歡迎光臨
每天分享高質量文章

cisco防火牆配置


點選 《福利來了!PLC的資料(免費),你要嗎?

點選第二波福利來了!PLC的資料(免費),你要嗎?

介紹

硬體防火牆,是網路間的牆,防止非法侵入,過濾資訊等,從結構上講,簡單地說是一種PC式的電腦主機加上快閃記憶體(Flash)和防火牆作業系統。它的硬體跟工控機差不多,都是屬於能適合24小時工作的,外觀造型也是相類似。快閃記憶體基本上跟路由器一樣,都是那種EEPROM,作業系統跟Cisco IOS相似,都是命令列(Command)式,我第一次親手拿到的防火牆是Cisco Firewall Pix525,是一種機架式標準(即能安裝在標準的機櫃裡),有2U的高度,正面看跟Cisco路由器一樣,只有一些指示燈,從背板看,有兩個以太口(RJ-45網絡卡),一個配置口(console),2個USB,一個15針的Failover口,還有三個PCI擴充套件口。

 

如何配置

用配置線從電腦的COM2連到PIX 525console口,進入PIX作業系統採用windows系統裡的超級終端,通訊引數設定為預設。初始使用有一個初始化過程,主要設定:Date(日期)time(時間)hostname(主機名稱)inside ip address(內部網絡卡IP地址)domain(主域)等,如果以上設定正確,就能儲存以上設定,也就建立了一個初始化設定了。

進入Pix525採用超級使用者(enable),默然密碼為空,修改密碼用passwd命令。一般情況下Firewall配置,我們需要做些什麼呢?當時第一次接觸我也不知道該做些什麼,隨裝置一起來的有《硬體的安裝》和《命令使用手冊》。我首先看了命令的使用,用於幾個小時把幾百面的英文書看完了,對命令的使用的知道了一點了,但是對如何配置PIX還是不大清楚該從何入手,我想現在只能去找cisco,於是在官網下載了一些資料,邊看邊實踐了PIX

防火牆是處網路系統裡,因此它跟網路的結構密切相關,一般會涉及的有Router(路由器)、網路IP地址。還有必須清楚標準的TCP[RFC793]UDP[RFC768]埠的定義。

 

基本配置

  • cisco防火牆配置建立使用者

建立使用者和修改密碼跟。CiscoIOS路由器基本一樣


  • cisco防火牆配置啟用

啟用以太埠必須用enable進入,然後進入configure樣式

PIX525>enable

Password:

PIX525#configt

PIX525(config)#interfaceethernet0 auto

PIX525(config)#interfaceethernet1 auto

在預設情況下ethernet0是屬外部網絡卡outside, ethernet1是屬內部網絡卡inside,

inside在初始化配置成功的情況下已經被啟用生效了,但是outside必須命令配置啟用。

 

  • cisco防火牆配置命名埠

採用命令nameif

PIX525(config)#nameifethernet0 outside security0

security100

security0是外部埠outside的安全級別(100安全級別最高)

security100是內部埠inside的安全級別,如果中間還有以太口,則security10security20等等命名,多個網絡卡組成多個網路,一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)

 

  • cisco防火牆配置配置地址

採用命令為:ipaddress

如:內部網路為:192.168.1.0255.255.255.0

外部網路為:222.20.16.0255.255.255.0

PIX525(config)#ipaddress inside 192.168.1.1 255.255.255.0

PIX525(config)#ipaddress outside 222.20.16.1 255.255.255.0

 

  • cisco防火牆配置配置遠端

在默然情況下,PIX的以太埠是不允許telnet的,這一點與路由器有區別。Inside埠可以做telnet就能用了,outside埠還跟一些安全配置有關。

PIX525(config)#telnet192.168.1.1 255.255.255.0 inside

PIX525(config)#telnet222.20.16.1 255.255.255.0 outside

測試telnet

[開始]->[執行]

telnet192.168.1.1

PIXpasswd:

輸入密碼:cisco

 

  • cisco防火牆配置訪問串列

此功能與CiscoIOS基本上是相似的,也是Firewall的主要部分,有permitdeny兩個功能,網路協議一般有IP|TCP|UDP|ICMP等等,如:只允許訪問主機:222.20.16.254www,埠為:80

PIX525(config)#access-list100permit ip any host 222.20.16.254 eq www

denyip any any

PIX525(config)#access-group100 in interface outside

 

  • cisco防火牆配置地址轉換

NAT跟路由器基本是一樣的,

首先必須定義IPPool,提供給內部IP地址轉換的地址段,接著定義內部網段。

PIX525(config)#global(outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#nat(inside) 1 192.168.0.0 255.255.255.0

如果是內部全部地址都可以轉換出去則:

PIX525(config)#nat(inside) 1 0.0.0.0 0.0.0.0

則某些情況下,外部地址是很有限的,有些主機必須單獨佔用一個IP地址,必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令,這種稱為(PAT),這樣就能解決更多使用者同時共享一個IP,有點像代理伺服器一樣的功能。配置如下:

PIX525(config)#global(outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#global(outside) 1 222.20.16.201 netmask

255.255.255.0

PIX525(config)#nat(inside) 1 0.0.0.0 0.0.0.0

 

  • cisco防火牆配置DHCP

在內部網路,為了維護的集中管理和充分利用有限IP地址,都會啟用動態主機分配IP地址伺服器(DHCP Server),Cisco Firewall PIX都具有這種功能,下麵簡單配置DHCP Server,地址段為192.168.1.100—192.168.1.200

DNS: 202.96.128.68 202.96.144.47

主域名稱:

DHCPClient 透過PIX Firewall

PIX525(config)#ipaddress dhcp

DHCPServer配置

PIX525(config)#dhcpd address192.168.1.100-192.168.1.200

inside

PIX525(config)#dhcpdns 202.96.128.68 202.96.144.47

PIX525(config)#dhcpdomain

 

  • cisco防火牆配置靜態埠

靜態埠重定向(PortRedirection with Statics)

PIX 版本6.0以上,增加了埠重定向的功能,允許外部使用者透過一個特殊的IP地址/埠透過Firewall PIX

傳輸到內部指定的內部伺服器。這種功能也就是可以釋出內部WWWFTPMail等伺服器了,這種方式並不是直接連線,而是透過埠重定向,使得內部伺服器很安全。

命令格式:

static

[(internal_if_name,external_if_name)]{global_ip|interface}

local_ip

[netmask

mask][max_cons[max_cons[emb_limit[norandomseq]]]

static

[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}

local_ip

[netmask

mask][max_cons[max_cons[emb_limit[norandomseq]]]

!—-外部使用者直接訪問地址222.20.16.99

telnet埠,透過PIX重定向到內部主機192.168.1.99telnet埠(23)。

PIX525(config)#static (inside,outside) tcp222.20.16.99

telnet192.168.1.99 telnet netmask 255.255.255.255 0 0

!—-外部使用者直接訪問地址222.20.16.99

FTP,透過PIX重定向到內部192.168.1.3FTP Server

PIX525(config)#static(inside,outside) tcp 222.20.16.99

ftp192.168.1.3 ftp netmask 255.255.255.255 0 0

!—-外部使用者直接訪問地址222.20.16.208

www(80),透過PIX重定向到內部192.168.123主機www(80)

www192.168.1.2 www netmask 255.255.255.255 0 0

!—-外部使用者直接訪問地址222.20.16.201

HTTP(8080),透過PIX重定向到內部192.168.1.4的主機的www(80)

8080192.168.1.4 www netmask 255.255.255.255 0 0

!—-外部使用者直接訪問地址222.20.16.5

smtp(25),透過PIX重定向到內部192.168.1.5的郵件主機smtp(25)

smtp192.168.1.4 smtp netmask 255.255.255.255 0 0

 

  • cisco防火牆配置顯示儲存

顯示命令showconfig

儲存命令writememory

 


尋找同路人

做自動化工業變革的踐行者


可透過選單查詢自己喜歡的文章彙總:

現場儀錶DCS部分PLC部分SIS部分通訊標準數字化問題解答】此處列出部分連結,更多文章透過選單獲取。



贊(0)

分享創造快樂