CISCO PIX 520 防火墙配置
从结构上讲,CISCO PIX 520 防火墙是一种 pc 式的电脑主机加上闪存(flash)和防火墙操作系统。它的硬件跟工控机差不多,都
是属于能适合 24 小时工作的,外观造型也是相类似。闪存基本上跟
路由器一样,都是那中 eeprom,操作系统跟 cisco ios 相似,都是命
令行(command)式。PIX 520 是一种机架式设备,从前面板看,
只有 1 个指示灯(正常运行时常亮,黄色),右侧有 2 个以太口(都
是 100M 网卡,左为 ethernet0,右为 ethernet1),1 个配置口
(console),1 个 15 针的 failover 口,还有 pci 扩展口;左侧有 1
个软驱(平时用挡板遮盖)。
配置方式与 cisco 路由器相同,用配置线从电脑的 com1 连到
PIX520 的 console 口,进入 PIX 操作系统采用 windows 系统里的“超
级终端”,通讯参数设置为默然。
特别说明:防火墙命令大小写通用,并且可以使用缩写方式,所
有模式都可以用“show”命令显示系统当前配置。
pixfirewall# wr erase //清空防火墙原有配置
Erase PIX configuration in flash memory? [confirm] //回车
pixfirewall# rel //重新启动系统
Proceed with reload? [confirm] //回车
Rebooting....
Cisco Secure pixFirewall BIOS (3.6) 2
Booting Floppy
Flash=i28F640J5 @ 0x300
Reading 1937920 bytes of image from flash.
##########################################################
###############################################
128MB RAM
mcwa i82559 Ethernet at irq 11 MAC: 00d0.b73e.3b08
mcwa i82559 Ethernet at irq 10 MAC: 00d0.b73e.3a7e
Flash=i28F640J5 @ 0x300
BIOS Flash=AT29C257 @ 0xfffd8000
-----------------------------------------------------------------------
|| ||
|| ||
|||| ||||
..:||||||:..:||||||:..
c i s c o S y s t e m s
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall
Cisco PIX Firewall Version 6.3(3) //防火墙软件版本
Licensed connections: 65536
Copyright (c) 1996-2003 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is 3
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Cryptochecksum(changed): d41d8cd9 8f00b204 e9800998 ecf8427e
Pre-configure PIX Firewall now through interactive prompts [yes]? n
//初始使用有一个初始化过程,主要设置:date(日期)、time(时
间)、hostname(主机名称)、inside ip address(内部网卡 ip 地址)、
domain(主域)等,如果以上设置正确,就能保存以上设置,也就建
立了一个初始化设置了。
此处输入“n”,退出初始对话框。
Type help or '?' for a list of available commands.
pixfirewall> en
Password:
//进入 PIX520 采用超级用户(enable),默然密码为空,修改密码
用 passwd 命令。一般情况下 firewall 配置
pixfirewall# show ver //显示系统软硬件信息
Cisco PIX Firewall Version 6.3(3)
Compiled on Wed 13-Aug-03 13:55 by morlee
pixfirewall up 48 secs 4
Hardware: SE440BX2, 128 MB RAM, CPU Pentium II 350 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
0: ethernet0: address is 00d0.b73e.3b08, irq 11
1: ethernet1: address is 00d0.b73e.3a7e, irq 10
Licensed connections: 65536
Serial Number: 18055291 (0x113807b)
Running Activation Key: 0x7656600b 0x7dd0efde 0x91801941
0xba66aa44
Configuration last modified by enable_15 at 03:27:45.420 UTC Fri
Feb 18 2005
pixfirewall#
pixfirewall# show config //显示初始配置为空
No Configuration
pixfirewall# show start //显示初始配置为空
No Configuration
pixfirewall# show run ////显示系统默认配置
:
PIX Version 6.3(3)
interface ethernet0 auto shutdown //默认关闭
interface ethernet1 auto shutdown //默认关闭
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted //默认口令为空
passwd 2KFQnbNIdI.2KYOU encrypted 5
hostname PIXfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
no ip address outside //默认无地址
no ip address inside //默认无地址
ip audit info action alarm
ip audit attack action alarm
no failover //默认无双机
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225
1:00:00 6
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
PIXfirewall#
基本配置如下:
1、 建立主机名和修改密码
PIX520#config t //进入特权模式
PIX520(config)#
PIXfirewall(config)# enable password cisco //设置口令为“cisco”
PIXfirewall(config)# hostname PIX520 //设置主机名为“PIX520”
PIX520(config)#
跟 cisco ios 路由器基本一样。
2、 激活以太端口 7
PIX520(config)#interface ethernet0 auto
PIX520(config)#interface ethernet1 auto
在默然情况下 ethernet0 是属外部网卡 outside, ethernet1 是属
内部网卡 inside, inside 在初始化配置成功的情况下已经被激活生效
了,但是 outside 必须命令配置激活。
3、 命名端口与安全级别
PIX520(config)#nameif ethernet0 outside security0
PIX520(config)#nameif ethernet1 outside security100
采用命令“nameif”。security0 是外部端口 outside 的安全级别
(0 安全级别最高) security100 是内部端口 inside 的安全级别,如
果中间还有以太口,则 security10,security20 等等命名,多个网卡
组成多个网络,一般情况下增加一个以太口作为 dmz(demilitarized
zones 非武装区域)。
4、 配置以太端口 ip 地址
采用命令“ip address”。
如:内部网络为:192.168.1.0 255.255.255.0
外部网络为:200.11.11.0 255.255.255.0
PIX520(config)#ip address inside 192.168.1.1 255.255.255.0
PIX520(config)#ip address outside 200.11.11.1 255.255.255.0
5、 配置远程访问 telnet
在默然情况下,PIX 的以太端口是不允许 telnet 的,这一点与路
由器有区别。inside 端口可以做 telnet 就能用了,但 outside 端口还跟
一些安全配置有关。
PIX520(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX520(config)#telnet 200.11.11.1 255.255.255.0 outside
测试 telnet
在[开始]->[运行]
telnet 192.168.1.1
PIX passwd:
输入密码:cisco
6、 访问列表(access-list) 8
此功能与 cisco ios 基本上是相似的,也是 firewall 的主要部分,
有 permit 和 deny 两个功能,网络协议一般有 ip|tcp|udp|icmp 等等,
如:只允许访问主机:200.11.11.254 的 www,端口为:80
PIX520(config)#access-list 100 permit ip any host 200.11.11.254
eq www
PIX520(config)#access-list 100 deny ip any any
PIX520(config)#access-group 100 in interface outside
7、保存结果
保存当前配置采用“write memory”
请输入内容
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|