.PIX防火墙系列介绍(二).pptVIP

基本安全策略 PIX有动态转换槽（translate slots）和静态转换槽两种穿越方式，两者统称为“xlate”（这个概念应用到PIX的具体配置中）。用global创建动态转换；用static实现静态转换。 show xlate 任何没有进行连接和无状态的包不能通过PIX防火墙； 除了访问列表中专门被拒绝的以外，向外的连接或状态是允许的； 除被管道命令（conduit）允许的外，向内的连接或状态被拒绝； 所有ICMP包被拒绝（ping），除非conduit permit icmp； 网络地址转换 NAT：网络地址转换。转换向外发送的包的原地址。不但支持动态转换，还支持静态转换。 PAT：端口地址转换。 NAT为每个内部主机提供一个全局唯一地址，PAT可以同时访问多达64k个内部主机共享一个全局唯一地址。 IP地址 除了A、B、C类IP地址的说法外 ，防火墙还引入了几个名称，必须对这几个名称的含义弄清楚。 本地IP（Inside IP） 内部受保护的网络中未转换的IP地址。 由本地IP发起的向外连接中，本地IP地址被转换为全局IP，在返回的路径上，全局IP被转换为本地IP，这个过程就是NAT。 如果禁止本地IP到全局IP的转换，使用nat 0 0 0 外部IP（Outside IP） 外部网络中主机的地址 全局IP（Global IP） 用global、static命令声明的地址。 安全级别 内部通常为最高级别100，外部通常为最低级别0。边界接口（DMZs）为1～99的任意值。 当较高安全级别接口的用户需要访问较低安全接口的主机时，使用NAT命令。 如果要使用NAT指定哪个较低安全接口可以接受转换的地址（也许，你使用的防火墙不仅仅只有inside和outside接口），则使用global命令。 当较低安全级别接口的用户需要访问较高安全接口的主机时，使用static命令。将conduit和static命令联合使用来指定用户可以访问的服务。 安全级别（续） 安全级别（续） 具有相同安全级别的接口不能互相访问。例如：如果把边界接口设置为相同的安全级别，两个接口之间是完全隔离的，但每个都能访问对内和对外的接口。 所以，各接口的安全级别尽量设置为不一样，以便进行访问控制。 主要命令 防火墙的几个主要配置命令： nameif interface ip address nat global static conduit route nameif 给接口命名，并指定安全级别 nameif hardware_id if_name security_level 例： nameif ethernet0 outside security0 //e0口接入外部网络，安全级别最低 nameif ethernet1 inside security100 //e1口接入内部网络，安全级别最高 如果命令输入错了或者想要取代已经输入的命令，直接输入新的命令即可，下面的IP地址配置也可进行同样的操作。 ip address 指定接口的ip地址 ip address if_name ip_address [netmask] 例： ip address outside ip address inside interface 指定接口的速度和双工状态，也用于激活接口。防火墙在第一次使用时，端口开通是shutdown的。 interface hardware_id [hardware_speed] [shutdown] 例： interface ethernet0 auto interface ethernet0 100full 建立连接 原则 安全级别高的接口访问安全级别低的接口，如inside到outside的访问，使用nat和global。 安全级别低的接口访问安全级别高的接口，如outside到inside的访问，使用static和conduit。 nat和global nat允许指定的内网IP地址向外建立连接关系，并与global建立一一对应关系。 nat指定连接从哪个接口出发；global指定在哪个接口连接可以发生。nat和global命令语句中的nat_id必须相同。 ? nat允许（或禁止）一个或多个内部地址可以进行转换。 nat 0命令禁止地址转换。 nat 1 0 0表示所有向外的连接都可以利用地址转换来通过防火墙。 global命令定义一个地址池。池内的全局地址为每一个向外的连接和由此引起的向内连接提供一个IP地址。 改变和删除了了nat和global命令后，使用clear xlate命令使配置生效（也可以通过wr mem使配置生效）。 na