pix525(config)#ip address inside 192.168.1.0 255.255.255.0 -z�C]^Ho@
-z�C]^Ho@
pix525(config)#ip address outside 220.154.20.0 255.255.255.0 -z�C]^Ho@
8. access-group -z�C]^Ho@
这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为:access-group acl_ID in interface interface_name,其中的"acl_ID"是指访问控制列表名称,interface_name为网络接口名称。如: -z�C]^Ho@
access-group acl_out in interface outside,在外部网络接口上绑定名称为"acl_out"的访问控制列表。 -z�C]^Ho@
-z�C]^Ho@
clear access-group:清除所有绑定的访问控制绑定设置。 -z�C]^Ho@
-z�C]^Ho@
no access-group acl_ID in interface interface_name:清除指定的访问控制绑定设置。 -z�C]^Ho@
-z�C]^Ho@
show access-group acl_ID in interface interface_name:显示指定的访问控制绑定设置。 -z�C]^Ho@
9.配置访问列表 -z�C]^Ho@
所用配置命令为:access-list,合格格式比较复杂,如下: -z�C]^Ho@
标准规则的创建命令:access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] -z�C]^Ho@
-z�C]^Ho@
扩展规则的创建命令:access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] -z�C]^Ho@
它是防火墙的主要配置部分,上述格式中带"[]"部分是可选项,listnumber参数是规则号,标准规则号(listnumber1)是1~99之间的整数,而扩展规则号(listnumber2)是100~199之间的整数。它主要是通过访问权限"permit"和"deny"来指定的,网络协议一般有IP|TCP|UDP|ICMP等等。如只允许访问通过防火墙对主机:220.154.20.254进行www访问,则可按以下配置: -z�C]^Ho@
pix525(config)#access-list 100 permit 220.154.20.254 eq www -z�C]^Ho@
其中的100表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。关于这个命令还将在下面的高级配置命令中详细介绍。 -z�C]^Ho@
10. 地址转换(NAT) -z�C]^Ho@
防火墙的NAT配置与路由器的NAT配置基本一样,首先也必须定义供NAT转换的内部IP地址组,接着定义内部网段。 -z�C]^Ho@
定义供NAT转换的内部地址组的命令是nat,它的格式为:nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]],其中if_name为接口名;nat_id参数代表内部地址组号;而local_ip为本地网络地址;netmask为子网掩码;max_conns为此接口上所允许的最大TCP连接数,默认为"0",表示不限制连接;em_limit为允许从此端口发出的连接数,默认也为"0",即不限制。如: -z�C]^Ho@
nat (inside) 1 10.1.6.0 255.255.255.0 -z�C]^Ho@
表示把所有网络地址为10.1.6.0,子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。 -z�C]^Ho@
随后再定义内部地址转换后可用的外部地址池,它所用的命令为global,基本命令格式为: -z�C]^Ho@
global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ,各参数解释同上。如: -z�C]^Ho@
global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0 -z�C]^Ho@
将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址,其子网掩耳盗铃码为255.255.255.0。 -z�C]^Ho@
11. Port Redirection with Statics -z�C]^Ho@
这是静态端口重定向命令。在Cisco PIX版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器,这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。 -z�C]^Ho@
命令格式有两种,分别适用于TCP/UDP通信和非TCP/UDP通信: -z�C]^Ho@
(1). static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]] -z�C]^Ho@
(2). static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]] -z�C]^Ho@
此命令中的以上各参数解释如下: -z�C]^Ho@
internal_if_name:内部接口名称;external_if_name:外部接口名称;{tcp|udp}:选择通信协议类型;{global_ip|interface}:重定向后的外部IP地址或共享端口;local_ip:本地IP地址;[netmask mask]:本地子网掩码;max_conns:允许的最大TCP连接数,默认为"0",即不限制;emb_limit:允许从此端口发起的连接数,默认也为"0",即不限制;norandomseq:不对数据包排序,此参数通常不用选。 -z�C]^Ho@
-z�C]^Ho@
-z�C]^Ho@
现在我们举一个实例,实例要求如下 -z�C]^Ho@
●外部用户向172.18.124.99的主机发出Telnet请求时,重定向到10.1.1.6。 -z�C]^Ho@
*?sdWRbu}l
●外部用户向172.18.124.99的主机发出FTP请求时,重定向到10.1.1.3。 *?sdWRbu}l
*?sdWRbu}l
●外部用户向172.18.124.208的端口发出Telnet请求时,重定向到10.1.1.4。 *?sdWRbu}l
*?sdWRbu}l
●外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时,重定向到10.1.1.5。 *?sdWRbu}l
*?sdWRbu}l
●外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时,重定向到10.1.1.5。 *?sdWRbu}l
*?sdWRbu}l
●外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时,重定向到10.1.1.7的80号端口。 *?sdWRbu}l
以上重写向过程要求如图2所示,防火墙的内部端口IP地址为10.1.1.2,外部端口地址为172.18.124.216。 *?sdWRbu}l
*?sdWRbu}l
*?sdWRbu}l
*?sdWRbu}l
*?sdWRbu}l
*?sdWRbu}l
图2 *?sdWRbu}l
以上各项重定向要求对应的配置语句如下: *?sdWRbu}l
static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0 *?sdWRbu}l
*?sdWRbu}l
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0 *?sdWRbu}l
*?sdWRbu}l
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0 *?sdWRbu}l
*?sdWRbu}l
static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0 *?sdWRbu}l
*?sdWRbu}l
static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0 *?sdWRbu}l
*?sdWRbu}l
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0 *?sdWRbu}l
12. 显示与保存结果 *?sdWRbu}l
显示结果所用命令为:show config;保存结果所用命令为:write memory。 *?sdWRbu}l
四、包过滤型防火墙的访问控制表(ACL)配置 *?sdWRbu}l
除了以上介绍的基本配置外,在防火墙的安全策略中最重要还是对访问控制列表(ACL)进行配有关置。下面介绍一些用于此方面配置的基本命令。 *?sdWRbu}l
1. access-list:用于创建访问规则 *?sdWRbu}l
这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则,同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。在这个命令中,又有几种命令格式,分别执行不同的命令。 *?sdWRbu}l
(1)创建标准访问列表 *?sdWRbu}l
命令格式:access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] *?sdWRbu}l
(2)创建扩展访问列表 *?sdWRbu}l
QQ帐号登录
内容互通,快速登录
