实验四、防火墙的基本配置

实验四、防火墙的基本配置

1．实验目的

通过对防火墙系统的安装与配置实验，加深对防火墙系统工作原理理解，掌握其常见产品的安装与配置方法，为将来从事网络工程建设打下基础。

2．实验要求

通过本实验，熟悉防火墙的有关概念和基本功能，掌握防火墙的基本参数配置方法和安全策略配置方法。

3．实验步骤

Cisco firewall pix防火墙的配置主要包括基本参数的配置和安全规则配置。对防火墙进行配置一般有两种途径，即通过串口通信进行本地配置和通过网络进行远程配置，但后一种配置方法只有在前一种配置成功后才可进行，下面分别讲述。

3.1 实验准备

准备以下实验设备：

●用于配置和测试的计算机两台以上（安装Windows 操作系统），最好有一台

笔记本电脑；

●防火墙系统一台以上（本实验中采用思科的PIX 506系列防火墙）；

●直连网线若干根；

●RS-232C串行通信线一根；

3. 2以太网接口的配置

我们采用本地配置的方式对防火墙进行配置，连接步骤与交换机的配置过程类似，在此不再重复。

如果连接正常且防火墙已启动的情况下，在超级终端窗口上就会出现如下所示的信息：

User Access Verification

Password:

输入口令（缺省口令为cisco）后就可进入一般用户命令状态（提示符为>），为了对防火墙参数进行配置，需要进入特权用户状态，PIX出厂时特权用户密码为空，修改密码用passwd 命令：

PIX>enable //进入特权用户状态

Password:

PIX#

在默认情况下，ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside已经被激活生效了，但是outside必须通过命令激活。

//进入配置状态

PIX#config t

//激活以太接口

PIX(config)#interface ethernet0 auto

PIX(config)#interface ethernet1 auto

//关闭以太接口

PIX(config)#interface ethernet0 shutdown

PIX(config)#interface ethernet1 shutdown

//配置IP地址和子网掩码

假设内部网络为：192.168.1.0 255.255.255.0 ，外部网络为：202.198.2.0 255.255.255.0：

PIX(config)#ip address inside 192.168.1.1 255.255.255.0

PIX(config)#ip address outside 202.198.2.1 255.255.255.0

//定义安全级别

security0是外部端口outside的安全级别（0安全级别最高）,security100是内部端口inside的安全级别,如果还有其他以太口，则可以security10，security20等命名：

PIX(config)#nameif ethernet0 outside security0

PIX(config)#nameif ethernet1 inside security100

//如果PIX有三个接口，则可将一个以太口作为dmz(demilitarized zones非武装区域)，安全级别50：

PIX(config)#nameif ethernet2 dmz security50

//配置远程访问[telnet]

在默认情况下，PIX的以太端口不允许telnet，可使用下面的命令允许:

PIX(config)#telnet 192.168.1.1 255.255.255.0 inside

PIX(config)#telnet 202.198.2.1 255.255.255.0 outside

3.3 访问控制配置

访问列表是防火墙的主要功能配置部分，防火墙有permit和deny两种访问

控制权限，可控制的网络协议一般有ip、tcp、udp、icmp等。

例如，在内网只允许访问外网主机:202.198.2.254的www服务：

PIX(config)#access-list 100 permit ip any host 202.198.2.254 eq www PIX(config)#access-list 100 deny ip any any

PIX(config)#access-group 100 in interface outside

访问规则一般通过GUI界面来配置比较直观和方便，PIX 缺省时内部端口ethernet1的IP为192.168.1.1，这样可以通过浏览器的https协议来访问PIX 的WEB配置界面(缺省时用户名和密码为空)并根据界面的提示信息来配置PIX 防火墙系统：

https://192.168.1.1/startup.html

3.4 全局地址配置

global命令用于定义内部网或外部网中一个IP地址或一段地址范围，以便在网络地址转换时使用。

global命令的语法规则为：

global (if_name) Nat_ID ip_address - ip_address [netmark global_mask] 其中（if_name）表示网络接口名字（如outside），Nat_ID用来标识定义的地址池，ip_address - ip_address表示单个ip地址或一段ip地址范围，[netmark global_mask]表示全局ip地址的网络掩码。

例如：

//定义从202.198.2.45 到202.198.2.48的全局外网IP地址池，Nat_ID编号为100：PIX(config)# global (outside) 100 202.198.2.45 - 202.198.2.48

//定义一个全局外网IP地址202.198.2.45，Nat_ID编号为200：

PIX(config)#global (outside) 200 202.198.2.45 netmask 255.255.255.0

//删除一个Nat_ID编号为200全局IP地址：

PIX(config)#no global (outside) 200 202.198.2.45

3.5 动态地址转换

动态网络地址转换（NAT）作用是将内网的私有IP地址转换为外网的公有IP地址，这样，内部网络的用户就可以访问外部网络了。nat命令总是与global 命令一起使用，所以，为了进行地址转换（NAT），必须先用global定义IP 池。

nat命令语法规则为：

nat (if_name) nat_id local_ip [netmark]

其中（if_name）表示网络接口名字（例如inside），Nat_id为全局地址池编号，local_ip表示本地被转换的ip地址，用0.0.0.0表示所有主机，[netmark]表示内网ip地址的子网掩码。例如：