Cisco PIX 防火墙学习笔记
防火墙是指一台计算机或一组计算机,它在两个或多个网络之间实施一种访问控制策略。
防火墙的类型:
1、 数据包过滤器。 (在传送层或TCP/IP协议栈的internet层分析网络数据流)
2、 代理过滤器 (在OSI模型的4-7层检查数据包)
3、 状态型数据包过滤器 (为每个穿过防火墙建立的会话保持完整的会话信息)
Cisco PIX 防火墙的型号
Cisco Secure PIX 506 10M/s的测试吞吐量
Cisco Secure PIX 515 120M/s的测试吞吐量 处理125000个并发会话
Cisco Secure PIX 520 370M/s的测试吞吐量 处理250000个并发会话
Cisco Secure PIX 525 370M/s的测试吞吐量 处理280000个并发会话
Cisco Secure PIX 535 1G/s的测试吞吐量 处理500000个并发会话
535防火墙有三条独立的总线
槽位0和1 --- - 64bit/66Mhz 总线0
槽位2和3 --- - 64bit/66Mhz 总线1
槽位4和8 --- - 32bit/33Mhz 总线2
注意:四端口FE电路板只能安装在33Mhz的总线上
在同一条总线上,不能混用33MHZ和66MHZ的电路板。
只能在33MHZ总线安装VPN加速器。
常用命令
Show configure 显示flash中的配置文件
Write terminal 显示当前运行的配置
Show history 显示以前输入的命令行
Show interface 查看关于接口的信息
Show ip address 查看为网络接口分 配了哪些IP地址
Show memory 查看内存使用情况
Show version 查看*作系统版本
Show xlate 显示翻译槽位的信息
Show enable
Show conduit 查看所有的管道,最多8000个
No conduit 删除管道
Show static 显示PIX防火墙配置中的static命令语句
Enable password 修改访问特权模式的口令
Passwd 为访问PIX的Telnet设置口令,默认为cisco clear passwd
Write net 将配置文件存储到TFTP服务器上
Write erase 清除flash存储器中的配置文件
Write memory 将RAM中的配置替换flash中现存的配置
Write standby 将活跃PIX的RAM中的配置,写到备份PIX防火墙上的RAM中
Configure net 将当前运行配置与存储在一个指定IP地址中的配置合并
Configure memory 将运行配置与flash存储器中的配置合并
Who 查看当前通过telnet访问pix控制台的IP地址
Ping debug icmp trace命令监视ping的结果
telnet 指定哪些主机可以通过telnet访问pix
PIX的任意两个接口之间都形成了一个虚拟的防火墙
ASA(自适应安全算法)采用的安全级别的概念,安全级别指定一个接口相对于另一个接口是内部的还是外部的。
安全级别100,是最高安全级别,用于内部接口
安全级别0,是最低安全级别,用于外部接口
配置命令:
Nameif 为每个接口分配一个名字,并指定安全级别
Nameif hardware_id if_name security_level ( Nameif e0 outside sec0 )
Interface 确定硬件类型,设置硬件速度,并启用接口
Interface hardware_id hardware_speed [shutdown] ( interface e0 100f )
Ip address 为每个接口分配IP地址
Ip address if_name ip_address [netmask] ( ip address inside 192.168.1.10 255.255.255.0 )
Nat 网络地址翻译让用户能够保持内部IP地址对于外部网络是未知的。
定义了将要被翻译的、被信任的源地址
除nat 0 以外,nat 命令总是与global命令一起使用
Nat (if_name) nat_id local_ip [netmask] ( nat (inside) 1 0 0 )
说明:local_ip 在内部网络上的IP
Nat (inside) 1 0 0 允许所有的内部主机向外进行连接
Global 定义源地址将要翻译成的地址或地址范围
Global (if_name) nat_id interface 单一IP地址或一段IP地址 [netmask global_mask]
PIX防火墙采用全局地址,为内部NAT地址分配一个虚拟IP地址,在增加、改变或删除一条global命令语句后,应使用clear xlate 清除所有的翻译槽位。
Route 为接口定义一条静态路由
Route if_name ip_address netmask gateway_ip [metric]
说明:if_name 接口的名字,数据将通过这个接口离开pix
Ip_address 目的地网络IP地址
Gateway_ip 网关路由器的IP,指下一跳的地址
Metric 到gateway_ip的跳数,如不确定,就输1
防火墙的翻译
私有网络地址块
10.0.0.0 ---- 10.255.255.255 ( 前缀为10/8 )
172.16.0.0 ---- 172.31.255.255 ( 前缀为172.16/12 )
192.168.0.0 ---- 192.168.255.255 ( 前缀为192.168/16 )
本地地址 分配给内部主机的地址
全局地址 在建立一个通过PIX的会话时,本地地址将被翻译成的地址
外部地址 一台外部主机上的IP地址
Static 将本地地址永久地映射到全局地址(静态地址翻译)
Static (内部网络接口名称,外部网络接口名称) 全局IP地址 内部网络的本地IP地址 [netmask network_netmask] 每个IP地址的最大连接数量
Static (inside,outside) 192.168.1.101 10.0.1.10
Static (inside,outside) 192.168.1.0 10.0.1.0 翻译一个网段
Static (inside,outside) 192.168,1.10 10.0.1.10 翻译自身
动态地址翻译:将一段本地地址范围翻译成一段全局地址范围,称为NAT
将一段本地地址范围翻译成一个全局地址,称为PAT
Nat (inside) 1 0.0.0.0 0.0.0.0
Global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0
Static (inside,outside) 192.168.1.9 10.1.1.9
翻译和连接
Show xlate 显示翻译槽位
Clear xlate 删除翻译槽位
Show conn 显示所有活动的连接,这个命令显示连接数量,以及每条连接的源和目标IP地址与端口号。
配置通过PIX防火墙的访问(由外向内访问)
两种方法可以允许从外向内访问
1、 对合法请求的响应
2、 配置一个管道
PIX防火墙OS的最新版本提供了两种新的方法:一是使用access list ,另一种是使用加密。
Conduit 命令允许具有较低安全级别的接口流向具有较高安全级别的接口
Static 命令优先于nat 和 global命令组
例:用static和conduit命令来只允许HTTP访问
Static(inside,outside) 192.168.1.101 10.0.1.10 netmask 255.255.255.255
Conduit permit tcp any eq www host 172.16.1.1
Conduit permit|deny protocol global_ip global_mask [operator port[port]] foreign_ip foreign_mask [operator port[port]]
说明:permit 条件匹配,允许通过 deny 条件匹配,拒绝通过
Protocol 为连接指定传输协议,可能有 icmp tcp udp 或代表一个IP协议号(0~255之间)
Global_ip 全局IP地址,如果是所有,用any,如果是一台主机,前用host,省略netmask
Foreign_ip 可以访问global_ip的外部IP地址,如果是任意,用and,如果是一台主机,用host
Operator 一个比较运算符,可以指定一个端口或端口范围
1、 不指定运算符和端口就相当于指定了所有的端口
2、 Eq和一个端口号表示只对当前端口*作
3、 It和一个端口号表示对小于指定端口的所有端口*作
4、 Gt和一个端口号表示对大于指定端口的所有端口进行*作
5、 Neq和一个端口号表示对除了指定端口之外的所有端口进行*作
6、 Range和一个端口范围表示只对在指定端口范围内的端口进行*作
Nat 0 禁止地址翻译,使内部IP地址不经过翻译,而对于外部是可见的
Nat (dmz) 0 192.168.1.9 255.255.255.255
Conduit permit tcp host 192.168.1.9 eq www any
Fixup 允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙
Fixup protocol http 5000
Fixup protocol sqlnet 1521
Fixup protocol sqlnet 1523
Name 让pix能够在本地解析主机名到IP地址映射的一个列表
Names 命令用于启用name命令
例:names
Name ip_address name
系统日志
PIX防火墙的全部日志功能默认是被禁止的,使用logging on命令启用
Logging host 指定日志服务器的IP地址,还可以指定协议和端口,默认的UDP端口是514
Logging host [if_name] ip_address [protocol/port]
多个logging host命令,允许防火墙向多台服务器发送日志,会增加开销
Logging trap 决定什么级别的日志信息发送到服务器
Logging trap level
Logging buffered 向pix防火墙的内部存储器缓冲区发送系统日志信息
Logging buffered level
Show logging 查看缓冲区中的信息
Clear logging 清除缓冲区中的信息
Logging console 强制pix防火墙将系统日志消息显示到控制台端口。(会降低性能)
Logging console level
No logging console
Logging facility 设置被发送给日志服务器的系统日志消息的设备号
Logging facility facility
Logging monitor 将日志消息发送到pix防火墙的telnet会话
Logging monitor level
No logging monitor
Logging standby 让用于故障切换的备用单元也发送系统日志消息
Logging standby
No logging standby
Logging timestamps 强制pix用自己的内部时钟,为每条日志消息打上时间标记
Show clock 显示防火墙的时间是否被正确设置
一般将防火墙的时间设置为UTC,
Logging message
Logging message syslog_id
No logging message syslog_id 指定将要被抑制的系统日志消息
Show logging 列出启用了哪些日志选项
|
