实验四、防火墙的基本配置.doc

实验四、防火墙的基本配置 1．实验目的 通过对防火墙系统的安装与配置实验，加深对防火墙系统工作原理理解，掌握其常见产品的安装与配置方法，为将来从事网络工程建设打下基础。 2．实验要求 通过本实验，熟悉防火墙的有关概念和基本功能，掌握防火墙的基本参数配置方法和安全策略配置方法。 3．实验步骤 Cisco firewall pix防火墙的配置主要包括基本参数的配置和安全规则配置。接口的配置User Access Verification Password: 　　输入口令（缺省口令为cisco）后就可进入一般用户命令状态（提示符为），为了对防火墙参数进行配置，需要进入特权用户状态，PIX出厂时特权用户密码为空，修改密码用passwd 命令： PIXenable //进入特权用户状态 Password: PIX# 在默认情况下，ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside已经被激活生效了，但是outside必须通过命令激活。 //进入配置状态 PIX#config t //激活以太接口PIX(config)#interface ethernet0 auto PIX(config)#interface ethernet1 auto //关闭以太接口(config)#interface ethernet0 shutdownPIX(config)#interface ethernet1 shutdown //配置IP地址和子网掩码 假设内部网络为： ，外部网络为： ： PIX(config)#ip address inside PIX(config)#ip address outside //定义安全级别 security0是外部端口outside的安全级别（0安全级别最高）,security100是内部端口inside的安全级别,如果还有其他以太口，则可以security10，security20等命名： PIX(config)#nameif ethernet0 outside security0 PIX(config)#nameif ethernet1 inside security100 //如果PIX有三个接口，则可将一个以太口作为dmz(demilitarized zones非武装区域)，安全级别50(config)#nameif ethernet2 dmz security50 //配置远程访问[telnet] 在默认情况下，PIX的以太端口不允许telnet，可使用下面的命令允许: PIX(config)#telnet inside PIX(config)#telnet outside 3.3 访问控制配置 访问列表是防火墙的主要功能配置部分，防火墙有permit和deny两种访问控制权限，可控制的网络协议一般有ip、tcp、udp、icmp等。 例如，在内网只允许访问外网主机:54的www服务： PIX(config)#access-list 100 permit ip any host 54 eq www PIX(config)#access-list 100 deny ip any any PIX(config)#access-group 100 in interface outside 访问规则一般通过GUI界面来配置比较直观和方便，PIX 缺省时内部端口ethernet1的IP为，这样可以通过浏览器的https协议来访问PIX的WEB配置界面(缺省时用户名和密码为空)并根据界面的提示信息来配置PIX防火墙系统： /startup.html 3.4 全局地址global命令地址或一段地址范围lobal命令的语法：global (if_name) Nat_ID ip_address - ip_address [netmark global_mask] 其中（if_name）表示接口名字如outside，Nat_用来标识地址池，ip_address -ip_address表示单个ip地址或一段ip地址范围[netmark global_mask]表示全局ip地址的网络掩码。例如：5 到 8的全局外网IP地址池PIX(config)# global (outside) 100 5 - 8 //定义一个全局外网IP地址5PIX(config)#global (outside) 200 5 netmask  //删除(config)#no global (outside) 200 5 3.5 动态地址转换 动态网络地址（）作用是将内网的私有