outside接口使用公網(wǎng)地址133.0.0.1。4�、global指定公網(wǎng)地址范圍:定義地址池。Global命令的配置語法:global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中:(if_name):表示外網(wǎng)接口名稱���,一般為outside�。nat_id:建立的地址池標識(nat要引用)�����。ip_address-ip_address:表示一段ip地址范圍����。[netmarkglobal_mask]:表示全局ip地址的網(wǎng)絡掩碼。例如:PIX525(
10��、config)#global(outside)1133.0.0.1-133.0.0.15地址池1對應的IP是:133.0.0.1-133.0.0.15PIX525(config)#global(outside)1133.0.0.1地址池1只有一個IP地址133.0.0.1。PIX525(config)#noglobal(outside)1133.0.0.1表示刪除這個全局表項���。5���、nat地址轉(zhuǎn)換命令,將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)公網(wǎng)ip��。nat命令配置語法:nat(if_name)nat_idlocal_ip[netmark]其中:(
11�����、if_name):表示接口名稱���,一般為inside.nat_id:表示地址池�,由global命令定義�。local_ip:表示內(nèi)網(wǎng)的ip地址。對于0.0.0.0表示內(nèi)網(wǎng)所有主機�。[netmark]:表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。在實際配置
