一个思科PIX防火墙的实际应用配置.pdf

一个思科PIX防火墙的实际应用配置 一个思科PIX防火墙的实际应用配置 PIX：一个合法IP完成inside、outside和dmz之间的访问 现有条件： 100M宽带接入，分配一个合法的IP （222.134.135.98）（只有1个静态 IP是否够用？）；Cisco防火墙PiX515e-r-DMZ-BUN1台（具有Inside 、Outside、DMZ三个RJ45接口）！ 请问能否实现以下功能： 1、内网中的所有用户可以防问Internet和DMZ中的WEB服务器。 2、外网的用户可以防问DMZ区的Web平台。 3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中 的其它服务器。 注：DMZ区WEB服务器作为应用服务器，使用内网中的数据库服务器。 解决方案： 一、概述 本方案中，根据现有的设备，只要 1个合法的IP地址（电信的IP地址好 贵啊，1年租期 10000元RMB），分别通过PIX515所提供的NAT、PAT、 端口重定向、ACL和route功能完全可以实现所提的功能要求。 二、实施步骤 初始化Pix防火墙： 给每个边界接口分配一个名字，并指定安全级别 pix515e(config)#nameifethernet0outsidesecurity0 pix515e(config)#nameifethernet1insidesecurity100 pix515e(config)#nameifethernet2dmzsecurity50 给每个接口分配IP地址 pix515e(config)#ipaddressoutside222.134.135.98 255.255.255.252 pix515e(config)#ipaddressinside192.168.1.1255.255.255.0 pix515e(config)#ipaddressdmz10.0.0.1255.255.255.0 为Pix防火墙每个接口定义一条静态或缺省路由 pix515e(config)#routeoutside0.0.0.00.0.0.0222.134.135.971 （通过IP地址为222.134.135.97的路由器路由所有的出站数据包／外部 口／） pix515e(config)#routedmz10.0.0.0255.255.255.010.0.0.11 pix515e(config)#routeinside192.168.1.0255.255.255.0 192.168.1.11 pix515e(config)#routeoutside222.134.135.96255.255.255.252 222.134.135.981 配置Pix防火墙作为内部用户的DPCH服务器 pix515e(config)#dhcpdaddress192.168.1.2-192.168.1.100inside pix515e(config)#dhcpddns202.102.152.3202.102.134.68 pix515e(config)#dhcpdenableinside 思科PIX防火墙命令集解释说明 思科PIX防火墙命令集解释说明 Aaa 允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+ 或RADIUS用户认证、授权和帐户 Aaa-server指定一个AAA服务器 Access-group 将访问列表名绑定到接口名以允许或拒绝IP信息包进入 口 Access-list创建一个访问列表 Alias管理双向NAT中的重叠地址 Arp改变或查看ARP缓存，设置超时值 Auth-prompt改变AAA 的提示文本 Ca配置PIX防火墙和CA的交互 Clock设置PIX防火墙时钟以供PIX防火墙系统日志服务器和PKI协议使 用 Conduit为向内连接添加、删除或显示通过防火墙的管道 Configure清除或融合当前配置与软盘或闪存中的配置。进入配置模式或查 看当前配置 Cryptodynamic-map创建、查看或删除一个动态加密映射项。 Cryptoipsec创建、查看或删除与加密相关的全局值 Cryptomap 创建、查看或删除一个动态加密映射项，也用来删除一个加 密映射集 Deb