收藏
下载资源

PIX防火墙原理与配置

上传人:飞*** 文档编号:50685538 上传时间:2018-08-09 格式:PPT 页数:54 大小:1.31MB
返回 下载 相关 举报
PIX防火墙原理与配置_第1页
第1页 / 共54页
PIX防火墙原理与配置_第2页
第2页 / 共54页
PIX防火墙原理与配置_第3页
第3页 / 共54页
PIX防火墙原理与配置_第4页
第4页 / 共54页
PIX防火墙原理与配置_第5页
第5页 / 共54页
点击查看更多>>
资源描述

《PIX防火墙原理与配置》由会员分享,可在线阅读,更多相关《PIX防火墙原理与配置(54页珍藏版)》请在金锄头文库上搜索。

1、Copyright 2010 Bestlink Corporation, All rights reserved PIX 防火墙原理与配置Copyright 2010 Bestlink Corporation, All rights reserved 学习目标v 了解PIX防火墙的基本概念v 掌握防火墙的基本配置命令v 理解PIX常见配置案例v 了解常用维护方法Copyright 2010 Bestlink Corporation, All rights reserved 课程目录第第1 1节节 PIXPIX防火墙基本概念防火墙基本概念第第2 2节节 PIXPIX防火墙基本配置方法防火墙基本配

2、置方法第第3 3节节 PIXPIX防火墙配置案例防火墙配置案例第第4 4节节 PIXPIX防护配置防护配置Copyright 2010 Bestlink Corporation, All rights reserved PIXPIX防火墙的区域防火墙的区域InsideoutsideDMZ内部网络外部网络中间区域p inside可以访问任何outside和dmz区域。 p dmz可以访问outside区域。 p inside访问dmz需要配合static(静态地址转换)。 p outside访问dmz需要配合acl(访问控制列表)。Copyright 2010 Bestlink Corporat

3、ion, All rights reserved IP包过滤技术介绍v 对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进 行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤 的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处Copyright 2010 Bestlink Corporation, All rights reserved 访问控制列表(ACL)v一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说,这5个元素组 成了一个TCP相关,访问控 制列表就是利用这

4、些元素定 义的规则Copyright 2010 Bestlink Corporation, All rights reserved NAT基本原理PC 202.130.10.3Server 202.120.10.2Server 192.168.1.2PC 192.168.1.3Eudemon Eth0/0/1 202.169.10.1Eth0/0/0 192.168.1.1TrustUntrust数据报1 源:192.168.1.3 目的:202.120.10.2数据报2 源:202.120.10.2 目的:202.169.10.1数据报1 源:202.169.10.1 .目的:202.120

5、.10.2数据报2 源:202.120.10.2 目的:192.168.1.3Internetv NAT(Network Address Translation,地址转换)是将IP 数据报报头中的IP地址转换为另一个IP地址的过程 Copyright 2010 Bestlink Corporation, All rights reserved NAT/PAT地址转换转换内网用户PIX内网Internet地址池 202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4l NAT地址转换:一对一(IPIP)l PAT地址转换: 一对多(IPIP+端口号

6、)Copyright 2010 Bestlink Corporation, All rights reserved 映射内部服务务器WEB 服务器DMZ10.110.5.101:80FTP 服务器10.110.5.100:21202.110.1.241:21S0:202.110.1.24110.110.5.10110.110.5.100外网用户Eudemon内网Internet内网用户202.110.1.241:80Copyright 2010 Bestlink Corporation, All rights reserved 双向NATtrustuntrust192.168.1.1192.1

7、68.1.10202.1.1.1202.1.1.10Copyright 2010 Bestlink Corporation, All rights reserved 课程目录第第1 1节节 PIXPIX防火墙基本概念防火墙基本概念第第2 2节节 PIXPIX防火墙基本配置方法防火墙基本配置方法第第3 3节节 PIXPIX防火墙配置案例防火墙配置案例第第4 4节节 PIXPIX防护配置防护配置Copyright 2010 Bestlink Corporation, All rights reserved PIX PIX 防火墙的接口防火墙的接口PIX防火墙常见接口Console口-用于初始配置F

8、ailover口-用于故障切换端口Ethernet口-用于业务互联和管理USB口-用于升级加载Copyright 2010 Bestlink Corporation, All rights reserved PIX防火墙的配置模式PIX防火墙的配置模式与路由器类似,有4种管理模式:v PIXfirewall 用户模式v PIXfirewall# 特权模式v PIXfirewall(config)# 配置模式v monitor ROM监视模式开机按住Esc键或发送一个“Break”字符,进入监视模式。Copyright 2010 Bestlink Corporation, All rights

9、reserved PIX 防火墙的基本命令命 令 格 式用途及说明 Enable password password encrypted从非特权模式进入特权模式时的 验证命令,注意password可以 是数字或字符串,但区分大小 写,且长度最大为16个字符。 选项encrypted是默认应用的 ,在配置文件中口令是被加密 的 hostname newname为防火墙配置名称Write terminal保存当前配置,存储于RAM中Write net保存当前配置文件到TFTP服务器 Write erase清除Flash中的启动配置文件 Write memory对PIX的任意修改都会立即生效 ,并将

10、配置保存于Flash中,且 不影响防火墙的处理工作Copyright 2010 Bestlink Corporation, All rights reserved PIX 防火墙的基本命令命 令 格 式用途及说明Write standb y将当前处于活跃状态的防火墙的当前 配置保存在备份防火墙的RAM中, 一般使用故障切换功能的防火墙自 动定期将配置写入备份单元 configure net将TFTP的配置文件与RAM中配置文 件合并,存储于RAM中 configure memor y将当前配置文件与启动配置文件合并 ,存储于Flash中Show config用于显示存储在Flash中的启动配置

11、 文件 Show runnin g- config显示PIX防火墙的RAM中当前的配置 文件Copyright 2010 Bestlink Corporation, All rights reserved PIX 防火墙的基本命令命 令 格 式用途及说明Show history显示以前的输入命令。也可以按上下 箭头逐个检查以前输入的命令Show interfac e查看接口的信息。在显示结果中“Line protocol up/down”表示物理连接正 常/不正常;“Network interface type”表示接口类型;“No buffer”内 存不足,流量过大导致速度降低; “Over

12、runs”网络接口淹没,不能缓 存接收的信息;“underruns”防火墙 被淹没,不能让数据快速到达网络 接口;“babbles”发送器在接口上的 时间过长 ;“defered”链路上有数据 活动,导致发送之前被延迟的帧的 数量 Show memor y显示存储器中和当前可用的存储信息Copyright 2010 Bestlink Corporation, All rights reserved PIX 防火墙的基本命令命 令 格 式用途及说明show version显示防火墙操作系统版本以及硬件类 型、存储器类型、处理器类型、 Flash类型、许可证特性、序列号 码、激活密钥等Show x

13、late显示地址转换列表;其中“Global”表 示全局地址;“Local”表示本地地址 ;“Static”表示静态地址翻译; “nconns”本地与全局地址对连接数 量;“econns”未完成连接(半打开 )数量 Show telnet显示被授权的Telnet访问IP地址信息ping IP测试连 通性 telnet IP通过Telnet方式访问该 IP地址设备Copyright 2010 Bestlink Corporation, All rights reserved PIX 防火墙的基本命令1、nameif设置接口名称,并指定安全级别,安全级别取值范围为1100,数字 越大安全级别越高。

14、例如要求设置: ethernet0命名为外部接口outside,安全级别是0。 ethernet1命名为内部接口inside,安全级别是100。 ethernet2命名为中间接口dmz,安装级别为50。使用命令: PIX525(config)#nameif ethernet 0 outside security 0 PIX525(config)#nameif ethernet 1 inside security 100 PIX525(config)#nameif ethernet 2 dmz security 50Copyright 2010 Bestlink Corporation, All

15、 rights reserved PIX 防火墙的基本命令2、interface 配置以太口工作状态,常见状态有:auto、100full、shutdown。 auto:设置网卡工作在自适应状态。 100full:设置网卡工作在100Mbit/s,全双工状态。 shutdown:设置网卡接口关闭,否则为激活。命令: PIX525(config)#interface ethernet 0 auto PIX525(config)#interface ethernet 1 100 full PIX525(config)#interface ethernet 1 100 full shutdownCo

16、pyright 2010 Bestlink Corporation, All rights reserved PIX 防火墙的基本命令3、ipaddress 配置网络接口的IP地址例如: 内网inside接口使用私有地址192.168.0.1,外网outside接口使用 公网地址133.0.0.1 PIX525(config)#ipaddress outside 133.0.0.1 255.255.255.252 PIX525(config)#ipaddress inside 192.168.0.1 255.255.255.0 。Copyright 2010 Bestlink Corporation, All rights reserved PIX

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 教育/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号