近期,由于自動程序的發(fā)明,電腦黑客攻擊以及制作惡意編碼已經(jīng)變得更加容易。很多公司和大學(xué)在開始注意到有人在他們系統(tǒng)上制作惡意病毒代碼以攻擊其它的系統(tǒng)。下面學(xué)習(xí)啦小編將為你推薦制作pix防火墻，希望能夠幫到你!

　　制作pix防火墻

　　PIX是Cisco的硬件防火墻，硬件防火墻有工作速度快，使用方便等特點。 PIX有很多型號，并發(fā)連接數(shù)是PIX防火墻的重要參數(shù)。PIX25是典型的設(shè)備

　　中文名 PIX防火墻 常見接口 console、Failover、EthernetUSB 內(nèi)部網(wǎng)絡(luò) inside 外部網(wǎng)絡(luò) outside 中間區(qū)域 非軍事區(qū)

　　目錄

　　1 基本認(rèn)識

　　2 配置規(guī)則

　　3 配置命令

　　4 配置模式

　　5 應(yīng)用舉例

　　6 顯示命令

　　基本認(rèn)識編輯

　　放置對外開放的服務(wù)器。

　　配置規(guī)則編輯

　　沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包)，任何數(shù)據(jù)包無法穿過防火墻。

　　(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務(wù)器允許外部發(fā)起連接)

　　inside可以訪問任何outside和dmz區(qū)域。

　　dmz可以訪問outside區(qū)域。

　　outside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。

　　inside訪問dmz需要配合acl(訪問控制列表)。

　　配置命令編輯

　　常用命令有：nameif、interface、ip address、nat、global、route、static等。

　　nameif

　　設(shè)置接口名稱，并指定安全級別，安全級別取值范圍為1～100，數(shù)字越大安全級別越高。

　　例如要求設(shè)置：

　　ethernet0命名為外部接口outside，安全級別是0。

　　ethernet1命名為內(nèi)部接口inside，安全級別是100。

　　ethernet2命名為中間接口dmz, 安裝級別為50。

　　使用命令：

　　PIX525(config)#nameif ethernet0 outside security0

　　PIX525(config)#nameif ethernet1 inside security100

　　PIX525(config)#nameif ethernet2 dmz security50

　　interface

　　配置以太口工作狀態(tài)，常見狀態(tài)有：auto、100full、shutdown。

　　auto：設(shè)置網(wǎng)卡工作在自適應(yīng)狀態(tài)。

　　100full：設(shè)置網(wǎng)卡工作在100Mbit/s，全雙工狀態(tài)。

　　shutdown：設(shè)置網(wǎng)卡接口關(guān)閉，否則為激活。

　　命令：

　　PIX525(config)#interface ethernet0 auto

　　PIX525(config)#interface ethernet1 100full

　　PIX525(config)#interface ethernet1 100full shutdown

　　ip address

　　配置網(wǎng)絡(luò)接口的IP地址，例如：

　　PIX525(config)#ip address outside 133.0.0.1 255.255.255.252

　　PIX525(config)#ip address inside 192.168.0.1 255.255.255.0

　　內(nèi)網(wǎng)inside接口使用私有地址192.168.0.1，外網(wǎng)outside接口使用公網(wǎng)地址133.0.0.1。

　　global

　　指定公網(wǎng)地址范圍：定義地址池。

　　Global命令的配置語法：

　　global (if_name) nat_id ip_address-ip_address [netmark global_mask]

　　其中：

　　(if_name)：表示外網(wǎng)接口名稱，一般為outside。

　　nat_id：建立的地址池標(biāo)識(nat要引用)。

　　ip_address-ip_address：表示一段ip地址范圍。

　　[netmark global_mask]：表示全局ip地址的網(wǎng)絡(luò)掩碼。

　　例如：

　　PIX525(config)#global (outside) 1 133.0.0.1-133.0.0.15

　　地址池1對應(yīng)的IP是：133.0.0.1-133.0.0.15

　　PIX525(config)#global (outside) 1 133.0.0.1

　　地址池1只有一個IP地址 133.0.0.1。

　　PIX525(config)#no global (outside) 1 133.0.0.1

　　表示刪除這個全局表項。

　　nat

　　地址轉(zhuǎn)換命令，將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)公網(wǎng)ip。

　　nat命令配置語法：nat (if_name) nat_id local_ip或acl_id [netmark]

　　其中：

　　(if_name)：表示接口名稱，一般為inside.

　　nat_id： 表示地址池，由global命令定義。

　　local_ip： 表示內(nèi)網(wǎng)的ip地址。對于0.0.0.0表示內(nèi)網(wǎng)所有主機(jī)。

　　[netmark]：表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。

　　在實際配置中nat命令總是與global命令配合使用。

　　一個指定外部網(wǎng)絡(luò)，一個指定內(nèi)部網(wǎng)絡(luò)，通過net_id聯(lián)系在一起。

　　例如：

　　PIX525(config)#nat (inside) 1 0 0

　　表示內(nèi)網(wǎng)的所有主機(jī)(0 0)都可以訪問由global指定的外網(wǎng)。

　　PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

　　表示只有172.16.5.0/16網(wǎng)段的主機(jī)可以訪問global指定的外網(wǎng)。

　　route

　　route命令定義靜態(tài)路由。

　　語法：

　　route (if_name) 0 0 gateway_ip [metric]

　　其中：

　　(if_name)：表示接口名稱。

　　0 0 ：表示所有主機(jī),

　　Gateway_ip：表示網(wǎng)關(guān)路由器的ip地址或下一跳。

　　[metric]：路由花費。缺省值是1。

　　例如：

　　PIX525(config)#route outside 0 0 133.0.0.1 1

　　設(shè)置缺省路由從outside口送出，下一跳是133.0.0.1。

　　0 0 代表 0.0.0.0 0.0.0.0，表示任意網(wǎng)絡(luò)。

　　PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1

　　設(shè)置到10.1.0.0網(wǎng)絡(luò)下一跳是10.8.0.1。最后的“1”是花費。

　　static

　　配置靜態(tài)IP地址翻譯，使內(nèi)部地址與外部地址一一對應(yīng)。

　　語法：

　　static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address

　　其中：

　　internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口，安全級別較高，如inside。

　　external_if_name表示外部網(wǎng)絡(luò)接口，安全級別較低，如outside。

　　outside_ip_address表示外部網(wǎng)絡(luò)的公有ip地址。

　　inside_ ip_address表示內(nèi)部網(wǎng)絡(luò)的本地ip地址。

　　(括號內(nèi)序順是先內(nèi)后外，外邊的順序是先外后內(nèi))

　　例如：

　　PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.8

　　表示內(nèi)部ip地址192.168.0.8，訪問外部時被翻譯成133.0.0.1全局地址。

　　PIX525(config)#static (dmz，outside) 133.0.0.1 172.16.0.2

　　中間區(qū)域ip地址172.16.0.2，訪問外部時被翻譯成133.0.0.1全局地址。

　　conduit

　　管道conduit命令用來設(shè)置允許數(shù)據(jù)從低安全級別的接口流向具有較高安全級別的接口。

　　例如允許從outside到DMZ或inside方向的會話(作用同訪問控制列表)。

　　語法：

　　conduitpermit|deny protocol global_ip port[-port] foreign_ip [netmask]

　　其中：

　　global_ip是一臺主機(jī)時前面加host參數(shù)，所有主機(jī)時用any表示。

　　foreign_ip 表示外部ip。

　　[netmask] 表示可以是一臺主機(jī)或一個網(wǎng)絡(luò)。

　　例如：

　　PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.3

　　PIX525(config)#conduitpermit tcp host 133.0.0.1 eq www any

　　這個例子說明static和conduit的關(guān)系。192.168.0.3是內(nèi)網(wǎng)一臺web服務(wù)器，

　　現(xiàn)在希望外網(wǎng)的用戶能夠通過PIX防火墻訪問web服務(wù)。

　　所以先做static靜態(tài)映射：192.168.0.3->133.0.0.1

　　然后利用conduit命令允許任何外部主機(jī)對全局地址133.0.0.1進(jìn)行http訪問。

　　訪問控制列表ACL

　　訪問控制列表的命令與conduit命令類似，

　　例：

　　PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www

　　PIX525(config)#access-list 100 deny ip any any

　　PIX525(config)#access-group 100 in interface outside

　　10、偵聽命令fixup

　　作用是啟用或禁止一個服務(wù)或協(xié)議，

　　通過指定端口設(shè)置PIX防火墻要偵聽listen服務(wù)的端口。

　　例：

　　PIX525(config)#fixup protocol ftp 21

　　啟用ftp協(xié)議，并指定ftp的端口號為21

　　PIX525(config)#fixup protocol http 8080

　　PIX525(config)#no fixup protocol http 80

　　啟用http協(xié)議8080端口，禁止80端口。

　　telnet

　　當(dāng)從外部接口要telnet到PIX防火墻時，telnet數(shù)據(jù)流需要用隧道ipsec提供保護(hù)或

　　在PIX上配置SSH，然后用SSH client從外部到PIX防火墻。

　　例：

　　telnet local_ip [netmask]

　　local_ip 表示被授權(quán)可以通過telnet訪問到PIX的ip地址。

　　如果不設(shè)此項，PIX的配置方式只能用console口接超級終端進(jìn)行。

　　配置模式編輯

　　PIX防火墻的配置模式與路由器類似，有4種管理模式：

　　PIXfirewall>：用戶模式

　　PIXfirewall#：特權(quán)模式

　　PIXfirewall(config)#：配置模式

　　monitor>：ROM監(jiān)視模式，開機(jī)按住[Esc]鍵或發(fā)送一個“Break”字符，進(jìn)入監(jiān)視模式。

　　應(yīng)用舉例編輯

　　設(shè)：

　　ethernet0命名為外部接口outside，安全級別是0。

　　ethernet1被命名為內(nèi)部接口inside，安全級別100。

　　ethernet2被命名為中間接口dmz，安全級別50。

　　參考配置：

　　PIX525#conf t ;進(jìn)入配置模式

　　PIX525(config)#nameif ethernet0 outside security0 ;設(shè)置定全級0

　　PIX525(config)#nameif ethernet1 inside security100 ;設(shè)置定全級100

　　PIX525(config)#nameif ethernet2 dmz security50 ;設(shè)置定全級50

　　PIX525(config)#interface ethernet0 auto ;設(shè)置自動方式

　　PIX525(config)#interface ethernet1 100full ;設(shè)置全雙工方式

　　PIX525(config)#interface ethernet2 100full ;設(shè)置全雙工方式

　　PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;設(shè)置接口IP

　　PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;設(shè)置接口IP

　　PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;設(shè)置接口IP

　　PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定義的地址池

　　PIX525(config)#nat (inside) 1 0 0 ;0 0表示所有

　　PIX525(config)#route outside 0 0 133.0.0.2 ;設(shè)置默認(rèn)路由

　　PIX525(config)#static (dmz，outside) 133.1.0.1 10.65.1.101 ;靜態(tài)NAT

　　PIX525(config)#static (dmz，outside) 133.1.0.2 10.65.1.102 ;靜態(tài)NAT

　　PIX525(config)#static (inside，dmz) 10.65.1.200 10.66.1.200 ;靜態(tài)NAT

　　PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設(shè)置ACL

　　PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設(shè)置ACL

　　PIX525(config)#access-list 101 deny ip any any ;設(shè)置ACL

　　PIX525(config)#access-group 101 in interface outside ;將ACL應(yīng)用在outside端口

　　當(dāng)內(nèi)部主機(jī)訪問外部主機(jī)時，通過nat轉(zhuǎn)換成公網(wǎng)IP，訪問internet。

　　當(dāng)內(nèi)部主機(jī)訪問中間區(qū)域dmz時，將自己映射成自己訪問服務(wù)器，否則內(nèi)部主機(jī)將會

　　映射成地址池的IP，到外部去找。

　　當(dāng)外部主機(jī)訪問中間區(qū)域dmz時，對133.0.0.1映射成10.65.1.101， static是雙向的。

　　PIX的所有端口默認(rèn)是關(guān)閉的，進(jìn)入PIX要經(jīng)過acl入口過濾。

　　靜態(tài)路由指示內(nèi)部的主機(jī)和dmz的數(shù)據(jù)包從outside口出去。

　　顯示命令編輯

　　show interface　 ;查看端口狀態(tài)。

　　show static　 ;查看靜態(tài)地址映射。

　　show ip　 ;查看接口ip地址。

　　show config　 ;查看配置信息。

　　show run ;顯示當(dāng)前配置信息。

　　write terminal　 　 ;將當(dāng)前配置信息寫到終端。

　　show cpu usage ;顯示CPU利用率，排查故障時常用。

　　show traffic ;查看流量。

　　show connect count ;查看連接數(shù)。

　　show blocks ;顯示攔截的數(shù)據(jù)包。

　　show mem ;顯示內(nèi)存

　　13、DHCP 服務(wù)

　　PIX具有DHCP服務(wù)功能。

　　例：

　　PIX525(config)#ip address dhcp

　　PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside

　　PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

　　PIX525(config)#dhcp domain