《2022年思科PIX防火墙命令大全 .pdf》由会员分享,可在线阅读,更多相关《2022年思科PIX防火墙命令大全 .pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、思科 PIX 防火墙命令大全一、 PIX 防火墙的认识PIX 是 Cisco 的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。PIX 有很多型号,并发连接数是PIX 防火墙的重要参数。PIX25 是典型的设备。PIX 防火墙常见接口有:console、Failover、Ethernet、 USB。网络区域:内部网络: inside 外部网络: outside 中间区域:称DMZ( 停火区 )。放置对外开放的服务器。二、防火墙的配置规则没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL 开放的服务器允许外部发起连接) ins
2、ide 可以访问任何outside 和 dmz 区域。dmz 可以访问outside 区域。inside 访问 dmz 需要配合static(静态地址转换)。outside 访问 dmz 需要配合acl(访问控制列表 )。三、 PIX 防火墙的配置模式PIX 防火墙的配置模式与路由器类似,有4 种管理模式:PIXfirewall :用户模式PIXfirewall# :特权模式PIXfirewall(config)#:配置模式monitor :ROM 监视模式,开机按住Esc 键或发送一个“Break”字符,进入监视模式。四、 PIX 基本配置命令常用命令有: nameif、 interface
3、、ipaddress、nat、global、route、static 等。1、 nameif 设置接口名称,并指定安全级别,安全级别取值范围为1100,数字越大安全级别越高。例如要求设置:ethernet0 命名为外部接口outside,安全级别是0。ethernet1 命名为内部接口inside,安全级别是100。ethernet2 命名为中间接口dmz,安装级别为50。使用命令:PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet1 inside security100 PIX525
4、(config)#nameif ethernet2 dmz security50 2、 interface 配置以太口工作状态,常见状态有:auto、100full 、shutdown 。auto:设置网卡工作在自适应状态。100full:设置网卡工作在100Mbit/s ,全双工状态。shutdown:设置网卡接口关闭,否则为激活。命令:PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 100full PIX525(config)#interface ethernet1 100full shu
5、tdown 3、 ipaddress 配置网络接口的IP 地址,例如:PIX525(config)#ipaddress outside 133.0.0.1 255.255.255.252 PIX525(config)#ipaddress inside 192.168.0.1 255.255.255.0 内网 inside 接口使用私有地址192.168.0.1,外网 outside接口使用公网地址133.0.0.1。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 5 页
6、- - - - - - - - - 4、 global 指定公网地址范围:定义地址池。Global 命令的配置语法:global(if_name) nat_idip_address-ip_address netmarkglobal_mask 其中:(if_name):表示外网接口名称,一般为outside。nat_id:建立的地址池标识(nat 要引用 )。ip_address-ip_address:表示一段ip 地址范围。netmarkglobal_mask :表示全局ip 地址的网络掩码。例如:PIX525(config)#global(outside)1 133.0.0.1-133.0.
7、0.15 地址池 1 对应的 IP 是: 133.0.0.1-133.0.0.15 PIX525(config)#global(outside)1 133.0.0.1 地址池 1 只有一个 IP 地址 133.0.0.1。PIX525(config)#noglobal(outside)1 133.0.0.1 表示删除这个全局表项。5、 nat 地址转换命令,将内网的私有ip 转换为外网公网ip。nat 命令配置语法:nat(if_name) nat_idlocal_ip netmark 其中:(if_name):表示接口名称,一般为inside. nat_id:表示地址池,由global 命令
8、定义。local_ip:表示内网的ip 地址。对于0.0.0.0 表示内网所有主机。netmark :表示内网ip 地址的子网掩码。在实际配置中nat 命令总是与global 命令配合使用。一个指定外部网络,一个指定内部网络,通过net_id 联系在一起。例如:PIX525(config)#nat(inside)100 表示内网的所有主机(00)都可以访问由global 指定的外网。PIX525(config)#nat(inside)1 172.16.5.0 255.255.0.0 表示只有172.16.5.0/16 网段的主机可以访问global 指定的外网。6、 route route 命
9、令定义静态路由。语法:route(if_name)00 gateway_ip metric 其中:(if_name):表示接口名称。00:表示所有主机Gateway_ip:表示网关路由器的ip 地址或下一跳。metric :路由花费。缺省值是1。例如:PIX525(config)#route outside00 133.0.0.1 1 设置缺省路由从outside 口送出,下一跳是133.0.0.1。00 代表 0.0.0.0 0.0.0.0,表示任意网络。PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1 设置到 10.1.
10、0.0 网络下一跳是10.8.0.1。最后的“ 1”是花费。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 5 页 - - - - - - - - - 7、 static 配置静态IP 地址翻译,使内部地址与外部地址一一对应。语法:static(internal_if_name ,external_if_name) outside_ip_addr inside_ip_address 其中:internal_if_name 表示内部网络接口,安全级别较高,如inside。e
11、xternal_if_name 表示外部网络接口,安全级别较低,如outside。outside_ip_address 表示外部网络的公有ip 地址。inside_ip_address 表示内部网络的本地ip 地址。(括号内序顺是先内后外,外边的顺序是先外后内) 例如:PIX525(config)#static(inside ,outside)133.0.0.1 192.168.0.8 表示内部ip 地址 192.168.0.8,访问外部时被翻译成133.0.0.1 全局地址。PIX525(config)#static(dmz ,outside)133.0.0.1 172.16.0.2 中间区
12、域ip 地址 172.16.0.2,访问外部时被翻译成133.0.0.1 全局地址。8、 conduit 管道 conduit 命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。例如允许从outside 到 DMZ 或 inside 方向的会话 (作用同访问控制列表)。语法:Conduit permit deny protocol global_ipport-port foreign_ipnetmask 其中:global_ip 是一台主机时前面加host 参数,所有主机时用any 表示。foreign_ip 表示外部ip。netmask 表示可以是一台主机或一个网络。例如:P
13、IX525(config)#static(inside ,outside)133.0.0.1 192.168.0.3 PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any 这个例子说明static 和 conduit 的关系。 192.168.0.3 是内网一台web 服务器,现在希望外网的用户能够通过PIX 防火墙访问web 服务。所以先做static 静态映射: 192.168.0.3 133.0.0.1 然后利用conduit 命令允许任何外部主机对全局地址133.0.0.1 进行 http 访问。9、访问控制列表ACL
14、访问控制列表的命令与couduit 命令类似,例:PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside 10、侦听命令fixup 作用是启用或禁止一个服务或协议,通过指定端口设置PIX 防火墙要侦听listen 服务的端口。例:PIX525(config)#fixup protocol ftp 21 启用 ftp 协议
15、,并指定ftp 的端口号为21 PIX525(config)#fixup protocol http 8080 PIX525(config)#nofixup protocol http 80 启用 http 协议 8080 端口,禁止80 端口。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 5 页 - - - - - - - - - 11、 telnet 当从外部接口要telnet 到 PIX 防火墙时, telnet 数据流需要用vpn 隧道 ipsec提供保护或在
16、PIX 上配置 SSH,然后用SSHclient 从外部到PIX 防火墙。例:telnet local_ip netmask local_ip 表示被授权可以通过telnet 访问到 PIX 的 ip 地址。如果不设此项,PIX 的配置方式只能用console 口接超级终端进行。12、显示命令:Show interface ;查看端口状态。Show static ;查看静态地址映射。Show ip;查看接口ip 地址。Show config ;查看配置信息。Show run;显示当前配置信息。Write terminal ;将当前配置信息写到终端。Show cpuusage;显示 CPU 利用
17、率,排查故障时常用。Show traffic ;查看流量。Show blocks ;显示拦截的数据包。Show mem;显示内存13、 DHCP 服务PIX 具有 DHCP 服务功能。例:PIX525(config)#ip address dhcp PIX525(config)#dhcpd address192.168.1.100-192.168.1.200 inside PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47 PIX525(config)#dhcpd 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - -
18、- - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 5 页 - - - - - - - - - 五、 PIX 防火墙举例设:ethernet0命名为外部接口 outside,安全级别是 0。ethernet1被命名为内部接口inside,安全级别 100。ethernet2被命名为中间接口dmz,安全级别 50。PIX525#conft PIX525(config)#nameif ethernet0 outside security 0 PIX525(config)#nameif ethernet1 inside security 100 PIX525
19、(config)#nameif ethernet2 dmz security 50 PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 100full PIX525(config)#interface ethernet2 100full PIX525(config)#ip address outside 133.0.0.1 255.255.255.252; 设置接口 IP PIX525(config)#ip address inside 10.66.1.200 255.255.0.0; 设置接口
20、IP PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0; 设置接口 IP PIX525(config)#global(outside)1 133.1.0.1-133.1.0.14; 定义的地址池PIX525(config)#nat(inside)100;00 表示所有PIX525(config)#route outside00 133.0.0.2; 设置默认路由PIX525(config)#static(dmz,outside)133.1.0.1 10.65.1.101; 静态 NAT PIX525(config)#static(dmz
21、,outside)133.1.0.2 10.65.1.102; 静态 NAT PIX525(config)#static(inside,dmz)10.66.1.200 10.66.1.200; 静态 NAT PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www; 设置 ACL PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp; 设置 ACL PIX525(config)#access-list 101 deny ip any any
22、; 设置 ACL PIX525(config)#access-group 101 in interface outside; 将 ACL 应用在 outside端口当内部主机访问外部主机时,通过nat转换成公网 IP,访问 internet。当内部主机访问中间区域dmz 时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的 IP,到外部去找。当外部主机访问中间区域dmz 时,对 133.0.0.1映射成 10.65.1.101,static 是双向的。PIX 的所有端口默认是关闭的,进入PIX 要经过 acl 入口过滤。静态路由指示内部的主机和dmz的数据包从 outside口出去。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 5 页 - - - - - - - - -