防火墙CISCO-PIX525的配置基础知识.docVIP

防火墙CISCO-PIX525的配置基础知识防火墙CISCO-PIX525的配置基础知识- - ?????????????????????????????????????? 现在，我们通过一个相对简单的示例说明如何使用Cisco PIX对企业内部网络进行管理。网络拓扑图如附图所示。Cisco PIX安装2个网络接口，一个连接外部网段，另一个连接内部网段，在外部网段上运行的主要是DNS服务器，在内部网段上运行的有WWW服务器和电子邮件服务器，通过Cisco PIX，我们希望达到的效果是：对内部网络的所有机器进行保护，WWW服务器对外只开放80端口，电子邮件服务器对外只开放25端口。具体*作步骤如下。 　　2．获得必威体育精装版PIX软件 　　---- 从Cisco公司的WWW或FTP站点上，我们可以获得PIX的必威体育精装版软件,主要包括如下内容。 　　　　pix44n.exe——PIX防火墙的软件映像文件。 　　pfss44n.exe——PIX Firewall Syslog Server服务器软件,能够提供一个Windows NT服务,用来记录PIX的运行日志。 　　pfm432b.exe——图形化的PIX管理软件。 　　rawrite.exe——用于生成PIX的启动软盘。 　　3．配置网络路由 　　---- 在使用防火墙的内部网段上，需要将每台计算机的缺省网关指向防火墙，比如防火墙内部IP地址为50，则内部网段上的每台计算机的缺省网关都要设置为50。具体设置在“控制面板”*“网络”*“TCP/IP协议”中进行。 　　4．配置PIX 　　---- 在配置PIX之前，应该对网络进行详细的规划和设计，搜集需要的网络配置信息。要获得的信息如下。 　　　　---- （1）每个PIX网络接口的IP地址。 　　 （2） 如果要进行NAT,则要提供一个IP地址池供NAT使用。NAT是网络地址转换技术，它可以将使用保留地址的内部网段上的机器映射到一个合*的IP地址上以便进行Internet访问 　　（3） 外部网段的路由器地址。 　　　　---- 进入PIX配置界面的方*是：连接好超级终端，打开电源，在出现启动信息和出现提示符 pixfirewall后输入“enable”，并输入密码，进入特权模式；当提示符变为 pixfirewall#后，输入“configure terminal”，再进入配置界面。 　　　　---- 在配置过程中，我们可以使用write terminal命令查看当前配置，使用write memory保存配置信息到Flash Memory。 　　5．配置网络接口 　　---- PIX使用nameif和ip address命令进行网络接口配置。 　　　　---- 首先使用下面的语句定义内部网段和外部网段的网络接口。 　　---- nameif ethernet0 outside security0 　　---- nameif ethernet1 inside security100 (外低内高) 　　　　---- PIX防火墙使用Intel的10/100Mbps网卡，使用下面的命令定义接口配置为自适应。 　　---- interface ethernet0 auto 　　---- interface ethernet1 auto 　　　　---- 最后，我们定义接口的IP地址和掩码。 　　---- ip address inside 50 　　---- ip address outside 05 48 　　6．允许内部用户访问外部网段 　　---- 在前面，我们定义了内部网段安全值为100，外部网段安全值为0。用户在安全值高的区域访问安全值低的区域，需要使用nat和global命令；相反地，如果允许安全值低的区域的用户访问安全值高的区域的用户，则需要使用static和conduit命令。 　　---- nat (inside) 1 0 0 　　---- global (outside) 1 06 netmask 48 　　　　---- 其中1为NAT ID，两个语句中的NAT ID应一样。前一句表示允许所有机器对外访问，第二句定义NAT使用的地址池，由于大部分情况下，合*的IP地址并不多，因此在此例中只设置了一个合*IP地址06用来做地址转换。 　　7．定义外部路由 　　---- 对于外部网段，还需要定义外部路由，它是防火墙外部网段的缺省路由：route outside 0 0 02 1。其中0 0表示外部网段的缺省路由，1表示从防火墙到路由器只有一个hop。 　　7.1 广播RIP 　　----rip outside passive 　　----rip