pix防火墻透明模式配置工作在透明模式下時,pix相當于一條網綫,故障切换由其它的三層設
所以不用設置彆的網絡地址,只要加一個ip用于以後配置就可以了.
一、升級系統
由于一般的PIX系列的防火墻出場時候預裝的IOS是6.X的版本,而只有7.0以上才支持透明模式.
所以第一步是升級IOS
准備工作:
找一台和防火墻在一個交换機機上的計算機安裝ciscotftp軟件.
去www.skycn.com上面就有.很簡單漢化版.
然後去cisco網站上下載一個7.0的bin文件(我下載的是pix701.bin)放到tftp服務器的根目録下
正式開始:
防火墻通電,按ESC進入monitor> 狀態下。
monitor> address 192.1.1.1 --設置防火墻IP
address 192.1.1.1
monitor> server 192.1.1.2 --設置tftp服務器的IP
server 192.1.1.2
monitor> ping 192.1.1.2 --檢測一下是否能ping通
Sending 5, 100-byte 0x7970 ICMP Echoes to 10.32.2.78, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor> file pix701.bin --聲明你下載的那個bin文件的全稱
file pix704.bin
monitor> tftp --開始灌入
tftp pix704.bin@192.168.1.80...........................
耐心等待.一直到出現非特權模式的那個">"符號.下面要吧bin文件考到flash裏面去,以後啓動的時候才能正常使用
pixfirewall> en
Password:
pixfirewall# con t
pixfirewall(config)# interface ethernet1 --進入端口模式
pixfirewall(config-if)# ip address 192.1.11 255.255.255.0 --配置e1口的IP
pixfirewall(config-if)# nameif inside --配置e1口為防火墻的inside口
INFO: Security level for "inside" set to 100 by default.
pixfirewall(config-if)# no shutdown --激活inside口
pixfirewall(config-if)# ping 192.1.1.2 --測試一下
Sending 5, 100-byte ICMP Echos to 192.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
pixfirewall(config-if)# exit --退出端口模式
pixfirewall(config)# copy tftp flash: --copybin文件
Address or name of remote host []? 192.1.1.2 --tftp服務器IP
Source filename []? pix701.bin --文件名
Destination filename [pix701.bin]? pix701.bin --確認
Accessing tftp://192.1.1.2/pix701.bin...!! --開始copy 耐心等待
Writing file flash:pix701.bin...!!!!!!!!!!!!!
5124096 bytes copied in 82.80 secs (62488 bytes/sec)
pixfirewall(config)# reload --升級完成.重啓!!!!!!!ps.第一次啓動時間會稍長不要着急
二、PIX防問控制一般用ACL就能實現
1、用access-list寫建立一個列表.
2、access-group (access-list name) interface (interface name ) in/out應用上去就可以了
三、例子
pixfirewall> en
Password:
pixfirewall# con t
pixfirewall(config)# interface ethernet0
pixfirewall(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
pixfirewall(config-if)# no shutdown
pixfirewall(config-if)# exit
pixfirewall(config)# interface ethernet1
pixfirewall(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
pixfirewall(config-if)# no shutdown
pixfirewall(config-if)# exit
配置透明模式
pixfirewall(config)# firewall transparent --設置防火墻為透明模式
pixfirewall(config)# access-list out-list extended permit icmp any any --設置允許通過所有的協議
pixfirewall(config)# access-list out-list extended permit ip any any --設置允許通過所有的IP
pixfirewall(config)# access-group out-list in interface outside --把剛才的訪問列表綁在outside口
pixfirewall(config)# access-group out-list out interface outside --把剛才的訪問列表綁在outside口
pixfirewall(config)# ip address 192.168.11.1 255.255.255.0 --設置一個以後配置防火墻的IP
access-list goout permit tcp any any eq 7411 --允許打開的端口7411
access-list goout permit tcp any any eq 7412 --允許打開的端口7412
.....
在後面加一句
access-list goout deny tcp any any --關閉除7411和7412外的所有端口
access-group goout in interface outside --把acl規則應用到outside的入口端上
access-group goout out interface outside --把acl規則應用到outside的出口端上
開啓telnet
telnet 192.168.11.0 255.255.255.0 inside
添加用户
username cisco password cisco123456
四、acl中in和out的區彆
in和out是相對的,比如:
A(s0)-----(s0)B(s1)--------(s1)C
假設你現在想拒絶A訪問C,并且假設要求你是在B上面做ACL(當然C上也可以),我們把這個拓撲换成一個例子:
B的s0口是前門,s1口是後門,整個B是你家客廳,前門外連的是A,客廳後門連接的是你家金庫(C)
現在要拒絶小偷從A進來,那麽你在你家客廳做個設置,就有2種辦法:
1.在你家客廳(B)前門(B的s0)安個鐵門(ACL),不讓小偷進來(in),這様可以達到目的
2.在你家客廳後門安個鐵門(B的s1),小偷雖然進到你家客廳,但是仍然不能從後門出去(out)到達你家金庫(C)
雖然這2種辦法(in/out)都可以達到功效,但是從性能角度上來説還是有區彆的,
實際上最好的辦法,就是選辦法1,就像雖然小偷没進到金庫,至少進到你家客廳(B),
把你客廳的地毯給搞贜了(B要消耗些額外的不必要的處理)
假設你要把鐵門(ACL)安在C,那時候應該用in還是out呢?
這個問題留給你自己回答了,呵呵
相對于路由器的,穿過路由器的是out 即將進入的是in
擴展acl,要靠近源,標准acl靠近目標地址
實際上in和out的應用是很靈活的
沒有留言:
張貼留言