使用cisco pix防火墻

公司主營(yíng)業(yè)務(wù)：網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、移動(dòng)網(wǎng)站開(kāi)發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。成都創(chuàng)新互聯(lián)公司是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開(kāi)放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來(lái)的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來(lái)驚喜。成都創(chuàng)新互聯(lián)公司推出鐵東免費(fèi)做網(wǎng)站回饋大家。

1.interface command

在配置用戶接口的時(shí)候我們經(jīng)常聽(tīng)到關(guān)于接口的專有名詞

hardware_id指ethernet 0,e1,e2

interface_name指outside,inside,DMZ

hardware_speed,通產(chǎn)設(shè)置為自動(dòng)，但是cisco推薦我們手動(dòng)配置速度.關(guān)于速度和你選擇的網(wǎng)絡(luò)傳輸介質(zhì)有關(guān).

no shutdown在router上用戶激活這個(gè)端口，在pix中，沒(méi)有no shutdown命令，只有使用到shutdown這個(gè)參數(shù)，主要用于管理關(guān)閉接口.

interface hardware_id hardware_speed [shutdown]

interface e0 auto

interface e1 auto

interface e2 auto

2.nameif command

nameif 主要用于命令一個(gè)接口，并且給它分配一個(gè)從1到99的安全值，因?yàn)橥獠拷涌诤蛢?nèi)部接口都是默認(rèn)的，分別是0和100,同時(shí)默認(rèn)情況下e0是外部接口，e1是指內(nèi)部接口.

nameif hardware_id if_name security_level

nameif e0 outside 0

nameif e1 inside 100

nameif e2 DMZ 50

使用show nameif來(lái)查看配置情況

關(guān)于security_level值得區(qū)別，請(qǐng)都看看我前面寫(xiě)的.從高安全段的流量到低安全段的流量怎么走，放過(guò)又怎么走，需要什么條件才能流進(jìn)流出.

3.ip address command

cisco pix接口的ip 地址可以從兩個(gè)地方來(lái)獲得，分別是 manual 和dhcp

ip address用于手動(dòng)配置一個(gè)接口上的ip address,通過(guò)將一個(gè)邏輯地址添加到一個(gè)硬件ID上.

ip address if_name ip_address [netmask]

ip address inside 192.168.10.0 255.255.255.0

Remove the currently configured ip address

pix(config)#clear ip address  (全部清除ip address)

pix(config)#no ip address inside 192.168.10.0 255.255.255.0(清除這個(gè)接口的ip address)

4.Nat command

用于一組ip 地址轉(zhuǎn)換成另外一組ip 地址,昨天我看到6.2版本支持nat outside ip address,不知道這個(gè)究竟在什么環(huán)境才用到，呵呵

在用nat命令的時(shí)候，有個(gè)特別的注意點(diǎn):nat 0有特殊含義，其次nat 總是和global一起使用.

nat (if_name) nat_id local_ip [netmas]

nat (inside) 1 192.168.10.0 255.255.255.0

5.Global command

global命令用于定義用nat命令轉(zhuǎn)換成的地址或者地址范圍，注意global命令中的nat_id需要和你配置的nat命令中的nat_id相同.

global (if_name) nat_id global_ipglobal_ip-global_ip [netmask]

global (outside) 1 10.0.0.1 255.0.0.0  (PAT轉(zhuǎn)換，當(dāng)你用這個(gè)命令，CLI會(huì)給你一個(gè)警告信息指出pix要PAT的所有地址)

global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0

這里有這樣一個(gè)命令可以在pix檢測(cè)轉(zhuǎn)換表中查看你是否有這個(gè)特定ip的入口.show xlate,一般一個(gè)被轉(zhuǎn)換的ip address保存在轉(zhuǎn)換表中的默認(rèn)時(shí)間是3個(gè)小時(shí).你可以通過(guò)timeout xlate hh:ss來(lái)更改這個(gè)設(shè)置.

這里你也同樣需要了解PAT是怎么工作的，同樣你要知道PAT也有局限，不能支持H.323和高速緩存使用的名稱服務(wù)器，老實(shí)說(shuō)我也不知道這兩個(gè)是什么東東:(

6.route command,very important!!!

route告訴我們要在那個(gè)特定的接口轉(zhuǎn)發(fā)，并指定那個(gè)特定的網(wǎng)絡(luò)地址.使用route命令向pix增加一個(gè)靜態(tài)路由.

route if_name ip_address netmask gateway_ip [metric]

說(shuō)明一下if_name指你數(shù)據(jù)要離開(kāi)處的那個(gè)端口

ip_address被路由的ip address

netmask被路由的ip address的網(wǎng)絡(luò)掩碼

gateway_ip 下一跳的ip address

metric到下一個(gè)設(shè)備的跳數(shù)

在pix上用的最多的是配置一個(gè)默認(rèn)路由

route outside 0 0 192.168.1.3 1 其中0 0 表示網(wǎng)段內(nèi)所有的ip address從outside ip address是192.168.1.3出去

如果你想要測(cè)試新的路由配置，在這之前用clear arp清除pix firewall的arp高速緩存is a good idea.

7.RIP command

不講，不想了解，也不知道，沒(méi)有見(jiàn)過(guò)那個(gè)人在配置PIX用過(guò)RIP協(xié)議的

需要了解的人查書(shū)吧，如果你有這方面的經(jīng)驗(yàn)，可以寫(xiě)出來(lái)大家share一下:)

8.測(cè)試你的配置，一般有幾種，首先查看一下你的配置命令是否正確，show xxxxx來(lái)查看。show interface,show nameif,show ip address,show route,show nat,show global 等等.其次使用ping命令，前提是你需要使用icmp permit any any outside，因?yàn)槟J(rèn)情況下pix是拒絕所有來(lái)自于外部接口的輸入流量的，除非你使用conduit permit icmp any any ,但是這個(gè)命令使你不能ping通外部接口的ip address.最后是用debug命令,debug icmp trace,建議大家可以看看，但是看了之后最好關(guān)掉，以便影響pix的performance.

9.配置每一個(gè)pix命令是在pix立刻反應(yīng)出來(lái)的，所以你可以嘗試配置，但是不要配置，等你有把握時(shí)在保存wr m,但你配置錯(cuò)誤，你可以reload一下就可以了.

10.pix對(duì)dhcp支持

  10.1首先是可以將pix配置為dhcp server.PIX dhcp服務(wù)器只能在pix的內(nèi)部接口上激活，同時(shí)你需要查找資料，因?yàn)閭€(gè)別的如506/506e，由于OS版本不同，對(duì)client ip address支持?jǐn)?shù)目也不同.

    dhcpd enable inside

    dhcpd address 192.168.10.0-192.168.10.200 255.255.255.0

    dhcpd lease 2700 (授權(quán)用戶的租借長(zhǎng)度，默認(rèn)時(shí)間是3600s)

    dhcpd dns 61.177.7.1

    dhcpd wins 61.177.7.1

    dhcpd domain testing.cn

  10.2可以將pix的外部接口配置為從ISP處接收地址

    ip address outside dhcp [setroute] [retry retry_cnt]

    setroute告訴pix防火墻使用默認(rèn)網(wǎng)關(guān)參數(shù)設(shè)置的DHCP服務(wù)器返回的默認(rèn)路由，當(dāng)使用setroute選項(xiàng)時(shí)不再配置默認(rèn)路由

  同樣可以使用ip address dhcp來(lái)釋放和重建一個(gè)外部接口的ip address

通過(guò)show ip address dhcp來(lái)查看當(dāng)前的租借信息.

11.時(shí)間設(shè)置和NTP支持

手動(dòng)配置和通過(guò)NTP服務(wù)器獲得系統(tǒng)時(shí)間.

手動(dòng)配置clock set hh:mm:ss month day year,關(guān)于通過(guò)NTP來(lái)配置，大家查查資料吧，也沒(méi)有見(jiàn)過(guò)別人來(lái)做過(guò)，安全要求太高了.

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前標(biāo)題：使用ciscopix防火墻-創(chuàng)新互聯(lián)
文章來(lái)源：http://jinyejixie.com/article38/diggsp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)、企業(yè)建站、用戶體驗(yàn)、網(wǎng)頁(yè)設(shè)計(jì)公司、網(wǎng)站建設(shè)、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)