现在,我们通过一个相对简单的示例说明如何使用Cisco PIX对企业内部网络进行管理。网络拓扑图如附图所示。Cisco PIX安装2个网络接口,一个连接外部网段,另一个连接内部网段,在外部网段上运行的主要是DNS服务器,在内部网段上运行的有WWW服务器和电子邮件服务器,通过Cisco PIX,我们希望达到的效果是:对内部网络的所有机器进行保护,WWW服务器对外只开放80端口,电子邮件服务器对外只开放25端口。具体*作步骤如下。
2.获得最新PIX软件
---- 从Cisco公司的WWW或FTP站点上,我们可以获得PIX的最新软件,主要包括如下内容。
pix44n.exe――PIX防火墙的软件映像文件。
pfss44n.exe――PIX Firewall Syslog Server服务器软件,能够提供一个Windows NT服务,用来记录PIX的运行日志。
pfm432b.exe――图形化的PIX管理软件。
rawrite.exe――用于生成PIX的启动软盘。
3.配置网络路由
---- 在使用防火墙的内部网段上,需要将每台计算机的缺省网关指向防火墙,比如防火墙内部IP地址为10.0.0.250,则内部网段上的每台计算机的缺省网关都要设置为10.0.0.250。具体设置在“控制面板”*“网络”*“TCP/IP协议”中进行。
4.配置PIX
---- 在配置PIX之前,应该对网络进行详细的规划和设计,搜集需要的网络配置信息。要获得的信息如下。
---- (1)每个PIX网络接口的IP地址。
(2) 如果要进行NAT,则要提供一个IP地址池供NAT使用。NAT是网络地址转换技术,它可以将使用保留地址的内部网段上的机器映射到一个合*的IP地址上以便进行Internet访问
(3) 外部网段的路由器地址。
---- 进入PIX配置界面的方*是:连接好超级终端,打开电源,在出现启动信息和出现提示符 pixfirewall后输入“enable”,并输入密码,进入特权模式;当提示符变为 pixfirewall#后,输入“configure terminal”,再进入配置界面。
---- 在配置过程中,我们可以使用write terminal命令查看当前配置,使用write memory保存配置信息到Flash Memory。
5.配置网络接口
---- PIX使用nameif和ip address命令进行网络接口配置。
---- 首先使用下面的语句定义内部网段和外部网段的网络接口。
---- nameif ethernet0 outside security0
---- nameif ethernet1 inside security100 (外低内高)
---- PIX防火墙使用Intel的10/100Mbps网卡,使用下面的命令定义接口配置为自适应。
---- interface ethernet0 auto
---- interface ethernet1 auto
---- 最后,我们定义接口的IP地址和掩码。
---- ip address inside 10.0.0.250 255.255.255.0
---- ip address outside 202.12.29.205 255.255.255.248
6.允许内部用户访问外部网段
---- 在前面,我们定义了内部网段安全值为100,外部网段安全值为0。用户在安全值高的区域访问安全值低的区域,需要使用nat和global命令;相反地,如果允许安全值低的区域的用户访问安全值高的区域的用户,则需要使用static和conduit命令。
---- nat (inside) 1 0 0
---- global (outside) 1 202.12.29.206 netmask 255.255.255.248
---- 其中1为NAT ID,两个语句中的NAT ID应一样。前一句表示允许所有机器对外访问,第二句定义NAT使用的地址池,由于大部分情况下,合*的IP地址并不多,因此在此例中只设置了一个合*IP地址202.12.29.206用来做地址转换。
7.定义外部路由
---- 对于外部网段,还需要定义外部路由,它是防火墙外部网段的缺省路由:route outside 0 0 202.12.29.202 1。其中0 0表示外部网段的缺省路由,1表示从防火墙到路由器只有一个hop。
7.1 广播RIP
----rip outside passive
----rip inside passive
8.允许使用ping命令
---- conduit permit icmp any any 此命令允许在内部网段和外部网段使用ping命令进行网络测试。因为ping命令使用的是ICMP协议,在设置和调试期间,一般开放此功能,当防火墙工作正常后,也可以关闭此项功能。
9.保存设置和重新启动
---- 使用write memory命令将配置信息写入flash memory。使用reload命令重新启动防火墙。
---- 10.增加telnet访问控制
---- 在PIX中,我们可以定义只允许某些机器通过telnet访问防火墙。需要注意的是,这里进行telnet访问的机器必须在内部网段上,以增强安全性。
---- telnet 10.0.0.204 255.255.255.255
---- 即允许10.0.0.204这台机器使用telnet访问防火墙。
---- telnet timeout 15
---- 即将空闲时间设置为15分钟,当访问防火墙的机器15分钟内没有任何*作时,将自动断开连接。
---- telnet访问的缺省口令是cisco,可以通过passwd命令来修改口令。
---- 测试telnet时,我们可以使用命令debug icmp trace来获得更多的信息。
---- 11.增加服务器访问控制
---- 缺省情况下,PIX拒绝所有来自外部网段的访问请求。当WWW服务器等设备放在防火墙的内部网段上时,为了使外部网络上的用户可以访问到,必须使用static和conduit命令来进行配置。
---- 下面,我们给出允许外部网络访问内部网络上的WWW服务器的命令。
---- static (inside,outside) 202.12.29.204(外部的) 10.0.0.204(内部的) netmask 255.255.255.255 (作映射)
---- conduit permit tcp host 202.12.29.204 eq www any
---- 其中,第一个命令将在内部网段的WWW服务器10.0.0.204映射一个外部合*地址202.12.29.204;第二个命令允许所有外部主机通过tcp port 80访问202.12.29.204这台服务器。
---- 接着,我们再给出一个允许外部网络访问内部网络上的邮件服务器10.0.0.203的命令。
---- static (inside,outside) 202.12.29.203 10.0.0.203 netmask 255.255.255.255
---- conduit permit tcp host 202.12.29.203 eq smtp any
---- 12.控制内部网段对外的访问
---- 使用outbound和apply命令进行组合,可以控制内部网段的机器能否对外进行访问,举例说明如下。
---- outbound 10 deny 10.0.0.0 255.255.255.0 irc tcp
---- outbound 10 permit 10.0.0.204 255.255.255.255 irc tcp
---- apply (inside) 10 outgoing_src 如果不想让内部用户使用CHAT功能,可以采用第一条命令,禁止10.0.0.1~10.0.0.255的所有机器使用CHAT功能访问外部站点;第二条命令允许10.0.0.204这台机器通过irc协议访问外部站点;第三条命令将前面的命令应用在inside,也就是内部网段上。
---- outbound 20 deny 202.102.224.25 255.255.255.255 www tcp
---- apply (inside) 20 outgoing_dest
---- 通过对以上2条命令的组合使用,我们可以禁止内部网段上的所有机器访问外部网络的WWW服务器202.102.224.25。
---- 到此为止,我们已经介绍了在网络管理中通常会使用到的一些设置命令,其实还有一些其他相关的设置命令,大家可以查阅PIX的文档或者访问Cisco公司的网站以获取最新的资料。
---- 总的来说,如果用户希望得到一台网络性能较高但不需要广泛的监视功能或应用程序过滤功能的企业级防火墙,Cisco PIX将会是一个不错的选择。
