PIXASA具有单个内部网络的PIX防火墙故障排除和配置介绍.PDFVIP

PIX/ASA：具有单个内部网络的PIX防火墙故障排除和配置 交互：本文档对您的 Cisco 设备进行自定义分析。 目录 简介 先决条件 要求 使用的组件 相关产品 规则 配置 网络图 PIX 6.x 配置 配置 PIX/ASA 7.x 及更高版本 验证 故障排除 故障排除命令 常见问题故障排除 建立 TAC 服务请求时应收集的信息 相关信息 简介 此示例配置演示如何配置安全设备，以便将公司网络与 Internet 分离。 先决条件 要求 内部网络具有 Internet 用户可以访问的 Web 服务器、邮件服务器和 FTP 服务器。外部用户对内部网络中主机的所有其它访问将被 拒绝。 Web 服务器的实际地址 - ；Internet 地址 邮件服务器的实际地址 - 5；Internet 地址 FTP 服务器的实际地址 - 0；Internet 地址 允许内部网络的所有用户对 Internet 进行无限制的访问。允许内部用户对 Internet 上的设备执行 ping 操作，但是不允许 Internet 用户对内部设备执行 ping 操作。 此配置中引用的公司从他们的 ISP (10.1.1.x) 处购买了 A 类网络。.1 和 .2 地址分别保留用于 PIX 的外部路由器和外部接口。 地址 .3 - .5 用于 Internet 用户可以访问的内部服务器。地址 .6 - .14 保留供外部用户可访问的服务器将来使用。 在这个示例中，PIX 防火墙有四个网络接口卡，但只有其中的两个处于使用状态。PIX 设置为向 IP 地址为 20 的内部 syslog 服务器（网络图中未显示）发送 syslog。 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco PIX 防火墙 535 Cisco PIX 防火墙软件版本 6.x 及更高版本 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是 真实网络，请确保您已经了解所有命令的潜在影响。 相关产品 此配置也可用于 Cisco 5500 系列自适应安全设备，这些设备运行版本 7.x 及更高版本。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意： 使用命令查找工具（仅限注册用户）可获取有关本部分所使用命令的详细信息。 网络图 本文档使用以下网络设置： 注意：此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用的 RFC 1918 /rfc/rfc1918.txt?number=1918 地址。 PIX 6.x 配置 注意： 非默认命令以粗体显示。 PIX Building configuration... : Saved : PIX Version 6.3(3) nameif gb-ethernet0 outside security0 nameif gb-ethernet1 inside security100 nameif ethernet0 intf2 security10 nameif ethernet1 intf3 security15 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall ! Output Suppressed ! Create an access list to allow pings out ! and return packets back in. access-list 100 permit icmp any any echo-reply access-list 100 permit icmp any any time-exceeded access-list 100 permit icmp any any unreachable ! Allows anyone on the Internet to connect to ! the web, mail, and FTP servers. access-list 100 permit