1.interface command

在配置用户接口的时候我们经常听到关于接口的专有名词hardware_id 指ethernet 0,e1,e2interface_name 指outside,inside,dmzhardware_speed,通产设置为自动，但是cisco 推荐我们手动配置速度.关于速度和你选择的网络传输介质有关.no shutdown 在router 上用户激活这个端口，在 中，没有no shutdown 命令，只有使用到shutdown 这个参数，主要用于管理关闭接口.interface hardware_id hardware_speed [shutdown]interface e0 autointerface e1 autointerface e2 auto2.nameif commandnameif 主要用于接口，并且给它分配从1 到99 的安全值，因为外部接口和内部接口都是默认的，分别是0 和100,同时默认情况下e0 是外部接口，e1 是指内部接口.nameif hardware_id if_name security_levelnameif e0 outside 0nameif e1 inside 100nameif e2 dmz 50使用show nameif 来查看配置情况关于security_level 值得区别，请都看看我前面写的.从高安全段的流量到低安全段的流量怎么走，放过又怎么走，需要什么条件才能流进流出.3. address commandcisco pix 接口的ip 可以从两个地方来获得，分别是 manual 和dhcpip address 用于手动配置一个接口上的ip address,通过将一个逻辑地址添加到一个硬件ID 上.ip address if_name ip_address [netmask]ip address inside 192.168.6.0 255.255.255.0Remove the currently configured ip address pix(config)#clear ipaddress (全部清除ip address)pix(config)#no ip address inside 192.168.6.0 255.255.255.0(清除这个接口的ip address)4.Nat command用于一组ip 地址转换成另外一组ip 地址,昨天我看到6.2 版本支持natoutside ip address,不知道这个究竟在什么环境才用到，呵呵在用nat 命令的时候，有个特别的注意点:nat 0 有特殊含义，其次nat 总是和global 一起使用.nat (if_name) nat_id local_ip [netmas]nat (inside) 1 192.168.6.0 255.255.255.05.Global commandglobal 命令用于定义用nat 命令转换成的地址或者地址范围，注意global 命令中的nat_id 需要和你配置的nat 命令中的nat_id 相同.global (if_name) nat_id global_ipglobal_ip-global_ip [netmask]global (outside) 1 10.0.0.1 255.0.0.0 (PAT 转换，当你用这个命令，CLI会给你一个警告信息指出pix 要PAT 的所有地址)global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0这里有这样一个命令可以在pix 检测转换表中查看你是否有这个特定ip 的入口.show xlate,一般一个被转换的ip address 保存在转换表中的默认时间是3个小时.你可以通过timeout xlate hh:ss 来更改这个设置.这里你也同样需要了解PAT 是怎么工作的，同样你要知道PAT 也有局限，不能支持H.323 和高速缓存使用的名称服务器，老实说我也不知道这两个是什么东东:(6.route command,very important!!!route 告诉我们要在那个特定的接口转发，并指定那个特定的网络地址.使用route 命令向pix 增加一个静态.route if_name ip_address netmask gateway_ip [metric]说明一下if_name 指你数据要离开处的那个端口ip_address 被路由的ip addressnetmask 被路由的ip address 的网络掩码gateway_ip 下一跳的ip addressmetric 到下一个设备的跳数在pix 上用的最多的是配置一个默认路由route outside 0 0 192.168.1.3 1 其中0 0 表示网段内所有的ip address 从outside ip address 是192.168.1.3 出去如果你想要测试新的路由配置，在这之前用clear arp 清除pix firewall 的arp高速缓存is a good idea.7.RIP command不讲，不想了解，也不知道，没有见过那个人在配置PIX 用过RIP 协议的需要了解的人查书吧，如果你有这方面的经验，可以写出来大家share 一下:)8.测试你的配置，一般有几种，首先查看一下你的配置命令是否正确，show xxxxx来查看。show interface,show nameif,show ip address,show route,shownat,show global 等等.其次使用ping 命令，前提是你需要使用icmp permit anyany outside，因为默认情况下pix 是拒绝所有来自于外部接口的输入流量的，除非你使用conduit permit icmp any any ,但是这个命令使你不能ping 通外部接口的ip address.最后是用debug 命令,debug icmp trace,建议大家可以看看，但是看了之后最好关掉，以便影响pix 的performance.9.配置每一个pix 命令是在pix 立刻反应出来的，所以你可以尝试配置，但是不要配置，等你有把握时在保存wr m,但你配置错误，你可以reload 一下就可以了.10.pix 对dhcp 支持10.1 首先是可以将pix 配置为dhcp server.PIX dhcp 服务器只能在pix 的内部接口上激活，同时你需要查找资料，因为个别的如506/506e，由于OS 版本不同，对client ip address 支持数目也不同.dhcpd enable insidedhcpd address 192.168.10.0-192.168.10.200 255.255.255.0dhcpd lease 2700 (授权用户的租借长度，默认时间是3600s)dhcpd dns 61.177.7.1dhcpd wins 61.177.7.1dhcpd domain testing.cn10.2 可以将pix 的外部接口配置为从ISP 处接收地址ip address outside dhcp [setroute] [retry retry_cnt]setroute 告诉pix 防火墙使用默认网关参数设置的DHCP 服务器返回的默认路由，当使用setroute 选项时不再配置默认路由同样可以使用ip address dhcp 来释放和重建一个外部接口的ip address通过show ip address dhcp 来查看当前的租借信息.11.时间设置和NTP 支持手动配置和通过NTP 服务器获得系统时间.手动配置clock set hh:mm:ss month day year,关于通过NTP 来配置，大家查查资料吧，也没有见过别人来做过，安全要求太高了.1.ASA 安全等级默认情况下，Cisco PIX 防火墙将安全等级应用到每一个接口。越安全的网络段，安全级别越高。安全等级的范围从0~100,默认情况下，安全等级0 适应于e0,并且它的默认名字是外部(outside),安全等级100 适应于e1.并且它的默认名字是inside.使用name if 可以配置附加的任何接口，安全等级在1~99 之间e.g:nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security501.1 自适应安全算法(ASA)允许流量从高安全等级段流向低安全等级段，不需要在安全策略中使用特定规则来允许这些连接，而只要用一个nat/global 命令配置这些接口就行了。1.2 同时如果你想要低安全等级段流向一个高安全等级段的流量必须经过安全策略(如acl 或者conduit).1.3 如果你把两个接口的安全等级设置为一样，那流量不能流经这些接口请记得ASA 是cisco pix 防火墙上状态连接控制的关键。2.传输协议2.1 首先请理解一下OSI 的7 层模型，说实话，如果你要做IT,那么这个OSI的7 层模型一定要搞懂，也就像windows 的DNS 一样，一定要花工夫在上面。其中1~7 是从物理层向上数的，物理层为第一层，应用层为第七层。应用层 数据表示层 数据会话层 数据传输层 Segment网络层 Packet数据链路层 Frame物理层 Bit2.2 了解一下TCP/IP通俗的讲TCP/IP 包含两个传输协议TCP,UDP,当然还包括其他，TCP/IP是一个协议族，是对OSI 理论的一个实现，是真正应用到网络中的一个工业协议族。TCP-它是一个基于连接的传输协议，负责节点间通信的可靠性和效率,通过创建virtual circuits 的连接来源端和目的端担当双向通信来完成这些任务，由于开销很大，所以传输速度变慢。UDP-它是一个非连接的传输协议，用于向目的端发送数据理解没有PIX 的节点间的TCP 通信(三次握手)理解有一个PIX 的节点间TCP 通信2.3 注意默认的安全策略允许UDP 分组从一个高安全等级段送到一个低安全等级段。cisco pix 防火墙用下列的方法来处理UDP 流量:2.3.1 源及其开始UDP 连接，Cisco pix 防火墙接收这个连接，并将它路由到目的端。Pix 应用默认规则和任何需要的转换，在状态表中创建一个会话对象，并允许连接通过外部接口2.3.2 任何返回流量要与绘画对象匹配，并且应用会话超时，默认的会话超时是2 分钟.如果响应不匹配会话对象,或者超时,分组就会被丢弃,如果一切匹配,就会允许响应信号传送到发送请求的源端2.3.3 任何从一个低安全等级段到一个高安全等级段的入站的UDP 会话都必须经安全策略允许,或者中断连接.3.网络地址转换理解RFC1918 的三类地址空间:10.0.0.0~10.255.255.255172.16.0.0~172.16.255.255192.168.0.0~192.168.255.255地址转换是cisco pix 防火墙为内部节点提供的使用专用IP 地址访问internet的一种方法.被转换的地址称为内部地址,转换后的地址称为全局地址.这里有一句话要记住:将一个接口的任何地址转换成其他任何地址接口的另外一个地址是可能的,这句话意思是如果你的网段内部地址可以转换成outside 的地址,也可以转换成DMZ 的地址,只要正确的使用了nat 和global命令.如:global (outside) 1 interfaceglobal (dmz) 1 xxx.xxx.xxx.xxxnat (inside) 1 192.168.6.0 255.255.255.0 0 0动态地址转换涉及到NAT 和PAT,静态地址也就是我们通常所说的给DMZ 接口的地址作一个静态隐射,通常用于如web site 和mail server 等相对关键的业务.以便Internet 上的用户可以通过他们的全局地址连接这些服务器.NAT 命令pix(config)#nat inside 1 192.168.6.0 255.255.255.0pix(config)#global (outside) 1 10.0.0.1~10.0.0.255 netmask 255.0.0.0注意命令中的1 在nat 和global 命令必须相同,它允许指派特定的地址进行转换.在这里1 不能换0,你可以换其他的数,因为nat 0 在pix 有特定的含义,nat 0表示在pix 上用于检测不能被转换的地址,我们通常在做acl 转换也应用到这个命令.PAT 命令:PAT 允许将本地地址转换成一个单一的全局地址,执行NAT 和PAT 命令有所相似,不同的是PAT 是定义一个单一的全局地址而不是像NAT 一样定义一定范围的地址.pix(config)#nat (inside) 1 0.0.0.0 0.0.0.0 表示转换网段中的所以地址pix(config)#global (inside) 10.0.0.1 255.0.0.0静态地址:通常将static 和conduit 命令一起使用,或者可以使用acl 来代替conduitstatic 命令只配置地址转换,为了允许来自一个从低安全等级接口对本地节点的访问,我们前面讲过,需要配置ACL 或者建立一个通道.pix(config)#static (inside,outside) 10.0.0.1 192.168.0.9pix(config)#conduit permit tcp host 192.168.0.9 eq www any(这里host 表示的是指一个特定的主机host 192.168.0.9 表示 192.168.0.9255.255.255.255 为什么要是255.255.255.255,别搞成为subnet mask,它是wildcard,也就是通配符,any 表示任何源地址和目的地址,0.0.0.0255.255.255.255.eq is mean the match only packets on a given port number.)这里我们可以把conduit 转换成ACLpix(config)#access-list 101 permit tcp any host 192.168.0.9 eq wwwpix(config)#access-group 101 in interface outside使用static 命令实现端口重定向pix(config)#static (inside,outside) tcp 192.168.0.9 ftp 10.10.10.9 2100netmask 255.255.255.255. 0.0其中ftp 可以用21 来表示,在这里的服务与前面的协议对应,是tcp 还是udp,ftp 当然对应tcp.这个命令的意思我通过在低安全等级访问192.168.0.9 的21 端口,它自动转到10.10.10.9 2100 这个端口上.在6.2 版本以上支持双向网络地址转换,我不知道这个是什么意思?他说可以对外部源IP 地址的NAT,以便将外部接口的分组发送到一个内部接口上两个重要的命令:show xlate 查看转换表show conn 查看连接状况有很多命令选项,大家可以在cli 下show xlate ?查看一下,对你处理故障非常有用.5.配置DNS 支持在默认情况下,PIX 鉴别每个输出的DNS 请求,并且只允许一个对这些请求的响应.随后所有对原始查询的响应会被丢弃.所以有时候我们在pix 使用show conn 看到有很多去DNS 的响应都被丢掉,这个是合理的现象.总结了防火墙基本配置十个方面的内容。硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单地说是一种pc 式的电脑主机加上闪存（flash）和防火墙操作系统。它的硬件跟共控机差不多，都是属于能适合24 小时工作的，外观造型也是相类似。闪存基本上跟路由器一样，都是那中eeprom，操作系统跟cisco ios 相似,都是命令行（command）式。防火墙是cisco firewall pix 515e，是一种机架式标准（即能安装在标准的机柜里），有1u 的高度，正面看跟cisco 路由器一样，只有一些指示灯，从背板看，有三个以太口（rj-45 网卡）,一个配置口（console）,2 个usb,一个15 针的failover 口，还有pci 扩展口。如何开始 cisco firewall pix 呢？应该是跟cisco 路由器使用差不多吧，于是用配置线从电脑的com2 连到pix 515e 的console 口，进入pix 操作系统采用windows 系统里的“超级终端”，通讯参数设置为默然。初始使用有一个初始化过程，主要设置：date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡ip 地址)、domain(主域)等，如果以上设置正确，就能保存以上设置，也就建立了一个初始化设置了。进入 pix 515e 采用超级用户(enable),默然密码为空，修改密码用passwd 命令。一般情况下firewall 配置下面讲一下一般用到的最基本配置1、建立用户和修改密码跟 cisco ios 路由器基本一样。2、激活以太端口必须用 enable 进入，然后进入configure 模式pix515e>enablepassword:pix515e#config tpix515e(config)#interface ethernet0 autopix515e(config)#interface ethernet1 auto在默然情况下ethernet0 是属外部网卡outside, ethernet1 是属内部网卡inside, inside 在初始化配置成功的情况下已经被激活生效了，但是outside 必须命令配置激活。3、命名端口与安全级别采用命令 nameifpix515e(config)#nameif ethernet0 outside security0pix515e(config)#nameif ethernet0 outside security100security0 是外部端口outside 的安全级别（0 安全级别最高）security100 是内部端口inside 的安全级别,如果中间还有以太口，则security10，security20 等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz(demilitarized zones非武装区域)。4、配置以太端口ip 地址采用命令为：ip address如：内部网络为：192.168.1.0 255.255.255.0外部网络为：222.20.16.0 255.255.255.0pix515e(config)#ip address inside 192.168.1.1 255.255.255.0pix515e(config)#ip address outside 222.20.16.1 255.255.255.05、配置远程访问[telnet]在默然情况下，pix 的以太端口是不允许telnet 的，这一点与路由器有区别。inside 端口可以做telnet 就能用了,但outside 端口还跟一些安全配置有关。pix515e(config)#telnet 192.168.1.1 255.255.255.0 insidepix515e(config)#telnet 222.20.16.1 255.255.255.0 outside测试telnet在[开始]->[运行]telnet 192.168.1.1pix passwd:输入密码：cisco6、访问列表(access-list)此功能与cisco ios 基本上是相似的，也是firewall 的主要部分，有permit 和deny 两个功能，网络协议一般有ip|tcp|udp|icmp 等等，如：只允许访问主机:222.20.16.254 的www,端口为：80pix515e(config)#access-list 100 permit ip any host 222.20.16.254 eq wwwpix515e(config)#access-list 100 deny ip any anypix515e(config)#access-group 100 in interface outside7、地址转换（nat）和端口转换(pat)nat 跟路由器基本是一样的，首先必须定义 ip pool，提供给内部ip 地址转换的地址段，接着定义内部网段。pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0pix515e(config)#nat (outside) 1 192.168.0.0 255.255.255.0如果是内部全部地址都可以转换出去则：pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0则某些情况下，外部地址是很有限的，有些主机必须单独占用一个ip 地址，必须解决的是公用一个外部ip(222.20.16.201),则必须多配置一条命令，这种称为（pat），这样就能解决更多用户同时共享一个ip,有点像代理服务器一样的功能。配置如下：pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0pix515e(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.08、 dhcp server在内部网络，为了维护的集中管理和充分利用有限ip 地址，都会启用动态主机分配ip 地址服务器（dhcp server），cisco firewall pix 都具有这种功能，下面简单配置dhcp server,地址段为192.168.1.100—192.168.168.1.200dns: 主202.96.128.68 备202.96.144.47主域名称：abc.com.cndhcp client 通过pix firewallpix515e(config)#ip address dhcpdhcp server 配置pix515e(config)#dhcpd address 192.168.1.100-192.168.1.200 insidepix515e(config)#dhcp dns 202.96.128.68 202.96.144.47pix515e(config)#dhcp domain abc.com.cn9、静态端口重定向(port redirection with statics)在pix 版本6.0 以上，增加了端口重定向的功能，允许外部用户通过一个特殊的ip 地址/端口通过firewall pix 传输到内部指定的内部服务器。这种功能也就是可以发布内部www、ftp、mail 等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。命令格式：static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]!----外部用户直接访问地址222.20.16.99 telnet 端口，通过pix 重定向到内部主机192.168.1.99的telnet 端口（23）。pix515e(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask255.255.255.255 0 0!----外部用户直接访问地址222.20.16.99 ftp，通过pix 重定向到内部192.168.1.3 的ftp server。pix515e(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask255.255.255.255 0 0!----外部用户直接访问地址222.20.16.208 www(即80 端口)，通过pix 重定向到内部192.168.123 的主机的www(即80 端口)。pix515e(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask255.255.255.255 0 0!----外部用户直接访问地址222.20.16.201 http(8080 端口)，通过pix 重定向到内部192.168.1.4的主机的www(即80 端口)。pix515e(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask255.255.255.255 0 0!----外部用户直接访问地址222.20.16.5 smtp(25 端口)，通过pix 重定向到内部192.168.1.5 的邮件主机的smtp(即25 端口)pix515e(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask255.255.255.255 0 010、显示与保存结果采用命令 show config保存采用write memory