PIX防火墙试验手册

1PIXPIXPIXPIX635635635635防火墙防火墙防火墙防火墙说明说明说明说明：：：：PIX525防火墙采用防火墙采用防火墙采用防火墙采用6.35版本版本版本版本IOS，，，，接口接口接口接口、、、、ip设置如图所示设置如图所示设置如图所示设置如图所示。。。。实验采用实验采用实验采用实验采用PIX635模拟器模拟器模拟器模拟器，，，，LAN、、、、DMZ、、、、WAN分别为三台分别为三台分别为三台分别为三台2600路由器路由器路由器路由器，，，，其中路由器其中路由器其中路由器其中路由器LAN和本机和本机和本机和本机（（（（真实真实真实真实PC））））连到一起连到一起连到一起连到一起，，，，路由器路由器路由器路由器WAN和虚拟机连到一和虚拟机连到一和虚拟机连到一和虚拟机连到一起起起起。。。。三台三台三台三台2600路由器的配置在启动时已加载路由器的配置在启动时已加载路由器的配置在启动时已加载路由器的配置在启动时已加载。。。。模拟器可以上模拟器可以上模拟器可以上模拟器可以上实验一实验一实验一实验一：：：：基本设置基本设置基本设置基本设置：：：：配置配置配置配置pix接口接口接口接口ip、、、、连通性连通性连通性连通性。。。。PIXenablePassword:PIX#conftPIX(config)#hostnamePIXPIX(config)#interfacee0autoPIX(config)#interfacee1autoPIX(config)#interfacee2autoPIX(config)#nameife2dmzsecurity50PIX(config)#shownameifnameifethernet0outsidesecurity0nameifethernet1insidesecurity100nameifethernet2dmzsecurity50PIX(config)#ipaddressoutside220.171.1.2255.255.255.0PIX(config)#ipaddressinside10.0.1.1255.255.255.0PIX(config)#ipaddressdmz172.16.1.1255.255.255.0PIX(config)#showinterface／／／／pix防火墙防火墙防火墙防火墙outside、、、、inside、、、、dmz已开启已开启已开启已开启，，，，ip地址也已配置地址也已配置地址也已配置地址也已配置，，，，与对端协商为与对端协商为与对端协商为与对端协商为全双工全双工全双工全双工，，，，带宽带宽带宽带宽100Mbps2PIX(config)#ping10.0.1.2／／／／测试到测试到测试到测试到LAN路由器接口的连通性路由器接口的连通性路由器接口的连通性路由器接口的连通性10.0.1.2responsereceived--40ms10.0.1.2responsereceived--10ms10.0.1.2responsereceived--20msPIX(config)#ping172.16.1.2／／／／测试到测试到测试到测试到DMZ路由器接口的连通性路由器接口的连通性路由器接口的连通性路由器接口的连通性172.16.1.2responsereceived--40ms172.16.1.2responsereceived--10ms172.16.1.2responsereceived--20msPIX(config)#ping220.171.1.1／／／／测试到测试到测试到测试到WAN路由器接口的连通性路由器接口的连通性路由器接口的连通性路由器接口的连通性220.171.1.1responsereceived--20ms220.171.1.1responsereceived--0ms220.171.1.1responsereceived--10ms3PIX(config)#PIX(config)#showrunning-config／／／／查看内存中的配置文件查看内存中的配置文件查看内存中的配置文件查看内存中的配置文件，，，，同同同同writeterminalPIX(config)#showstartup-config／／／／查看闪存中的配置文件查看闪存中的配置文件查看闪存中的配置文件查看闪存中的配置文件PIX(config)#showmemory／／／／查看内存使用查看内存使用查看内存使用查看内存使用PIX(config)#showversion／／／／查看设备查看设备查看设备查看设备、、、、授权授权授权授权、、、、版本等等版本等等版本等等版本等等PIX(config)#showhistory／／／／查看历史输入命令查看历史输入命令查看历史输入命令查看历史输入命令PIX(config)#showipaddress／／／／查看接口查看接口查看接口查看接口ip地址地址地址地址PIX(config)#showinterface／／／／查看接口信息查看接口信息查看接口信息查看接口信息PIX(config)#showlogging／／／／查看日志查看日志查看日志查看日志PIX(config)#showcpuusage／／／／查看查看查看查看cpu占用占用占用占用PIX(config)#showclock／／／／查看设备时钟查看设备时钟查看设备时钟查看设备时钟PIX(config)#showconn／／／／查看当前处于活跃的连接查看当前处于活跃的连接查看当前处于活跃的连接查看当前处于活跃的连接PIX(config)#writeerase／／／／清除闪存中配置文件清除闪存中配置文件清除闪存中配置文件清除闪存中配置文件PIX(config)#writememory／／／／保存内存中的配置文件到闪存中保存内存中的配置文件到闪存中保存内存中的配置文件到闪存中保存内存中的配置文件到闪存中PIX(config)#writenet／／／／把当前内存中的配置文件把当前内存中的配置文件把当前内存中的配置文件把当前内存中的配置文件copy到到到到tftp服务器上服务器上服务器上服务器上PIX(config)#configurenet／／／／把把把把tftp服务器上的配置文件服务器上的配置文件服务器上的配置文件服务器上的配置文件copy到内存中到内存中到内存中到内存中PIX(config)#names／／／／启用命名功能启用命名功能启用命名功能启用命名功能PIX(config)#name／／／／给某个给某个给某个给某个ip和字符建立对应和字符建立对应和字符建立对应和字符建立对应，，，，必须先启用必须先启用必须先启用必须先启用namesPIX(config)#reload／／／／重启路由器重启路由器重启路由器重启路由器实验二实验二实验二实验二：：：：设置内部网络设置内部网络设置内部网络设置内部网络inside到外部网络到外部网络到外部网络到外部网络outside的访问的访问的访问的访问如果PIX不做设置，则从LAN到WAN的流量是无法出去的。例如：LAN路由器路由器路由器路由器telnetWAN路由器路由器路由器路由器（（（（WAN路由器的路由器的路由器的路由器的telnet已启用已启用已启用已启用））））PIX(config)#nat(inside)100／／／／内部流量过滤内部流量过滤内部流量过滤内部流量过滤，，，，允许内部任何流量允许内部任何流量允许内部任何流量允许内部任何流量（（（（注注注注：：：：ICMP包可出包可出包可出包可出但但但但不可不可不可不可回回回回））））PIX(config)#global(outside)1interface／／／／使用使用使用使用outside接口接口接口接口ip实现端口地址转换实现端口地址转换实现端口地址转换实现端口地址转换outsideinterfaceaddressaddedtoPATpoolPIX(config)#说明说明说明说明：：：：由由由由inside发出的数据包发出的数据包发出的数据包发出的数据包，，，，标签标签标签标签nat1，，，，到外部时源地址会被到外部时源地址会被到外部时源地址会被到外部时源地址会被outside接口地址替换接口地址替换接口地址替换接口地址替换。。。。由内向外的由内向外的由内向外的由内向外的ping包包包包，，，，源地址也会被替换源地址也会被替换源地址也会被替换源地址也会被替换，，，，但但但但ping包默认可出包默认可出包默认可出包默认可出，，，，但返回时被但返回时被但返回时被但返回时被outside接口阻挡接口阻挡接口阻挡接口阻挡。。。。此实验如果扩展开来此实验如果扩展开来此实验如果扩展开来此实验如果扩展开来，，，，pix还得配还得配还得配还得配置到外部的路置到外部的路置到外部的路置到外部的路由由由由。。。。4由内部由内部由内部由内部inside到外部到外部到外部到外部outside特定特定特定特定ip流量的实验流量的实验流量的实验流量的实验PIX(config)#clearnat／／／／清除以前清除以前清除以前清除以前nat配置配置配置配置PIX(config)#clearglobal／／／／清除以前清除以前清除以前清除以前global配置配置配置配置PIX(config)#nat(inside)110.0.2.0255.255.255.0／／／／只只只只允许内部允许内部允许内部允许内部pc的的的的10.0.2.0／／／／24网络流网络流网络流网络流量量量量PIX(config)#global(outside)1220.171.1.3-220.171.1.4netmask255.255.255.0／／／／使用地址池使用地址池使用地址池使用地址池或或或或PATPIX(config)#routeinside10.0.2.0255.255.255.010.0.1.2／／／／实现到内部网络的路由实现到内部网络的路由实现到内部网络的路由实现到内部网络的路由，，，，下一跳下一跳下一跳下一跳10.0.1.2，，，，否否否否则则则则pix不知如何返回数据包不知如何返回数据包不知如何返回数据包不知如何返回数据包实验结果实验结果实验结果实验结果：：：：Lan(10.0.1.2/24)被拒绝被拒绝被拒绝被拒绝C:\telnet220.171.1.1／／／／使用真实电脑使用真实电脑使用真实电脑使用真实电脑（（（（10.0.2.2/24））））成功成功成功成功总结总结总结总结：：：：pix防火墙对于内部到外部的流量默认不能做防火墙对于内部到外部的流量默认不能做防火墙对于内部到外部的流量默认不能做防火墙对于内部到外部的流量默认不能做ping，，，，做其它服务必须使用做其它服务必须使用做其它服务必须使用做其它服务必须使用NAT功能功能功能功能，，，，对到未对到未对到未对到未知网络还知网络还知网络还知网络还需配置路由需配置路由需配置路由需配置路由。。。。而且而且而且而且pix防火墙可以通过由内部向外发出的返回数据包防火墙可以通过由内部向外发出的返回数据包防火墙可以通过由内部向外发出的返回数据包防火墙可以通过由内部向外发出的返回数据包，，，，而且默认而且默认而且默认而且默认拒绝由外部向内部发出的主动连拒绝由外部向内部发出的主动连拒绝由外部向内部发出的主动连拒绝由外部向内部发出的主动连接数据包接数据包接数据包接数据包。。。。为了防止前次的实验干扰为了防止前次的实验干扰为了防止前次的实验干扰为了防止前次的实验干扰，，，，在实验之前建议使用在实验之前建议使用在实验之前建议使用在实验之前建议使用clearxlate来清除来清除来清除来清除pix的内存连接的内存连接的内存连接的内存连接。。。。实验三实验三实验三实验三：：：：telnet和和和和ssh到到到到PIX防火墙防火墙防火墙防火墙PIX(config)#clearnatPIX(config)#c