《PIX防火墙系列介绍(二)》由会员分享,可在线阅读,更多相关《PIX防火墙系列介绍(二)(22页珍藏版)》请在金锄头文库上搜索。
1、*1中兴通讯 中国兴旺 http:/*2基本安全策略 PIX有动态转换槽(translate slots)和静态转换槽两种 穿越方式,两者统称为“xlate”(这个概念应用到PIX的 具体配置中)。用global创建动态转换;用static实现静 态转换。 show xlate 任何没有进行连接和无状态的包不能通过PIX防火墙; 除了访问列表中专门被拒绝的以外,向外的连接或状 态是允许的; 除被管道命令(conduit)允许的外,向内的连接或状 态被拒绝; 所有ICMP包被拒绝(ping),除非conduit permit icmp ; *3网络地址转换 NAT:网络地址转换。转换向外发送的包
2、的原 地址。不但支持动态转换,还支持静态转换。 PAT:端口地址转换。 NAT为每个内部主机提供一个全局唯一地址, PAT可以同时访问多达64k个内部主机共享一 个全局唯一地址。 *4IP地址除了A、B、C类IP地址的说法外 ,防火墙还引入了几个名称 ,必须对这几个名称的含义弄清楚。 本地IP(Inside IP)内部受保护的网络中未转换的IP地址。 由本地IP发起的向外连接中,本地IP地址被转换为全局IP, 在返回的路径上,全局IP被转换为本地IP,这个过程就是NAT。 如果禁止本地IP到全局IP的转换,使用nat 0 0 0 外部IP(Outside IP)外部网络中主机的地址 全局IP(
3、Global IP)用global、static命令声明的地址。 *5安全级别 内部通常为最高级别100,外部通常为最低级 别0。边界接口(DMZs)为199的任意值。 当较高安全级别接口的用户需要访问较低安全 接口的主机时,使用NAT命令。 如果要使用NAT指定哪个较低安全接口可以接 受转换的地址(也许,你使用的防火墙不仅仅 只有inside和outside接口),则使用global命令 。 当较低安全级别接口的用户需要访问较高安全 接口的主机时,使用static命令。将conduit和 static命令联合使用来指定用户可以访问的服务 。*6安全级别(续)*7安全级别(续) 具有相同安全级
4、别的接口不能互相访问 。例如:如果把边界接口设置为相同的 安全级别,两个接口之间是完全隔离的 ,但每个都能访问对内和对外的接口。 所以,各接口的安全级别尽量设置为不 一样,以便进行访问控制。 *8主要命令防火墙的几个主要配置命令: nameif interface ip address nat global static conduit route*9nameif给接口命名,并指定安全级别 nameif hardware_id if_name security_level 例: nameif ethernet0 outside security0 /e0口接入外部网络,安全级别最低 namei
5、f ethernet1 inside security100 /e1口接入内部网络,安全级别最高 如果命令输入错了或者想要取代已经输入的命 令,直接输入新的命令即可,下面的IP地址配 置也可进行同样的操作。*10ip address指定接口的ip地址 ip address if_name ip_address netmask 例: ip address outside 211.96.102.1 255.255.255.0 ip address inside 10.50.56.1 255.255.0.0*11interface指定接口的速度和双工状态,也用于激 活接口。防火墙在第一次使用时,端口
6、 开通是shutdown的。 interface hardware_id hardware_speed shutdown 例: interface ethernet0 auto interface ethernet0 100full*12建立连接原则 安全级别高的接口访问安全级别低的接 口,如inside到outside的访问,使用nat和 global。 安全级别低的接口访问安全级别高的接 口,如outside到inside的访问,使用static 和conduit。*13nat和global nat允许指定的内网IP地址向外建立连接关系,并与 global建立一一对应关系。 nat指定连接
7、从哪个接口出发;global指定在哪个接口连 接可以发生。nat和global命令语句中的nat_id必须相同 。 nat允许(或禁止)一个或多个内部地址可以进行转换 。 nat 0命令禁止地址转换。 nat 1 0 0表示所有向外的连接都可以利用地址转换来通 过防火墙。 global命令定义一个地址池。池内的全局地址为每一个 向外的连接和由此引起的向内连接提供一个IP地址。 改变和删除了了nat和global命令后,使用clear xlate命 令使配置生效(也可以通过wr mem使配置生效)。 *14nat和global(续) no nat (if_name) nat_id local_i
8、p netmask max_conns em_limit norandomseq 例: 如果只有inside和outside两个接口,直接输入nat 1 0 0 0 0代表由(xxx)指定区域的所有用户都可以启动连接nat(inside) 1 10.50.56.20 255.255.255.248 内部用户,只允许10.50.56.1710.50.56.22(subnet: 10.50.56.16;broadcast:10.50.56.23)6个主机进行连接 其中1代表NAT ID,必须与global命令中的NAT ID一致。当 为0时表示禁止NAT。*15nat和global(续) no g
9、lobal (if_name) nat_id global_ip-global_ip netmask global_mask global创建一个转换的连接可以通过的地址池。 必须要有足够的地址来处理每个接口上要进行访问的 用户数量,可以指定单一的PAT(端口地址转换), 它允许总共65000台主机使用。 PAT的地址必须要小于global的地址,先让内部连接使 用global地址池中的地址,再使用端口映射地址。这在 有H.323配置中尤为重要。 例: global(outside) 1 211.96.102.5 (netmask 255.255.255.0) global(outside)
10、1 211.96.102.10-192.96.102.20 (netmask 255.255.255.0)*16两个接口配置NAT示例*17多个接口配置NAT示例*18static和conduit static建立一个永久性的连接。 静态映射的地址,不能使用global中指定的地 址池中的地址。 static (high,low) low high 。 不要用关键字any来代替指定主机的IP地址。 改变和删除了了static和conduit命令后,使用 clear xlate命令使配置生效(也可以通过wr mem使配置生效)。 *19static和conduit (续) no static (
11、internal_if_name, external_if_name) global_ip local_ip netmask network_mask max_conns em_limit norandomseq 例: static(inside,outside) 211.96.102.124 10.30.244.84 (netmask 255.255.255.255)*20static和conduit (续) no conduit permit|deny protocol global_ip global_mask operator port port foreign_ip foreign_
12、mask operator port port conduit是允许(禁止)外部的某主机对映射的 全局地址进行访问。 例: conduit permit udp host 211.96.102.124 eq 1719 any*21route no route if_name ip_address netmask gateway_ip metric 例: route outside 0 0 192.96.1.2 1route inside 10.50.0.0 10.48.1.1 1*22ping conduit permit icmp any any 允许内部主机ping外部主机;外部主机ping用 conduit命令配置的全局地址。
