static
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。
語法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
其中:
internal_if_name表示內部網絡接口,安全級別較高,如inside。
external_if_name表示外部網絡接口,安全級別較低,如outside。
outside_ip_address表示外部網絡的公有ip地址。
inside_ip_address表示內部網絡的本地ip地址。
(括號內序順是先內後外,外邊的順序是先外後內)
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.8
表示內部ip地址192.168.0.8,訪問外部時被翻譯成133.0.0.1全局地址。
PIX525(config)#static(dmz,outside)133.0.0.1172.16.0.2
中間區域ip地址172.16.0.2,訪問外部時被翻譯成133.0.0.1全局地址。
conduit
管道conduit命令用來設置允許數據從低安全級別的接口流向具有較高安全級別的接口。
例如允許從outside到DMZ或inside方向的會話(作用同訪問控制列表)。
語法:
conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
其中:
global_ip是一臺主機時前面加host參數,所有主機時用any表示。
foreign_ip表示外部ip。
[netmask]表示可以是一臺主機或一個網絡。
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.3
PIX525(config)#conduitpermittcphost133.0.0.1eqwwwany
這個例子說明static和conduit的關係。192.168.0.3是內網一臺web服務器,
現在希望外網的用戶能夠通過PIX防火牆訪問web服務。
所以先做static靜態映射:192.168.0.3->133.0.0.1
然後利用conduit命令允許任何外部主機對全局地址133.0.0.1進行http訪問。
訪問控制列表ACL
訪問控制列表的命令與couduit命令類似,
例:
PIX525(config)#access-list100permitipanyhost133.0.0.1eqwww
PIX525(config)#access-list100denyipanyany
PIX525(config)#access-group100ininterfaceoutside
偵聽命令fixup
作用是啓用或禁止一個服務或協議,
通過指定端口設置PIX防火牆要偵聽listen服務的端口。
例:
PIX525(config)#fixupprotocolftp21
啓用ftp協議,並指定ftp的端口號爲21
PIX525(config)#fixupprotocolhttp8080
PIX525(config)#nofixupprotocolhttp80
啓用http協議8080端口,禁止80端口。
telnet
當從外部接口要telnet到PIX防火牆時,telnet數據流需要用***隧道ipsec提供保護或
在PIX上配置SSH,然後用SSHclient從外部到PIX防火牆。
例:
telnetlocal_ip[netmask]
local_ip表示被授權可以通過telnet訪問到PIX的ip地址。
如果不設此項,PIX的配置方式只能用console口接超級終端進行。
顯示命令:
showinterface ;查看端口狀態。
showstatic;查看靜態地址映射。
showip;查看接口ip地址。
showconfig;查看配置信息。
showrun;顯示當前配置信息。
writeterminal;將當前配置信息寫到終端。
showcpuusage;顯示CPU利用率,排查故障時常用。
showtraffic;查看流量。
showblocks;顯示攔截的數據包。
showmem;顯示內存
DHCP服務
PIX具有DHCP服務功能。
例:
PIX525(config)#ipaddressdhcp
PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside
PIX525(config)#dhcpdns202.96.128.68202.96.144.47
PIX525(config)#dhcpdomainabc.com.cn
PIX防火牆舉例
設:
ethernet0命名爲外部接口outside,安全級別是0。
ethernet1被命名爲內部接口inside,安全級別100。
ethernet2被命名爲中間接口dmz,安全級別50。
PIX525#conft
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet2100full
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;設置接口IP
PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;設置接口IP
PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;設置接口IP
PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定義的地址池
PIX525(config)#nat(inside)100;00表示所有
PIX525(config)#routeoutside00133.0.0.2;設置默認路由
PIX525(config)#static(dmz,outside)133.1.0.110.65.1.101;靜態NAT
PIX525(config)#static(dmz,outside)133.1.0.210.65.1.102;靜態NAT
PIX525(config)#static(inside,dmz)10.66.1.20010.66.1.200;靜態NAT
PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;設置ACL
PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;設置ACL
PIX525(config)#access-list101denyipanyany;設置ACL
PIX525(config)#access-group101ininterfaceoutside;將ACL應用在outside端口
當內部主機訪問外部主機時,通過nat轉換成公網IP,訪問internet。
當內部主機訪問中間區域dmz時,將自己映射成自己訪問服務器,否則內部主機將會
映射成地址池的IP,到外部去找。
當外部主機訪問中間區域dmz時,對133.0.0.1映射成10.65.1.101,static是雙向的。
PIX的所有端口默認是關閉的,進入PIX要經過acl入口過濾。
靜態路由指示內部的主機和dmz的數據包從outside口出去。
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。
語法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
其中:
internal_if_name表示內部網絡接口,安全級別較高,如inside。
external_if_name表示外部網絡接口,安全級別較低,如outside。
outside_ip_address表示外部網絡的公有ip地址。
inside_ip_address表示內部網絡的本地ip地址。
(括號內序順是先內後外,外邊的順序是先外後內)
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.8
表示內部ip地址192.168.0.8,訪問外部時被翻譯成133.0.0.1全局地址。
PIX525(config)#static(dmz,outside)133.0.0.1172.16.0.2
中間區域ip地址172.16.0.2,訪問外部時被翻譯成133.0.0.1全局地址。
conduit
管道conduit命令用來設置允許數據從低安全級別的接口流向具有較高安全級別的接口。
例如允許從outside到DMZ或inside方向的會話(作用同訪問控制列表)。
語法:
conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
其中:
global_ip是一臺主機時前面加host參數,所有主機時用any表示。
foreign_ip表示外部ip。
[netmask]表示可以是一臺主機或一個網絡。
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.3
PIX525(config)#conduitpermittcphost133.0.0.1eqwwwany
這個例子說明static和conduit的關係。192.168.0.3是內網一臺web服務器,
現在希望外網的用戶能夠通過PIX防火牆訪問web服務。
所以先做static靜態映射:192.168.0.3->133.0.0.1
然後利用conduit命令允許任何外部主機對全局地址133.0.0.1進行http訪問。
訪問控制列表ACL
訪問控制列表的命令與couduit命令類似,
例:
PIX525(config)#access-list100permitipanyhost133.0.0.1eqwww
PIX525(config)#access-list100denyipanyany
PIX525(config)#access-group100ininterfaceoutside
偵聽命令fixup
作用是啓用或禁止一個服務或協議,
通過指定端口設置PIX防火牆要偵聽listen服務的端口。
例:
PIX525(config)#fixupprotocolftp21
啓用ftp協議,並指定ftp的端口號爲21
PIX525(config)#fixupprotocolhttp8080
PIX525(config)#nofixupprotocolhttp80
啓用http協議8080端口,禁止80端口。
telnet
當從外部接口要telnet到PIX防火牆時,telnet數據流需要用***隧道ipsec提供保護或
在PIX上配置SSH,然後用SSHclient從外部到PIX防火牆。
例:
telnetlocal_ip[netmask]
local_ip表示被授權可以通過telnet訪問到PIX的ip地址。
如果不設此項,PIX的配置方式只能用console口接超級終端進行。
顯示命令:
showinterface ;查看端口狀態。
showstatic;查看靜態地址映射。
showip;查看接口ip地址。
showconfig;查看配置信息。
showrun;顯示當前配置信息。
writeterminal;將當前配置信息寫到終端。
showcpuusage;顯示CPU利用率,排查故障時常用。
showtraffic;查看流量。
showblocks;顯示攔截的數據包。
showmem;顯示內存
DHCP服務
PIX具有DHCP服務功能。
例:
PIX525(config)#ipaddressdhcp
PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside
PIX525(config)#dhcpdns202.96.128.68202.96.144.47
PIX525(config)#dhcpdomainabc.com.cn
PIX防火牆舉例
設:
ethernet0命名爲外部接口outside,安全級別是0。
ethernet1被命名爲內部接口inside,安全級別100。
ethernet2被命名爲中間接口dmz,安全級別50。
PIX525#conft
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet2100full
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;設置接口IP
PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;設置接口IP
PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;設置接口IP
PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定義的地址池
PIX525(config)#nat(inside)100;00表示所有
PIX525(config)#routeoutside00133.0.0.2;設置默認路由
PIX525(config)#static(dmz,outside)133.1.0.110.65.1.101;靜態NAT
PIX525(config)#static(dmz,outside)133.1.0.210.65.1.102;靜態NAT
PIX525(config)#static(inside,dmz)10.66.1.20010.66.1.200;靜態NAT
PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;設置ACL
PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;設置ACL
PIX525(config)#access-list101denyipanyany;設置ACL
PIX525(config)#access-group101ininterfaceoutside;將ACL應用在outside端口
當內部主機訪問外部主機時,通過nat轉換成公網IP,訪問internet。
當內部主機訪問中間區域dmz時,將自己映射成自己訪問服務器,否則內部主機將會
映射成地址池的IP,到外部去找。
當外部主機訪問中間區域dmz時,對133.0.0.1映射成10.65.1.101,static是雙向的。
PIX的所有端口默認是關閉的,進入PIX要經過acl入口過濾。
靜態路由指示內部的主機和dmz的數據包從outside口出去。
PIX基本配置命令
常用命令有:nameif、interface、ipaddress、nat、global、route、static等。
nameif
設置接口名稱,並指定安全級別,安全級別取值範圍爲1~100,數字越大安全級別越高。
例如要求設置:
ethernet0命名爲外部接口outside,安全級別是0。
ethernet1命名爲內部接口inside,安全級別是100。
ethernet2命名爲中間接口dmz,安裝級別爲50。
使用命令:
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
interface
配置以太口工作狀態,常見狀態有:auto、100full、shutdown。
auto:設置網卡工作在自適應狀態。
100full:設置網卡工作在100Mbit/s,全雙工狀態。
shutdown:設置網卡接口關閉,否則爲激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet1100fullshutdown
ipaddress
配置網絡接口的IP地址,例如:
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252
PIX525(config)#ipaddressinside192.168.0.1255.255.255.0
內網inside接口使用私有地址192.168.0.1,外網outside接口使用公網地址133.0.0.1。
global
指定公網地址範圍:定義地址池。
Global命令的配置語法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外網接口名稱,一般爲outside。
nat_id:建立的地址池標識(nat要引用)。
ip_address-ip_address:表示一段ip地址範圍。
[netmarkglobal_mask]:表示全局ip地址的網絡掩碼。
例如:
PIX525(config)#global(outside)1133.0.0.1-133.0.0.15
地址池1對應的IP是:133.0.0.1-133.0.0.15
PIX525(config)#global(outside)1133.0.0.1
地址池1只有一個IP地址133.0.0.1。
PIX525(config)#noglobal(outside)1133.0.0.1
表示刪除這個全局表項。
nat
地址轉換命令,將內網的私有ip轉換爲外網公網ip。
nat命令配置語法:nat(if_name)nat_idlocal_ip[netmark]
其中:
(if_name):表示接口名稱,一般爲inside.
nat_id:表示地址池,由global命令定義。
local_ip:表示內網的ip地址。對於0.0.0.0表示內網所有主機。
[netmark]:表示內網ip地址的子網掩碼。
在實際配置中nat命令總是與global命令配合使用。
一個指定外部網絡,一個指定內部網絡,通過net_id聯繫在一起。
例如:
PIX525(config)#nat(inside)100
表示內網的所有主機(00)都可以訪問由global指定的外網。
PIX525(config)#nat(inside)1172.16.5.0255.255.0.0
表示只有172.16.5.0/16網段的主機可以訪問global指定的外網。
route
route命令定義靜態路由。
語法:
route(if_name)00gateway_ip[metric]
其中:
(if_name):表示接口名稱。
00:表示所有主機
Gateway_ip:表示網關路由器的ip地址或下一跳。
[metric]:路由花費。缺省值是1。
例如:
PIX525(config)#routeoutside00133.0.0.11
設置缺省路由從outside口送出,下一跳是133.0.0.1。
00代表0.0.0.00.0.0.0,表示任意網絡。
PIX525(config)#routeinside10.1.0.0255.255.0.010.8.0.11
設置到10.1.0.0網絡下一跳是10.8.0.1。最後的“1”是花費。
常用命令有:nameif、interface、ipaddress、nat、global、route、static等。
nameif
設置接口名稱,並指定安全級別,安全級別取值範圍爲1~100,數字越大安全級別越高。
例如要求設置:
ethernet0命名爲外部接口outside,安全級別是0。
ethernet1命名爲內部接口inside,安全級別是100。
ethernet2命名爲中間接口dmz,安裝級別爲50。
使用命令:
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
interface
配置以太口工作狀態,常見狀態有:auto、100full、shutdown。
auto:設置網卡工作在自適應狀態。
100full:設置網卡工作在100Mbit/s,全雙工狀態。
shutdown:設置網卡接口關閉,否則爲激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet1100fullshutdown
ipaddress
配置網絡接口的IP地址,例如:
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252
PIX525(config)#ipaddressinside192.168.0.1255.255.255.0
內網inside接口使用私有地址192.168.0.1,外網outside接口使用公網地址133.0.0.1。
global
指定公網地址範圍:定義地址池。
Global命令的配置語法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外網接口名稱,一般爲outside。
nat_id:建立的地址池標識(nat要引用)。
ip_address-ip_address:表示一段ip地址範圍。
[netmarkglobal_mask]:表示全局ip地址的網絡掩碼。
例如:
PIX525(config)#global(outside)1133.0.0.1-133.0.0.15
地址池1對應的IP是:133.0.0.1-133.0.0.15
PIX525(config)#global(outside)1133.0.0.1
地址池1只有一個IP地址133.0.0.1。
PIX525(config)#noglobal(outside)1133.0.0.1
表示刪除這個全局表項。
nat
地址轉換命令,將內網的私有ip轉換爲外網公網ip。
nat命令配置語法:nat(if_name)nat_idlocal_ip[netmark]
其中:
(if_name):表示接口名稱,一般爲inside.
nat_id:表示地址池,由global命令定義。
local_ip:表示內網的ip地址。對於0.0.0.0表示內網所有主機。
[netmark]:表示內網ip地址的子網掩碼。
在實際配置中nat命令總是與global命令配合使用。
一個指定外部網絡,一個指定內部網絡,通過net_id聯繫在一起。
例如:
PIX525(config)#nat(inside)100
表示內網的所有主機(00)都可以訪問由global指定的外網。
PIX525(config)#nat(inside)1172.16.5.0255.255.0.0
表示只有172.16.5.0/16網段的主機可以訪問global指定的外網。
route
route命令定義靜態路由。
語法:
route(if_name)00gateway_ip[metric]
其中:
(if_name):表示接口名稱。
00:表示所有主機
Gateway_ip:表示網關路由器的ip地址或下一跳。
[metric]:路由花費。缺省值是1。
例如:
PIX525(config)#routeoutside00133.0.0.11
設置缺省路由從outside口送出,下一跳是133.0.0.1。
00代表0.0.0.00.0.0.0,表示任意網絡。
PIX525(config)#routeinside10.1.0.0255.255.0.010.8.0.11
設置到10.1.0.0網絡下一跳是10.8.0.1。最後的“1”是花費。