介紹PIX防火墻的高級配置
PIX防火墻作為企業防護產品被廣大的網絡管理員所接受和使用,前邊我們已經講過了PIX防火墻的六條基礎命令。(詳情請見:配置PIX防火墻的六項基本命令)今天我們來介紹pix防火墻的一些高級配置。
配置靜態IP地址翻譯(static):
如果從外網發起一個會話,會話的目的地址是一個內網的ip地址,static就把內部地址翻譯成一個指定的全局地址,允許這個會話建立。
static命令配置語法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address,其中internal_if_name表示內部網絡接口,安全級別較高。如inside.。external_if_name為外部網絡接口,安全級別較低,如outside等。
outside_ip_address為正在訪問的較低安全級別的接口上的ip地址。inside_ ip_address為內部網絡的本地ip地址。 示例語句如下:
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
ip地址為192.168.0.8的主機,對于通過pix防火墻建立的每個會話,都被翻譯成61.144.51.62這個全局地址,也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。PIX將把192.168.0.8映射為61.144.51.62以便NAT更好的工作。
小提示:
使用static命令可以讓我們為一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠為具有較低安全級別的指定接口創建一個入口,使它們可以進入到具有較高安全級別的指定接口。
管道命令(conduit):
使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射,但從外部到內部接口的連接仍然會被pix防火墻的自適應安全算法(ASA)阻擋,conduit命令用來允許數據流從具有較低安全級別的接口流向具有較高安全級別的接口,例如允許從外部到DMZ或內部接口的入方向的會話。
對于向內部接口的連接,static和conduit命令將一起使用,來指定會話的建立。說得通俗一點管道命令(conduit)就相當于以往CISCO設備的訪問控制列表(ACL)。
conduit命令配置語法:
conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask],其中permit|deny為允許|拒絕訪問,global_ip指的是先前由global或static命令定義的全局ip地址,如果global_ip為0,就用any代替0;如果global_ip是一臺主機,就用host命令參數。
port指的是服務所作用的端口,例如www使用80,smtp使用25等等,我們可以通過服務名稱或端口數字來指定端口。protocol指的是連接協議,比如:TCP、UDP、ICMP等。foreign_ip表示可訪問global_ip的外部ip。對于任意主機可以用any表示。如果foreign_ip是一臺主機,就用host命令參數。示例語句如下:
Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
表示允許任何外部主機對全局地址192.168.0.8的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eq ftp就是指允許或拒絕只對ftp的訪問。
Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
設置不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
Pix525(config)#conduit permit icmp any any
設置允許icmp消息向內部和外部通過。
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
這兩句是將static和conduit語句結合而生效的,192.168.0.3在內網是一臺web服務器,現在希望外網的用戶能夠通過pix防火墻得到web服務。所以先做static靜態映射把內部IP192.168.0.3轉換為全局IP61.144.51.62,然后利用conduit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。
小提示:
對于上面的情況不使用conduit語句設置容許訪問規則是不可以的,因為默認情況下PIX不容許數據包主動從低安全級別的端口流向高安全級別的端口。
配置fixup協議:
fixup命令作用是啟用,禁止,改變一個服務或協議通過pix防火墻,由fixup命令指定的端口是pix防火墻要偵聽的服務。示例例子如下:
Pix525(config)#fixup protocol ftp 21
啟用ftp協議,并指定ftp的端口號為21
Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
為http協議指定80和1080兩個端口。
Pix525(config)#no fixup protocol smtp 80
禁用smtp協議。
設置telnet:
在pix5.0之前只能從內部網絡上的主機通過telnet訪問pix。在pix 5.0及后續版本中,可以在所有的接口上啟用telnet到pix的訪問。當從外部接口要telnet到pix防火墻時,telnet數據流需要用ipsec提供保護,也就是說用戶必須配置pix來建立一條到另外一臺pix,路由器或vpn客戶端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client從外部telnet到PIX防火墻。
我們可以使用telnet語句管理登錄PIX的權限,telnet配置語法:telnet local_ip [netmask] local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項,pix的配置方式只能由console進行。也就是說默認情況下只有通過console口才能配置PIX防火墻。
小提示:
由于管理PIX具有一定的危險性,需要的安全級別非常高,所以不建議大家開放提供外網IP的telnet管理PIX的功能。如果實際情況一定要通過外網IP管理PIX則使用SSH加密手段來完成。
總結:
通過六個基本命令和四個高級命令我們就可以合理配置PIX設備,對于其他公司的PIX配置命令我們也可以一句句的看懂了。下一篇我們就為大家呈現一套PIX的配置實例,對于關鍵地方將為大家加上注釋。希望各位讀者真正掌握每條語句
【編輯推薦】
