1. 连接一台控制终端
通常使用 PIX 上的 CONSOLE 端口对防火墙进行管理和配置。当防火墙配置好以后,也可以通过 telnet 方式管理防火墙,但出于安全性的考虑,还是尽量不要开放 telnet 功能。使用 CONSOLE 端口的具体方法如下。
使用串行电缆将 PIX 与 PC 机的串口进行连接,在 Windows 中打开“超级终端”,进入“新建连接”,并为新连接命名,比如“ PIX ”;选择“使用 COM1 ”,且在 COM1 属性框中定义速度为 9600bps ,数据位为 8 ,校验为 None ,停止位为 1 , Flow control 为 Hardware ;然后单击“ OK ”,接着打开 PIX 防火墙电源,在终端窗口中应当看到启动信息。如果看不到启动信息 , 说明电缆连接有问题。
2. 获得最新 PIX 软件
从 Cisco 公司的 WWW 或 FTP 站点上,我们可以获得 PIX 的最新软件 , 主要包括如下内容。
pix44n.exe —— PIX 防火墙的软件映像文件。
pfss44n.exe——PIX Firewall Syslog Server 服务器软件 , 能够提供一个 Windows NT 服务 , 用来记录 PIX 的运行日志。
pfm432b.exe ——图形化的 PIX 管理软件。
rawrite.exe ——用于生成 PIX 的启动软盘。
3. 配置网络路由
在使用防火墙的内部网段上,需要将每台计算机的缺省网关指向防火墙,比如防火墙内部 IP 地址为 10.0.0.250 ,则内部网段上的每台计算机的缺省网关都要设置为 10.0.0.250 。具体设置在“控制面板” * “网络” * “ TCP/IP 协议”中进行。
4. 配置 PIX
在配置 PIX 之前,应该对网络进行详细的规划和设计,搜集需要的网络配置信息。要获得的信息如下。
1. 每个 PIX 网络接口的 IP 地址。
2. 如果要进行 NAT, 则要提供一个 IP 地址池供 NAT 使用。 NAT 是网络地址转换技术,它可以将使用保留地址的内部网段上的机器映射到一个合法的 IP 地址上以便进行 Internet 访问。
3. 外部网段的路由器地址。
进入 PIX 配置界面的方法是:连接好超级终端,打开电源,在出现启动信息和出现提示符 pixfirewall> 后输入“ enable ”,并输入密码,进入特权模式;当提示符变为 pixfirewall#> 后,输入“ configure terminal ”,再进入配置界面。
在配置过程中,我们可以使用 write terminal 命令查看当前配置,使用 write memory 保存配置信息到 Flash Memory 。
5. 配置网络接口
PIX 使用 nameif 和 ip address 命令进行网络接口配置。
首先使用下面的语句定义内部网段和外部网段的网络接口。
nameif ethernet0 outside security0
nameif ethernet1 inside security100
PIX 防火墙使用 Intel 的 10/100Mbps 网卡,使用下面的命令定义接口配置为自适应。
interface ethernet0 auto
interface ethernet1 auto
最后,我们定义接口的 IP 地址和掩码。
ip address inside 10.0.0.250 255.255.255.0
ip address outside 202.12.29.205 255.255.255.248
6. 允许内部用户访问外部网段
在前面,我们定义了内部网段安全值为 100 ,外部网段安全值为 0 。用户在安全值高的区域访问安全值低的区域,需要使用 nat 和 global 命令;相反地,如果允许安全值低的区域的用户访问安全值高的区域的用户,则需要使用 static 和 conduit 命令。
nat (inside) 1 0 0
global (outside) 1 202.12.29.206 netmask 255.255.255.248
其中 1 为 NAT ID ,两个语句中的 NAT ID 应一样。前一句表示允许所有机器对外访问,第二句定义 NAT 使用的地址池,由于大部分情况下,合法的 IP 地址并不多,因此在此例中只设置了一个合法 IP 地址 202.12.29.206 用来做地址转换。
7. 定义外部路由
对于外部网段,还需要定义外部路由,它是防火墙外部网段的缺省路由: route outside 0 0 202.12.29.202 1 。其中 0 0 表示外部网段的缺省路由, 1 表示从防火墙到路由器只有一个 hop 。
8. 允许使用 ping 命令
conduit permit icmp any any 此命令允许在内部网段和外部网段使用 ping 命令进行网络测试。因为 ping 命令使用的是 ICMP 协议,在设置和调试期间,一般开放此功能,当防火墙工作正常后,也可以关闭此项功能。
9. 保存设置和重新启动
使用 write memory 命令将配置信息写入 flash memory 。使用 reload 命令重新启动防火墙。
10. 增加 telnet 访问控制
在 PIX 中,我们可以定义只允许某些机器通过 telnet 访问防火墙。需要注意的是,这里进行 telnet 访问的机器必须在内部网段上,以增强安全性。
telnet 10.0.0.204 255.255.255.255 // 即允许 10.0.0.204 这台机器使用 telnet 访问防火墙。
telnet timeout 15 // 即将空闲时间设置为 15 分钟,当访问防火墙的机器 15 分钟内没有任何操作时,将自动断开连接。
telnet 访问的缺省口令是 cisco ,可以通过 passwd 命令来修改口令。
测试 telnet 时,我们可以使用命令 debug icmp trace 来获得更多的信息。
11. 增加服务器访问控制
缺省情况下, PIX 拒绝所有来自外部网段的访问请求。当 WWW 服务器等设备放在防火墙的内部网段上时,为了使外部网络上的用户可以访问到,必须使用 static 和 conduit 命令来进行配置。
下面,我们给出允许外部网络访问内部网络上的 WWW 服务器的命令。
static (inside,outside) 202.12.29.204 10.0.0.204 netmask 255.255.255.255
conduit permit tcp host 202.12.29.204 eq www any
其中,第一个命令将在内部网段的 WWW 服务器 10.0.0.204 映射一个外部合法地址 202.12.29.204 ;第二个命令允许所有外部主机通过 tcp port 80 访问 202.12.29.204 这台服务器。
接着,我们再给出一个允许外部网络访问内部网络上的邮件服务器 10.0.0.203 的命令。
static (inside,outside) 202.12.29.203 10.0.0.203 netmask 255.255.255.255
conduit permit tcp host 202.12.29.203 eq smtp any
12. 控制内部网段对外的访问
使用 outbound 和 apply 命令进行组合,可以控制内部网段的机器能否对外进行访问,举例说明如下。
outbound 10 deny 10.0.0.0 255.255.255.0 irc tcp
outbound 10 permit 10.0.0.204 255.255.255.255 irc tcp
apply (inside) 10 outgoing_src 如果不想让内部用户使用 CHAT 功能,可以采用第一条命令,禁止 10.0.0.1 ~ 10.0.0.255 的所有机器使用 CHAT 功能访问外部站点;第二条命令允许 10.0.0.204 这台机器通过 irc 协议访问外部站点 ; 第三条命令将前面的命令应用在 inside ,也就是内部网段上。
outbound 20 deny 202.102.224.25 255.255.255.255 www tcp
apply (inside) 20 outgoing_dest
通过对以上 2 条命令的组合使用,我们可以禁止内部网段上的所有机器访问外部网络的 WWW 服务器 202.102.224.25 。
到此为止,我们已经介绍了在网络管理中通常会使用到的一些设置命令,其实还有一些其他相关的设置命令,大家可以查阅 PIX 的文档或者访问 Cisco 公司的网站以获取最新的资料。
总的来说,如果用户希望得到一台网络性能较高但不需要广泛的监视功能或应用程序过滤功能的企业级防火墙, Cisco PIX 将会是一个不错的选择。 | 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)