PIXVPN的设备介绍.ppt

防火墙技术 防火墙的类型 专用防火墙－PIX PIX（Private Internet eXchange），它的设计是为了满足高级别的安全需求，以较好的性能价格比提供严密的、强有力的安全防范。除了具备第四类防火墙(软硬件结合)的共同特性，并囊括了IOS Firewall Feature Set的应有功能。 PIX成为Cisco在网络安全领域的旗舰产品已有一段历史了，它的软硬件结构也经历了较大的发展。现在的PIX有501,506E,515E,525,535等型号（520系列容量大于515系列，SPOTO的是PIX 525），从原来的仅支持两个10M以太网接口，到10/100M以太网、令牌环网和FDDI的多介质、多端口（最多4个）应用；其专用操作系统从v5.0开始提供对IPSec这一标准隧道技术的支持，使PIX能与更多的其它设备一起共同构筑起基于标准VPN连接。 PIX Firewall 家族 ASA 防火墙家族 Cisco PIX 501防火墙 设计用于小型网络和远程办公 7500 条并发连接 60-Mbps明文吞吐量 支持接口 支持一个10/100BASE-T* 以太网接口(outside) 有四个 10/100 交换以太网口 (inside) VPN 吞吐量 3-Mbps 3DES 4.5-Mbps 128-bit AES 可同时连接十个VPN对等体 PIX Firewall 501: 面板 LEDs PIX Firewall 501: 背板 Cisco PIX 506E 防火墙 是针对远程办公和分支机构办公环境 设计的提供 25,000 并发连接 提供100-Mbps 明文吞吐量 支持两种接口: 10/100BASE-T* 两个VLANs* 提供的VPN 吞吐量 17-Mbps 3DES 30-Mbps 128-bit AES 可同时容纳连接25个 VPN对等体 PIX Firewall 506E: 面板 LEDs PIX Firewall 506E: 背板 Cisco PIX 515E 防火墙 PIX Firewall 515E: 面板 LEDs PIX Firewall 515E: 背板 PIX Firewall 515E: 固定接口连接器 PIX Firewall 515E: 扩展插槽可选卡 PIX Firewall 515E: 快速以太网口卡编号 Cisco PIX 525 防火墙 PIX Firewall 525: 面板 LEDs PIX Firewall 525: 背板 PIX Firewall 525: 固定接口 PIX Firewall 525: 扩展卡 和VACs Cisco PIX 535 防火墙 PIX 535: 面板 LEDs PIX 535: 背板 PIX Firewall 535: 可选卡 PIX 535: 背板 防火墙的访问规则 内部地址NAT转换 动态内部NAT 动态转换 两个接口的 NAT 三个接口的 NAT Global NAT 和 Static NAT Global NAT: 为动态NAT 和PAT 实现地址转换 内部终端用户可以从地址池中获取一个有效的地址 主要用于终端用户的外部连接 Static 命令: 参数 Static 命令: WEB 服务器 Static 命令: FTP服务器 -发向外网 的包都被转换到DMZ 区域0 -FTP服务器的地址被永久映射. 网络 Static Static PAT: 端口重定向 用于建立一个映射地址和端口与一个真实地址和端口之间的永久地址转换: ①/www 重定向到 /www ②/ftp 重定向到 0/ftp Static PAT 命令（端口重定向） PIX零起点配置 PIX零起点配置我们需要掌握以下基本命令（以V7.0以上为例): 接口配置：Interface，Nameif，Security-level 地址转换：Nat，Global 内网远程登陆：Telnet，Passwd PIX零起点配置－1 1、接口配置： pix525(config)# interface ethernet 0 pix525(config-if)# ip address 54 pix525(config-if)# nameif outside //为接口命名，该名称可在后面应用接口的时候使用 pix525(config-if)# security-level 0 //指定接口安全等级，0为最低，表示接入的是外部网络，如果给接口命名时使用Outside，则接口安全等级自动设置为0，命名为Inside，则等级为100，为内部网络。设置DMZ时一般使用50 pix525(config)# interface ethe