PIX防火墙系列介绍(四).ppt

网络拓扑 Step1：标识端口 nameif ethernet0 outside security0 //e0口接入外部网络，安全级别最低 nameif ethernet1 inside security100 //e1口接入内部网络，安全级别最高 nameif ethernet2 mail security20 //e2口接入mail服务器网络，安全级别20 nameif ethernet3 erp security80 //e3口接入erp服务器网络，安全级别80 Step2：配置IP地址 ip address outside ip address inside ip address mail ip address erp Step3：激活接口 interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto interface ethernet3 auto Step4：nat nat (inside) 1 0 0 内部用户对outside、mail、erp这些较低安全级别的接口上启动连接 如果只有inside和outside两个接口，直接输入nat 1 0 0 nat（inside） 1 0 48 内部用户，只允许7－2（subnet：6；broadcast：3）6个主机进行连接 nat (erp) 1 0 0 使erp区域的用户对outside、mail接口上启动连接 nat (mail) 1 0 0 使mail区域的用户对outside接口上启动连接 Step5：global global（outside） 1 0- 0 global（outside） 1 Step6：static 目标： inside中的MCU（7）映射到公网地址0 mail中的mail 服务器要映射到公网1 erp中的erp服务器要映射到公网2 注意：static的地址不能使用global地址池中的地址。 static（inside，ouside）0 7 如果只有inside和outside，只需配置static 1 7 static（mail，ouside）1 static（erp，ouside） 2 Step7：conduit 目标： 只允许公网终端访问inside中的gk进行注册访问 只允许公网部分主机访问mail中的服务器进行访问 只允许公网主机访问erp中的服务器进行注册访问 conduit permit udp host 0 eq 1719 any conduit permit tcp host 1 eq snmp 211.96.102. 0 conduit permit tcp host 2 any Step8：route route if_name ip_address netmask gateway_ip [metric] ip_address：内部和外部网络地址。用 指定缺省路由，可缩写为0 route outside 1 问题： “网络拓扑”中，172.96.x.x子网，有一台主机0要在防火墙的外部接口上做静态映射为1，分别在防火墙和路由器上，如何配置路由？ 解读配置 PIX Version 6.0(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 mail security20 nameif ethernet3 erp security80 //定义接口 enable password 8Ry2YjIyt7RRXU24 encrypted //进入特权模式的密码 passwd 2KFQnbNIdI.2KYOU encrypted //telnet的密码 hostname ciscopix //配置防火墙的名字 解读配置（续） fixup protocol ftp 21 fixup protocol http 80 …… no fixup protocol sip 5060 no fixup protocol h323 //fixup protocol 允许查看、改变、允许、取消相关协议在一定端口通过防火墙。端口号可以改变，但一旦改变后，以前的绑定端口无效。 fixup protocol 是全局的，对入和出连接都有效。 //例如将ftp的协议端口由缺省的改为2011，那么所有ftp的连接必须在2011