Cisco PIX防火墙配置指南

admin — Sun, 08 Mar 2009 12:30:45 +0000

　　总结了防火墙基本配置十个方面的内容。
　　硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单地说是一种pc式的电脑主机加上闪存（flash）和防火墙操作系统。它的硬件跟共控机差不多，都是属于能适合24小时工作的，外观造型也是相类似。闪存基本上跟路由器一样，都是那中eeprom，操作系统跟cisco ios相似,都是命令行（command）式。
　　防火墙是cisco firewall pix 515e，是一种机架式标准（即能安装在标准的机柜里），有1u的高度，正面看跟cisco 路由器一样，只有一些指示灯，从背板看，有三个以太口（rj-45网卡）,一个配置口（console）,2个usb,一个15针的failover口，还有pci扩展口。
　　如何开始cisco firewall pix呢？应该是跟cisco 路由器使用差不多吧，于是用配置线从电脑的com2连到pix 515e的console口，进入pix操作系统采用windows系统里的“超级终端”，通讯参数设置为默然。初始使用有一个初始化过程，主要设置：date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡ip地址)、domain(主域)等，如果以上设置正确，就能保存以上设置，也就建立了一个初始化设置了。
　　进入pix 515e采用超级用户(enable),默然密码为空，修改密码用passwd 命令。一般情况下firewall配置
下面讲一下一般用到的最基本配置
1、建立用户和修改密码
跟cisco ios路由器基本一样。

2、激活以太端口
必须用enable进入，然后进入configure模式
pix515e>enable
password:
pix515e#config t
pix515e(config)#interface ethernet0 auto
pix515e(config)#interface ethernet1 auto
在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

3、命名端口与安全级别
采用命令nameif
pix515e(config)#nameif ethernet0 outside security0
pix515e(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全级别（0安全级别最高）
security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz(demilitarized zones非武装区域)。

4、配置以太端口ip 地址
采用命令为：ip address
如：内部网络为：192.168.1.0 255.255.255.0
外部网络为：222.20.16.0 255.255.255.0
pix515e(config)#ip address inside 192.168.1.1 255.255.255.0
pix515e(config)#ip address outside 222.20.16.1 255.255.255.0

5、配置远程访问[telnet]
在默然情况下，pix的以太端口是不允许telnet的，这一点与路由器有区别。inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
pix515e(config)#telnet 192.168.1.1 255.255.255.0 inside
pix515e(config)#telnet 222.20.16.1 255.255.255.0 outside
测试telnet
在[开始]->[运行]
telnet 192.168.1.1
pix passwd:
输入密码：cisco
6、访问列表(access-list)
此功能与cisco ios基本上是相似的，也是firewall的主要部分，有permit和deny两个功能，网络协议一般有ip|tcp|udp|icmp等等，如：只允许访问主机:222.20.16.254的www,端口为：80
pix515e(config)#access-list 100 permit ip any host 222.20.16.254 eq www
pix515e(config)#access-list 100 deny ip any any
pix515e(config)#access-group 100 in interface outside
7、地址转换（nat）和端口转换(pat)
nat跟路由器基本是一样的，
首先必须定义ip pool，提供给内部ip地址转换的地址段，接着定义内部网段。
pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix515e(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则：
pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0
则某些情况下，外部地址是很有限的，有些主机必须单独占用一个ip地址，必须解决的是公用一个外部ip(222.20.16.201),则必须多配置一条命令，这种称为（pat），这样就能解决更多用户同时共享一个ip,有点像代理服务器一样的功能。配置如下：
pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix515e(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0
8、 dhcp server
在内部网络，为了维护的集中管理和充分利用有限ip地址，都会启用动态主机分配ip地址服务器（dhcp server），cisco firewall pix都具有这种功能，下面简单配置dhcp server,地址段为192.168.1.100—192.168.168.1.200
dns: 主202.96.128.68 备202.96.144.47
主域名称：abc.com.cn
dhcp client 通过pix firewall
pix515e(config)#ip address dhcp
dhcp server配置
pix515e(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
pix515e(config)#dhcp dns 202.96.128.68 202.96.144.47
pix515e(config)#dhcp domain abc.com.cn

9、静态端口重定向(port redirection with statics)
在pix 版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的ip地址/端口通过firewall pix 传输到内部指定的内部服务器。这种功能也就是可以发布内部www、ftp、mail等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。
命令格式：
static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!—-外部用户直接访问地址222.20.16.99 telnet端口，通过pix重定向到内部主机192.168.1.99的telnet端口（23）。
pix515e(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!—-外部用户直接访问地址222.20.16.99 ftp，通过pix重定向到内部192.168.1.3的ftp server。
pix515e(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!—-外部用户直接访问地址222.20.16.208 www(即80端口)，通过pix重定向到内部192.168.123的主机的www(即80端口)。
pix515e(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
!—-外部用户直接访问地址222.20.16.201 http(8080端口)，通过pix重定向到内部192.168.1.4的主机的www(即80端口)。
pix515e(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
!—-外部用户直接访问地址222.20.16.5 smtp(25端口)，通过pix重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
pix515e(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
10、显示与保存结果
采用命令show config
保存采用write memory

Cisco PIX密码恢复流程

admin — Sun, 08 Mar 2009 12:28:27 +0000

　本方法只是真对没有floppy的PIX，采用TFTP进行文件传输。
　　
　　1、准备：
　　
　　1）PC一台，其上安装TFTP服务器
　　
　　2）交叉线一条，连接PIX以太网口和PC网卡
　　
　　3）下载密码恢复软件（根据PIXOS的版本选择不同的恢复软件），放到TFTP服务器的目录下
　　
　　2、网络拓扑示意图

　　3、详细恢复过程：
　　
　　启动PIX，ctrl+breack，进入到monitor>模式下，执行下面的操作：
　　
　　monitor> interface 0
　　
　　0: i8255X @ PCI(bus:0 dev:13 irq:10)
　　
　　1: i8255X @ PCI(bus:0 dev:14 irq:7 )
　　
　　Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9
　　
　　monitor> address 192.168.18.111
　　
　　address 192.168.18.111
　　
　　monitor> server 192.168.18.254
　　
　　server 192.168.18.111
　　
　　monitor> file np63.bin
　　
　　file np63.bin
　　
　　monitor> gateway 192.168.18.254
　　
　　gateway 192.168.18.254
　　
　　monitor> ping 192.168.18.254
　　
　　Sending 5, 100-byte 0xf8d3 ICMP Echoes to 192.168.18.254, timeout is 4 seconds:
　　
　　!!!!!
　　
　　Success rate is 100 percent (5/5)
　　
　　monitor> tftp
　　
　　tftp np63.bin@192.168.18.254 via 192.168.18.254……………………………..
　　
　　Received 92160 bytes
　　
　　Cisco Secure PIX Firewall password tool (3.0) #0: Tue Aug 22 23:22:19 PDT 2000
　　
　　Flash=i28F640J5 @ 0×300
　　
　　BIOS Flash=AT29C257 @ 0xd8000
　　
　　Do you wish to erase the passwords? [yn] y
　　
　　Passwords have been erased.
　　
　　Rebooting….重新启动后就可以！

4、相关软件：根据PIX的不同OS版本进行选择。

温室小花.技术.博客 --纯粹的unix技术博客 » firewall

Cisco PIX防火墙配置指南

Cisco PIX密码恢复流程