马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
Cisco pix515配置实例2007-08-15 11:12F:http://hi.baidu.com/dumz/blog/item/7da78a318a3481a95edf0ebd.html、引言
硬件防火墙的应用,现在是越来越多,产品也很丰富。一般国产的防火墙多带有中文的说明和一些相应的配置实例,但国外的产品几乎都没有中文的说明书,这对一个初学者来说,尤其是中国的用户,是很不方便的,所以只好请专业人士来调试了。本院一毕业生的单位就添置了一台Cisco fix515的防火墙,他请笔者帮忙,借此机会,我将详细的配置写下来,作为教学的一实际案例。
二、物理连接
Pix515的外观:是一种标准的机架式设备,高度为2U,电源开关和接线在背后。正面有一些指示灯,如电源、工作是否正常的表示等;背面板有一些接口和扩展口,我们这次要用到的接口有三个:两个以太(RJ-45网卡)和一个配置口,其英文分别是:ETHERNET0、ETHERNET1和CONSOLE。
先将防火墙固定在机架上,接好电源;用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。注意:该线缆是扁平的,一端是RJ-45接口,要接在防火墙的console端口;另一端是串口,要接到笔记本的串口上。
三、初始化配置程序
启动笔记本,防火墙通电。
1.新建一个超级终端
运行windows里的超级终端程序。其步骤如下:单击开始→所有程序→附件→通讯→超级终端,就会出现对话框:此时需要输入一个所建超级终端的名称,可输PIX515 ↙;出现下一对话框:需要选择串口的端口,我们选择com1↙;出现下一对话框:需要选择传输速率,我们选择9600↙。
2.基本配置
此时,出现超级终端对话框,按↙
对应提示填写:
Password(口令):自定。↙
Year(年):[2004] ↙
Moth(月):[Feb] ↙
Day(天):[20] ↙
Time(时间):[10:21:30] ↙
Inside IP address(内部IP地址) :192.168.10.0↙
Inside network mask(内部掩码):255.255.255.0↙
Host name(主机名称):FIX515↙
Domain name(主域):YCZD.COM.CN↙
随后出现以上设置的总结,提示是否保存。选择YES,存入到flash。
四、具体配置
在配置之前,需要了解一些具体的需求。在本实例中,该单位是通过防火墙接入到Internet,防火墙要有路由的功能;net1接外网,net0接内网。
电信给的IP 地址为:219.140.164.24~31共8个地址:
GW(网关): 219.140.164.25;
掩码: 255.255.255.248。
内部IP地址:192.168.10.X;
掩码:255.255.255.0;
GW:192.168.10.0。
具体配置如下:
启动超级终端程序FIX515,出现一提示符“-”,此时要按回车键,就出现 fix515>提示符,输入命令:enable↙;出现password:↙;进入特权模式,此时系统提示为fix5153#。输入命令:configure terminal↙,对系统进行初始化设置。出现fix515(config)#提示符。以下的配置都在此提示符下进行。
1.配置网络端口
fix515(config)# interface ethernet0 auto ↙
fix515(config)# interface ethernet1 auto↙
auto选项表明端口eth0和eth1为自适应。
2.定义安全级别
fix515(config)# nameif ethernet1 outside security 0↙
fix515(config)# nameif ethernet0 inside security 100↙
外网的安全级别为最低,内网的安全级别为最高。
3.配置内、外端口的IP地址
fix515(config)# ip address inside 192.168.10.1 255.255.255.255.0↙
fix515(config)# ip address outside 219.140.164.26 255.255.255.248↙
内部为192.168.10.1;外部为219.140.164.26。
4.指定要转换的内部地址
fix515(config)# nat(inside) 1 0.0.0.0 0.0.0.0↙
表示内部全部地址都可以转换出去。
5.指定外部地址范围
fix515(config)# global(outside) 1 219.140.164.27-219.140.164.30 netmask 255.255.255.248↙
将外部地址的范围定义在27-30之间。
6.设置指向内部网和外部网的缺省路由
fix515(config)# route inside 0 0 192.168.10.1↙
fix515(config)# route outside 0 0 219.164.140.26↙
内 192.168.10.1 ;外 219.164.140.26。
7.配置远程访问
fix515(config)#telen 192.168.10.9 255.255.255.0↙
fix515(config)#telen 210.20.14.10 255.255.255.0↙
第一条表示内部可配置的地址;
第二条表示外部可配置的地址。
8.将配置保存
fix515(config)# wr mem↙
wr mem是write memory的缩写,即将配置信息写入flash memory。
9.重启
fix515(config)# reload↙
以上为一个共享上网的初步配置。
五、其他几个要用到的命令
1.no
当要取消条命令时,要用“no”加原命令。如:
原命令telen 210.20.14.10 255.255.255.0↙
要取消时输no telen 210.20.14.10 255.255.255.0↙。
2.show
可以查看已配置的情况。如:show interface↙ 表示查看内部端口状态。
3.ping
用来检查所配置端口是否连通。
六、结束语
1.配置环境:笔记本的操作系统为WXP;PIX软件的版本为6.03。
2.所有的下划线上的字符均要输入,↙表示要按回车键。中文和()内的文字为注释。
3.所有命令均来自防火墙随机的电子文档,因是英文翻译,中文可能有不当之处。
4.以上的配置为一基本配置,如要用到其他功能,需要添加其他的配置语句和命令,本文不再一一列举。本配置程序为实际的设置过程,该系统目前运行正常。
这个是例外一个人写的发上来看看 有什么不懂的可以对着比较一下!
pix515配置实例
白领农民 发表于 2005-3-28 13:26:56
pix>enable
pix#conf t
pix(config)enable password cisco encry
pix(config)#interface eth0 auto
pix(config)#interface eth1 auto
pix(config)#interface eth2 auto
pix(config)#nameif e2 DMZ security50
pix(config)#ip add inside 10.110.245.1 255.255.255.0
pix(config)#ip add outside 211.137.252.192 255.255.255.240
pix(config)#ip add dmz 10.11.0.245 255.255.255.0
pix(config)#static (dmz,outside) tcp 211.137.252.195 80 192.168.0.29 80 netmask 255.255.255.255 0 0
pix(config)#static (dmz,outside) tcp 211.137.252.195 443 192.168.0.29 443 netmask 255.255.255.255 0 0
conduit permit tcp host 211.137.252.195 eq 80 any
conduit permit tcp host 211.137.252.195 eq 443 any
;web服务器的静态映射
pix(config)#static (dmz,outside) tcp 211.137.252.196 80 192.168.0.34 80 netmask 255.255.255.255 0 0
pix(config)#static (dmz,outside) tcp 211.137.252.196 443 192.168.0.34 443 netmask 255.255.255.255 0 0
pix(config)#static (dmz,outside) tcp 211.137.252.196 25 192.168.0.34 25 netmask 255.255.255.255 0 0
conduit permit tcp host 211.137.252.196 eq 80 any
conduit permit tcp host 211.137.252.196 eq 443 any
conduit permit tcp host 211.137.252.196 eq 25 any
;邮件服务器的静态映射
pix(config)#static (dmz,outside) tcp 211.137.252.197 80 192.168.0.20 80 netmask 255.255.255.255 0 0
pix(config)#static (dmz,outside) tcp 211.137.252.197 554 192.168.0.20 554 netmask 255.255.255 0 0
pix(config)#static (dmz,outside) tcp 211.137.252.197 1755 192.168.0.20 1755 netmask 255.255.255.255 0 0
pix(config)#static (dmz,outside) udp 211.137.252.197 1755 192.168.0.20 1755 netmask 255.255.255.255 0 0
pix(config)#static (dmz,outside) udp 211.167.252.197 5005 192.168.0.20 5005 netmask 255.255.255.255 0 0
conduit permit tcp host 211.137.252.197 eq 80 any
conduit permit tcp host 211.137.252.197 eq 554 any
conduit permit tcp host 211.137.252.197 eq 1755 any
conduit permit udp host 211.137.252.197 eq 1755 any
conduit permit udp host 211.137.252.197 eq 5005 any
;配置vod1服务器的静态映射
pix(config)#static (dmz,outside) tcp 211.137.252.198 80 192.168.0.21 80 netmask 255.255.255.255 0 0
pix(config)#static (dmz,outside) tcp 211.137.252.198 554 192.168.0.21 554 netmask 255.255.255.255 0 0
pix(config)#static (dmz,outside) tcp 211.137.252.198 1755 192.168.0.21 1755 netmask 255.255.255.255 0 0
pix(config)#static (dmz,outside) udp 211.137.252.198 1755 192.168.0.21 1755 netmask 255.255.255.255 0 0
pix(config)#static (dmz,outside) udp 211.137.252.198 5005 192.168.0.21 5005 netmask 255.255.255.255 0 0
conduit permit tcp host 211.137.252.198 eq 80 any
conduit permit tcp host 211.137.252.198 eq 554 any
conduit permit tcp host 211.137.252.198 eq 1755 any
conduit permit udp host 211.137.252.198 eq 1755 any
conduit permit udp host 211.137.252.198 eq 5005 any
;配置vod2服务器的静态映射
pix(config)#ip access-list extended mz
pix(config)#permit tcp 192.168.0.20 0.0.0.3 8001 10.110.245.41 0.0.0.3 8001
pix(config)#permit tcp 192.168.0.20 0.0.0.3 8002 10.110.245.41 0.0.0.3 8002
;对DMZ区中的两台流媒体服务器开放对这3台服务器在8001、8002端口上(皆为TCP端口)的入站请求
pix(config)#permit tcp 192.168.0.25 0.0.0.7 53 10.110.245.10 0.0.0.3 53
pix(config)#permit tcp 192.168.0.25 0.0.0.7 88 10.110.245.10 0.0.0.3 88
pix(config)#permit tcp 192.168.0.25 0.0.0.7 135 10.110.245.10 0.0.0.3 135
pix(config)#permit tcp 192.168.0.25 0.0.0.7 137 10.110.245.10 0.0.0.3 137
pix(config)#permit tcp 192.168.0.25 0.0.0.7 139 10.110.245.10 0.0.0.3 139
pix(config)#permit tcp 192.168.0.25 0.0.0.7 389 10.110.245.10 0.0.0.3 389
pix(config)#permit tcp 192.168.0.25 0.0.0.7 445 10.110.245.10 0.0.0.3 445
pix(config)#permit tcp 192.168.0.25 0.0.0.7 636 10.110.245.10 0.0.0.3 636
pix(config)#permit tcp 192.168.0.25 0.0.0.7 3268 10.110.245.10 0.0.0.3 3268
pix(config)#permit tcp 192.168.0.25 0.0.0.7 4000 10.110.245.10 0.0.0.3 4000
pix(config)#permit udp 192.168.0.25 0.0.0.7 53 10.110.245.10 0.0.0.3 53
pix(config)#permit udp 192.168.0.25 0.0.0.7 88 10.110.245.10 0.0.0.3 88
pix(config)#permit udp 192.168.0.25 0.0.0.7 135 10.110.245.10 0.0.0.3 135
pix(config)#permit udp 192.168.0.25 0.0.0.7 137 10.110.245.10 0.0.0.3 137
pix(config)#permit udp 192.168.0.25 0.0.0.7 138 10.110.245.10 0.0.0.3 138
pix(config)#permit udp 192.168.0.25 0.0.0.7 389 10.110.245.10 0.0.0.3 389
;对DMZ区中的两台Web服务器和两台Exchange服务器开放对这两台AD服务器在以下端口上的入站请求
pix(config)#permit tcp 192.168.0.25 0.0.0.3 1433 10.110.245.35 0.0.0.3 1433
;对DMZ区中的两台Web服务器开放对此集群在1433(TCP)端口上的入站请求
pix(config)#access-group mz out interface inside
pix(config)#route outside 0.0.0.0 0.0.0.0 211.137.252.191
pix(config)#global (outside) 1 211.137.252.192-211.137.252.194 netmask 255.255.255.240
pix(config)nat (inside) 1 192.168.0.0 255.255.255.0
pix(config)nat (inside) 1 10.11.0.0 255.255.255.0
pix(config)wr
|