liuqingqiu23 发表于 2009-6-2 19:47:08

PIX 防火墙B

11.ACL(控制列表)
***使用accless-list和access-group 两条命令可以实现ACL***
------------------------------------------------------------------------------
access-list 语法1:
access-list acl_id deny|permit protocol source_addr source_mask ] destination_addr destination_mask operator port
access-list 语法2:
access-list acl_id deny|permit icmp source_addr sorce_mask destination_addr destination_mask
access-list 语法3:
access-list acl_id remark text
------------------------------------------------------------------------------
参数:
acl_id :ACL名称
line :用于指定ACL条目睡在的行编号的可选的关键字
line_num :从1开始的行编号
deny :拒绝数据包通过PIXFIREWALL
permit :允许通过PIXFIREWALL防火墙的数据包
protocol :协议的名称或协议号,可以是ICMP、TCP、UDP、IP
source_add :作为数据包发送源的主机或网络的地址
source_mask :用于source_addr的网络掩码
operator :可以用来指定某个端口号或端口范围的比较运算符
port :通过端口号指出所代表的服务,0-65535
destination_addr :作为数据包接受端的主机或网络的地址
destination_mask :用于destination_addr的网络掩码
icmp_type :允许或拒绝访问的ICMP消息类型
Remark :注释
text :用于remark的注释正文
------------------------------------------------------------------------------
access-group 语法:
access-group acl_id in interface interface_name
------------------------------------------------------------------------------
参数:
acl_id :于给定的ACL相关联的名称
in interface :在给定的即可上过滤入站的数据包
interface_name :网络接口的名称
------------------------------------------------------------------------------
例1:
access-list acl_0 deny tcp 192.168.1.0 255.255.255.0 host 192.168.0.1 lt 1024
access-group acl_0 in interface outside
例2:
access-list 100 permit tcp 172.18.0.0 255.255.255.0 host 172.18.0.12 eq smtp
access-group 100 in interface dmz
------------------------------------------------------------------------------
12.fixup
------------------------------------------------------------------------------
Fixup 语法:
fixup protocol protocol_name ]
------------------------------------------------------------------------------
参数:
protocol_name :指定要修正的协议
port :端口
------------------------------------------------------------------------------
例:
fixup protocol http 5000//允许PIXFIREWALL防火墙识别5000端口,并且想处理80端口的连接一样处理到5000端口的连接。
------------------------------------------------------------------------------
13.路由选择
13.1.静态路由选择
------------------------------------------------------------------------------
route语法:route if_name ip_address netmask
------------------------------------------------------------------------------
参数:
if_name :内部或外部网络接口名称
ip_address :内部网络IP地址
netmask :指定一个应用到ip_address上的网络掩码
gateway_ip:指定网关路由器的IP地址
metric :指定gateway_ip的跳数缺省1
------------------------------------------------------------------------------
例:
Pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 218.16.37.193 1
//默认路由到所有网段经过218.16.37.193网关跳数为1
------------------------------------------------------------------------------
13.2.动态路由选择
------------------------------------------------------------------------------
RIP语法:
rip if_name default |passives ] ]
rip outside passive version 2 authentication md5 MYKEY 2
rip inside default
------------------------------------------------------------------------------
参数:
if_name :内部或外部接口名
defaylt :指明在接口上通告缺省路由
passive :在指定接口上启动被动RIP。指示防火墙监听RIP路由选择广播并同步路由选择表
version :设置RIP的版本,版本2允许加密路由更新,版本1用来配置的老本的后向兼容
authentication :用来启动RIP版本2的认证
text :指明纯文本格式发送RIP更新
md5 :用md5算法加密RIP更新
key :用来加密RIP更新
key_id :key的id值,取值范围1-255,要求手法RIP版本2更新的设备上,必须配置相同的值
------------------------------------------------------------------------------
14.基于Cable-Based双机
Pixfirewall(config)#ip address outside 218.16.37.229 255.255.255.193
//定义outside端口地址
Pixfirewall(config)#ip address inside 192.168.1.1 255.255.255.0
//定义inside端口地址
Pixfirewall(config)#ip address state 192.168.253.1 255.255.255.252
//定义state端口地址
Pixfirewall(config)#failover ip address outside 218.16.37.230
//分配故障倒换IP,即待机防火墙接口IP地址
Pixfirewall(config)#failover ip address inside 192.168.1.2
//分配故障倒换IP,即待机防火墙接口IP地址
Pixfirewall(config)#failover ip address state 192.168.253.2
//分配故障倒换IP,即待机防火墙接口IP地址
Pixfirewall(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4d12
//故障倒换PIX虚拟MAC地址
Pixfirewall(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4d22
//故障倒换PIX虚拟MAC地址
Pixfirewall(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4d32
//故障倒换PIX虚拟MAC地址
Pixfirewall(config)#failover link state
//故障倒换专用接口名
Pixfirewall(config)#failover
//启用故障倒换功能
Pixfirewall(config)#show failover
//验证配置
------------------------------------------------------------------------------
15.基于LAN-Based双机
1)primary设备
Pix525(config)#ip address outside 218.16.37.229 255.255.255.193
//定义outside端口地址
Pix525(config)#ip address inside 192.168.1.1 255.255.255.0
//定义inside端口地址
Pix525(config)#ip address failover 192.168.253.1 255.255.255.0
//定义failover端口地址
Pix525(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4d12
//故障倒换PIX虚拟MAC地址
Pix525(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4d22
//故障倒换PIX虚拟MAC地址
Pix525(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4d32
//故障倒换PIX虚拟MAC地址
Pix525(config)#failover ip address outside 218.16.37.231
//分配故障倒换IP,即待机防火墙接口IP地址
Pix525(config)#failover ip address inside 192.168.1.2
//分配故障倒换IP,即待机防火墙接口IP地址
Pix525(config)#failover ip address failover 192.168.253.2
//分配故障倒换IP,即待机防火墙接口IP地址
Pix525(config)#failover link failover
//指定故障倒换专业接口
Pix525(config)#failover lan unit primary
//指定故障倒换中主PIX防火墙
Pix525(config)#failover lan interface failover
//指定基于LAN的故障倒换接口名字
Pix525(config)#failover lan key 12345678
//基于LAN的故障倒换信息进行加密
Pix525(config)#failover lan enable
//启动LAN故障倒换
Pix525(config)#failover
//启动故障倒换
Pix525(config)#show failover
//验证配置
2)Secondary 设备:
Pix525(config)#ip address failover 192.168.253.1 255.255.255.0
//定义failover端口地址
Pix525(config)#failover ip address failover 192.168.253.2
//分配故障倒换IP,即待机防火墙接口IP地址
Pix525(config)#failover lan unit secondary
//指定故障倒换中备用PIX防火墙
Pix525(config)#failover lan interface failover
//指定基于LAN的故障倒换接口名字
Pix525(config)#failover lan key 12345678
//基于LAN的故障倒换信息进行加密
Pix525(config)#failover lan enable
//启动LAN故障倒换
Pix525(config)#failover
//启动故障倒换
Pix525(config)#show failover
//验证配置
------------------------------------------------------------------------------
16.license
pixfirewall(config)# activation-key 4ec1bb63 3fa5a5e1 86387c62 2dc43484
//升级系统license
------------------------------------------------------------------------------
17.show
show memory
//显示最大物理内存
show running-config
//查看当前配置
show version
//查看防火墙软件版本
show cpu usage
//显示CPU使用情况
页: [1]
查看完整版本: PIX 防火墙B