介紹PIX防火墻的高級(jí)配置
PIX防火墻作為企業(yè)防護(hù)產(chǎn)品被廣大的網(wǎng)絡(luò)管理員所接受和使用,前邊我們已經(jīng)講過(guò)了PIX防火墻的六條基礎(chǔ)命令。(詳情請(qǐng)見(jiàn):配置PIX防火墻的六項(xiàng)基本命令)今天我們來(lái)介紹pix防火墻的一些高級(jí)配置。
配置靜態(tài)IP地址翻譯(static):
如果從外網(wǎng)發(fā)起一個(gè)會(huì)話,會(huì)話的目的地址是一個(gè)內(nèi)網(wǎng)的ip地址,static就把內(nèi)部地址翻譯成一個(gè)指定的全局地址,允許這個(gè)會(huì)話建立。
static命令配置語(yǔ)法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address,其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口,安全級(jí)別較高。如inside.。external_if_name為外部網(wǎng)絡(luò)接口,安全級(jí)別較低,如outside等。
outside_ip_address為正在訪問(wèn)的較低安全級(jí)別的接口上的ip地址。inside_ ip_address為內(nèi)部網(wǎng)絡(luò)的本地ip地址。 示例語(yǔ)句如下:
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
ip地址為192.168.0.8的主機(jī),對(duì)于通過(guò)pix防火墻建立的每個(gè)會(huì)話,都被翻譯成61.144.51.62這個(gè)全局地址,也可以理解成static命令創(chuàng)建了內(nèi)部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態(tài)映射。PIX將把192.168.0.8映射為61.144.51.62以便NAT更好的工作。
小提示:
使用static命令可以讓我們?yōu)橐粋€(gè)特定的內(nèi)部ip地址設(shè)置一個(gè)永久的全局ip地址。這樣就能夠?yàn)榫哂休^低安全級(jí)別的指定接口創(chuàng)建一個(gè)入口,使它們可以進(jìn)入到具有較高安全級(jí)別的指定接口。
管道命令(conduit):
使用static命令可以在一個(gè)本地ip地址和一個(gè)全局ip地址之間創(chuàng)建了一個(gè)靜態(tài)映射,但從外部到內(nèi)部接口的連接仍然會(huì)被pix防火墻的自適應(yīng)安全算法(ASA)阻擋,conduit命令用來(lái)允許數(shù)據(jù)流從具有較低安全級(jí)別的接口流向具有較高安全級(jí)別的接口,例如允許從外部到DMZ或內(nèi)部接口的入方向的會(huì)話。
對(duì)于向內(nèi)部接口的連接,static和conduit命令將一起使用,來(lái)指定會(huì)話的建立。說(shuō)得通俗一點(diǎn)管道命令(conduit)就相當(dāng)于以往CISCO設(shè)備的訪問(wèn)控制列表(ACL)。
conduit命令配置語(yǔ)法:
conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask],其中permit|deny為允許|拒絕訪問(wèn),global_ip指的是先前由global或static命令定義的全局ip地址,如果global_ip為0,就用any代替0;如果global_ip是一臺(tái)主機(jī),就用host命令參數(shù)。
port指的是服務(wù)所作用的端口,例如www使用80,smtp使用25等等,我們可以通過(guò)服務(wù)名稱(chēng)或端口數(shù)字來(lái)指定端口。protocol指的是連接協(xié)議,比如:TCP、UDP、ICMP等。foreign_ip表示可訪問(wèn)global_ip的外部ip。對(duì)于任意主機(jī)可以用any表示。如果foreign_ip是一臺(tái)主機(jī),就用host命令參數(shù)。示例語(yǔ)句如下:
Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
表示允許任何外部主機(jī)對(duì)全局地址192.168.0.8的這臺(tái)主機(jī)進(jìn)行http訪問(wèn)。其中使用eq和一個(gè)端口來(lái)允許或拒絕對(duì)這個(gè)端口的訪問(wèn)。Eq ftp就是指允許或拒絕只對(duì)ftp的訪問(wèn)。
Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
設(shè)置不允許外部主機(jī)61.144.51.89對(duì)任何全局地址進(jìn)行ftp訪問(wèn)。
Pix525(config)#conduit permit icmp any any
設(shè)置允許icmp消息向內(nèi)部和外部通過(guò)。
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
這兩句是將static和conduit語(yǔ)句結(jié)合而生效的,192.168.0.3在內(nèi)網(wǎng)是一臺(tái)web服務(wù)器,現(xiàn)在希望外網(wǎng)的用戶(hù)能夠通過(guò)pix防火墻得到web服務(wù)。所以先做static靜態(tài)映射把內(nèi)部IP192.168.0.3轉(zhuǎn)換為全局IP61.144.51.62,然后利用conduit命令允許任何外部主機(jī)對(duì)全局地址61.144.51.62進(jìn)行http訪問(wèn)。
小提示:
對(duì)于上面的情況不使用conduit語(yǔ)句設(shè)置容許訪問(wèn)規(guī)則是不可以的,因?yàn)槟J(rèn)情況下PIX不容許數(shù)據(jù)包主動(dòng)從低安全級(jí)別的端口流向高安全級(jí)別的端口。
配置fixup協(xié)議:
fixup命令作用是啟用,禁止,改變一個(gè)服務(wù)或協(xié)議通過(guò)pix防火墻,由fixup命令指定的端口是pix防火墻要偵聽(tīng)的服務(wù)。示例例子如下:
Pix525(config)#fixup protocol ftp 21
啟用ftp協(xié)議,并指定ftp的端口號(hào)為21
Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
為http協(xié)議指定80和1080兩個(gè)端口。
Pix525(config)#no fixup protocol smtp 80
禁用smtp協(xié)議。
設(shè)置telnet:
在pix5.0之前只能從內(nèi)部網(wǎng)絡(luò)上的主機(jī)通過(guò)telnet訪問(wèn)pix。在pix 5.0及后續(xù)版本中,可以在所有的接口上啟用telnet到pix的訪問(wèn)。當(dāng)從外部接口要telnet到pix防火墻時(shí),telnet數(shù)據(jù)流需要用ipsec提供保護(hù),也就是說(shuō)用戶(hù)必須配置pix來(lái)建立一條到另外一臺(tái)pix,路由器或vpn客戶(hù)端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client從外部telnet到PIX防火墻。
我們可以使用telnet語(yǔ)句管理登錄PIX的權(quán)限,telnet配置語(yǔ)法:telnet local_ip [netmask] local_ip 表示被授權(quán)通過(guò)telnet訪問(wèn)到pix的ip地址。如果不設(shè)此項(xiàng),pix的配置方式只能由console進(jìn)行。也就是說(shuō)默認(rèn)情況下只有通過(guò)console口才能配置PIX防火墻。
小提示:
由于管理PIX具有一定的危險(xiǎn)性,需要的安全級(jí)別非常高,所以不建議大家開(kāi)放提供外網(wǎng)IP的telnet管理PIX的功能。如果實(shí)際情況一定要通過(guò)外網(wǎng)IP管理PIX則使用SSH加密手段來(lái)完成。
總結(jié):
通過(guò)六個(gè)基本命令和四個(gè)高級(jí)命令我們就可以合理配置PIX設(shè)備,對(duì)于其他公司的PIX配置命令我們也可以一句句的看懂了。下一篇我們就為大家呈現(xiàn)一套PIX的配置實(shí)例,對(duì)于關(guān)鍵地方將為大家加上注釋。希望各位讀者真正掌握每條語(yǔ)句
【編輯推薦】
