还剩15页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
Cisco防火墙pix515配置实例http://___.sina.com.cn2008年09月16日14:18IT
168.comhttp://___.it
168.com
一、引言 硬件防火墙的应用,现在是越来越多,产品也很丰富一般国产的防火墙多带有中文的说明和一些相应的配置实例,但国外的产品几乎都没有中文的说明书
二、物理连接 Pix515的外观是一种标准的机架式设备,高度为2U,电源开关和接线在背后正面有一些指示灯,如电源、工作是否正常的表示等;背面板 有一些接口和扩展口,我们这次要用到的接口有三个两个以太RJ-45网卡和一个配置口,其英文分别是ETHERNET
0、ETHERNET1和CONSOLE. 先将防火墙固定在机架上,接好电源;用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来注意该线缆是扁平的,一端是RJ-45接口, 要接在防火墙的console端口;另一端是串口,要接到笔记本的串口上
三、初始化配置程序 启动笔记本,防火墙通电
1.新建一个超级终端 运行windows里的超级终端程序其步骤如下单击开始→所有程序→附件→通讯→超级终端,就会出现对话框此时需要输入一个所建超级终端的名称,可输PIX515↙;出现下一对话框需要选择串口的端口,我们选择com1↙;出现下一对话框需要选择传输速率,我们选择9600↙.
2.基本配置 此时,出现超级终端对话框,按↙ 对应提示填写 Password口令自定↙ Year年
[2004]↙ Moth月[Feb]↙ Day天
[20]↙ Time时间
[102130]↙ InsideIPaddress内部IP地址
192.
168.
10.0↙ Insidenetwork__sk内部掩码
255.
255.
255.0↙ Hostname主机名称FIX515↙ Do__inname主域YCZD.COM.CN↙ 随后出现以上设置的总结,提示是否保存选择YES,存入到flash.
四、具体配置 在配置之前,需要了解一些具体的需求在本实例中,该单位是通过防火墙接入到Internet,防火墙要有路由的功能;net1接外网,net0接内网 __给的IP地址为
219.
140.
164.24~31共8个地址 GW__
219.
140.
164.25; 掩码
255.
255.
255.
248. 内部IP地址
192.
168.
10.X; 掩码
255.
255.
255.0; GW
192.
168.
10.
0. 具体配置如下 启动超级终端程序FIX515,出现一提示符“-”,此时要按回车键,就出现fix515提示符,输入命令enable↙;出现password↙; 进入特权模式,此时系统提示为fix5153#.输入命令configureterminal↙,对系统进行初始化设置出现fix515config#提示符以下的配置都 在此提示符下进行
1.配置网络端口 fix515config#inte_____ethernet0auto↙ fix515config#inte_____ethernet1auto↙ auto选项表明端口eth0和eth1为自适应
2.定义安全级别 fix515config#nameifethernet1outsidesecurity0↙ fix515config#nameifethernet0insidesecurity100↙ 外网的安全级别为最低,内网的安全级别为最高
3.配置内、外端口的IP地址 fix515config#ipaddressinside
192.
168.
10.1
255.
255.
255.0↙ fix515config#ipaddressoutside
219.
140.
164.26
255.
255.
255.248↙ 内部为
192.
168.
10.1;外部为
219.
140.
164.
26.
4.指定要转换的内部地址 fix515config#natinside
10.
0.
0.0
0.
0.
0.0↙ 表示内部全部地址都可以转换出去
5.指定外部地址范围fix515config#globaloutside
1219.
140.
164.27-
219.
140.
164.30net__sk
255.
255.
255.248↙ 将外部地址的范围定义在27-30之间
6.设置指向内部网和外部网的缺省路由 fix515config#routeinside
00192.
168.
10.1↙ fix515config#routeoutside
00219.
164.
140.26↙ 内
192.
168.
10.1;外
219.
164.
140.
26.
7.配置远程访问 fix515config#telen
192.
168.
10.
9255.
255.
255.0↙ fix515config#telen
210.
20.
14.
10255.
255.
255.0↙ 第一条表示内部可配置的地址; 第二条表示外部可配置的地址
8.将配置保存 fix515config#wrmem↙ wrmem是writememory的缩写,即将配置信息写入flashmemory.
9.重启 fix515config#reload↙ 以上为一个共享上网的初步配置
五、其他几个要用到的命令
1.no 当要取消条命令时,要用“no”加原命令如 原命令telen
210.
20.
14.
10255.
255.
255.0↙ 要取消时输notelen
210.
20.
14.
10255.
255.
255.0↙.
2.show 可以查看已配置的情况如showinte_____↙表示查看内部端口状态
3.ping 用来检查所配置端口是否连通
六、结束语
1.配置环境笔记本的操作系统为WXP;PIX软件的版本为
6.
03.
2.所有的下划线上的字符均要输入,↙表示要按回车键中文和内的文字为注释
3.所有命令均来自防火墙随机的电子文档,因是英文翻译,中文可能有不当之处
4.以上的配置为一基本配置,如要用到其他功能,需要添加其他的配置语句和命令,本文不再一一列举本配置程序为实际的设置过程,该系统目前运行正常
3.1ac__ss-list用于创建访问规则
(1)创建标准访问列表ac__ss-list[nor__l|special]listnumber1{permit|deny}sour__-addr[sour__-__sk]
(2)创建扩展访问列表ac__ss-list[nor__l|special]listnumber2{permit|deny}protocolsour__-addrsour__-__sk[operatorport1[port2]]dest-addrdest-__sk[operatorport1[port2]|icmp-type[icmp-code]][log]
(3)删除访问列表noac__ss-list{nor__l|special}{all|listnumber[subitem]}【参数说明】nor__l指定规则加入普通时间段special指定规则加入特殊时间段listnumber1是1到99之间的一个数值,表示规则是标准访问列表规则listnumber2是100到199之间的一个数值,表示规则是扩展访问列表规则permit表明允许满足条件的报文通过deny表明禁止满足条件的报文通过protocol为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议sour__-addr为源地址sour__-__sk为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为
0.
0.
0.0dest-addr为目的地址dest-__sk为目的地址通配位operator[可选]端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口port1在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值port2在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值icmp-type[可选]在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值log[可选]表示如果报文符合条件,需要做日志listnumber为删除的规则序号,是1~199之间的一个数值subitem[可选]指定删除序号为listnumber的访问列表中规则的序号【缺省情况】系统缺省不配置任何访问规则【命令模式】全局配置模式【使用指南】同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的使用协议域为IP的扩展访问列表来表示所有的IP协议同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过showac__ss-list命令看到【举例】允许源地址为
10.
1.
1.0网络http://product.yesky.com/net/、目的地址为
10.
1.
2.0网络的___访问,但不允许使用FTPhttp://___.yesky.com/key/255/
255.htmlQuidwayconfig#ac__ss-list100permittcp
10.
1.
1.
00.
0.
0.
25510.
1.
2.
00.
0.
0.255eq___Quidwayconfig#ac__ss-list100denytcp
10.
1.
1.
00.
0.
0.
25510.
1.
2.
00.
0.
0.255eqftp【相关命令】ipac__ss-group
5.
3.2clearac__ss-listcounters清除访问列表规则的统计信息clearac__ss-listcounters[listnumber]【参数说明】listnumber[可选]要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息【缺省情况】任何时候都不清除统计信息【命令模式】特权用户模式【使用指南】使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息【举例】例1清除当前所使用的序号为100的规则的统计信息Quidway#clearac__ss-listcounters100例2清除当前所使用的所有规则的统计信息Quidway#clearac__ss-listcounters【相关命令】ac__ss-list
5.
3.3firewall启用或禁止防火墙firewall{enable|disable}【参数说明】enable表示启用防火墙disable表示禁止防火墙【缺省情况】系统缺省为禁止防火墙【命令模式】全局配置模式【使用指南】使用此命令来启用或禁止防火墙,可以通过showfirewall命令看到相应结果如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关在使用firewalldisable命令关闭防火墙时,防火墙本身的统计信息也将被清除【举例】启用防火墙Quidwayconfig#firewallenable【相关命令】ac__ss-list,ipac__ss-group
5.
3.4firewalldefault配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式firewalldefault{permit|deny}【参数说明】permit表示缺省过滤属性设置为“允许”deny表示缺省过滤属性设置为“禁止”【缺省情况】在防火墙开启的情况下,报文被缺省允许通过【命令模式】全局配置模式【使用指南】当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃【举例】设置缺省过滤属性为“允许”Quidwayconfig#firewalldefaultpermit
5.
3.5ipac__ss-group使用此命令将规则应用到接口上使用此命令的no形式来删除相应的设置ipac__ss-grouplistnumber{in|out}[no]ipac__ss-grouplistnumber{in|out}【参数说明】listnumber为规则序号,是1~199之间的一个数值in表示规则用于过滤从接口收上来的报文out表示规则用于过滤从接口转发的报文【缺省情况】没有规则应用于接口【命令模式】接口配置模式【使用指南】使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用in关键字;如果要过滤从接口转发的报文,使用out关键字一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用showac__ss-list命令来查看【举例】将规则101应用于过滤从以太网口收上来的报文Quidwayconfig-if-Ethernet0#ipac__ss-group101in【相关命令】ac__ss-list
5.
3.6settr设定或取消特殊时间段settrbegin-timeend-timenosettr【参数说明】begin-time为一个时间段的开始时间end-time为一个时间段的结束时间,应该大于开始时间【缺省情况】系统缺省没有设置时间段,即认为全部为普通时间段【命令模式】全局配置模式【使用指南】使用此命令来设置时间段;可以最多同时设置6个时间段,通过showtimerange命令可以看到所设置的时间如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)设置的时间应该是24小时制如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr21:0023:590:008:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换另外这个设置也经过了2000问题的测试【举例】例1设置时间段为8:30~12:00,14:00~17:00Quidwayconfig#settr8:3012:0014:0017:00例2设置时间段为晚上9点到早上8点Quidwayconfig#settr21:0023:590:008:0【相关命令】timerange,showtimerange
5.
3.7showac__ss-list显示包过滤规则及在接口上的应用showac__ss-list[all|listnumber|inte_____inte_____-name]【参数说明】all表示所有的规则,包括普通时间段内及特殊时间段内的规则listnumber为显示当前所使用的规则中序号为listnumber的规则inte_____表示要显示在指定接口上应用的规则序号inte_____-name为接口的名称【命令模式】特权用户模式【使用指南】使用此命令来显示所指定的规则,同时查看规则过滤报文的情况每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效可以通过带inte_____关键字的showac__ss-list命令来查看某个接口应用规则的情况【举例】例1显示当前所使用的序号为100的规则Quidway#showac__ss-list100Usingnor__lpacket-filteringac__ssrulesnow.100denyicmp
10.
1.
0.
00.
0.
255.255anyhost-redirect3__tches252bytes--rule1100permiticmp
10.
1.
0.
00.
0.
255.255anyechono__tches--rule2100denyudpanyanyeqripno__tches--rule3例2显示接口Serial0上应用规则的情况Quidway#showac__ss-listinte_____serial0Serial0:ac__ss-listfilteringIn-boundpackets:120ac__ss-listfilteringOut-boundpackets:None【相关命令】ac__ss-list
5.
3.8showfirewall显示防火墙状态showfirewall【命令模式】特权用户模式【使用指南】使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息【举例】显示防火墙状态Quidway#showfirewallFirewallisenabledefaultfilteringmethodispermit.TimeRangepacket-filteringenable.InBoundpackets:None;OutBoundpackets:0packets0bytes0%permitted0packets0bytes0%denied2packets104bytes100%permitteddefaultly0packets0bytes100%denieddefaultly.From00:13:02to06:13:21:0packets0bytespermitted.【相关命令】firewall
5.
3.9showisintr显示当前时间是否在时间段之内showisintr【命令模式】特权用户模式【使用指南】使用此命令来显示当前时间是否在时间段之内【举例】显示当前时间是否在时间段之内Quidway#showisintrItisNOTintimerangesnow.【相关命令】timerange,settr
5.
3.10showtimerange显示时间段包过滤的信息showtimerange【命令模式】特权用户模式【使用指南】使用此命令来显示当前是否允许时间段包过滤及所设置的时间段【举例】显示时间段包过滤的信息Quidway#showtimerangeTimeRangepacket-filteringenable.beginningoftimerange:01:00-02:0003:00-04:00endoftimerange.【相关命令】timerange,settr
5.
3.11timerange启用或禁止时间段包过滤功能timerange{enable|disable}【参数说明】enable表示启用时间段包过滤disable表示禁止采用时间段包过滤【缺省情况】系统缺省为禁止时间段包过滤功能【命令模式】全局配置模式【使用指南】使用此命令来启用或禁止时间段包过滤功能,可以通过showfirewall命令看到,也可以通过showtimerange命令看到配置结果在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则系统查询时间段的精确度为1分钟所设置的时间段的两个端点属于时间段之内【举例】启用时间段包过滤功能Quidwayconfig#timerangeenable【相关命令】settr,showtimerange。