实验四、防火墙的基本配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验四、防火墙的基本配置
1.实验目的
通过对防火墙系统的安装与配置实验,加深对防火墙系统工作原理理解,掌握其常见产品的安装与配置方法,为将来从事网络工程建设打下基础。
2.实验要求
通过本实验,熟悉防火墙的有关概念和基本功能,掌握防火墙的基本参数配置方法和安全策略配置方法。
3.实验步骤
Cisco firewall pix防火墙的配置主要包括基本参数的配置和安全规则配置。对防火墙进行配置一般有两种途径,即通过串口通信进行本地配置和通过网络进行远程配置,但后一种配置方法只有在前一种配置成功后才可进行,下面分别讲述。
3.1 实验准备
准备以下实验设备:
●用于配置和测试的计算机两台以上(安装Windows 操作系统),最好有一台
笔记本电脑;
●防火墙系统一台以上(本实验中采用思科的PIX 506系列防火墙);
●直连网线若干根;
●RS-232C串行通信线一根;
3. 2以太网接口的配置
我们采用本地配置的方式对防火墙进行配置,连接步骤与交换机的配置过程类似,在此不再重复。
如果连接正常且防火墙已启动的情况下,在超级终端窗口上就会出现如下所示的信息:
User Access Verification
Password:
输入口令(缺省口令为cisco)后就可进入一般用户命令状态(提示符为>),为了对防火墙参数进行配置,需要进入特权用户状态,PIX出厂时特权用户密码为空,修改密码用passwd 命令:
PIX>enable //进入特权用户状态
Password:
PIX#
在默认情况下,ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside已经被激活生效了,但是outside必须通过命令激活。
//进入配置状态
PIX#config t
//激活以太接口
PIX(config)#interface ethernet0 auto
PIX(config)#interface ethernet1 auto
//关闭以太接口
PIX(config)#interface ethernet0 shutdown
PIX(config)#interface ethernet1 shutdown
//配置IP地址和子网掩码
假设内部网络为:,外部网络为:
PIX(config)#ip address inside
PIX(config)#ip address outside
//定义安全级别
security0是外部端口outside的安全级别(0安全级别最高),security100是内部端口inside的安全级别,如果还有其他以太口,则可以security10,security20等命名:
PIX(config)#nameif ethernet0 outside security0
PIX(config)#nameif ethernet1 inside security100
//如果PIX有三个接口,则可将一个以太口作为dmz(demilitarized zones非武装区域),安全级别50:
PIX(config)#nameif ethernet2 dmz security50
//配置远程访问[telnet]
在默认情况下,PIX的以太端口不允许telnet,可使用下面的命令允许:
PIX(config)#telnet inside
PIX(config)#telnet outside
3.3 访问控制配置
访问列表是防火墙的主要功能配置部分,防火墙有permit和deny两种访问控制权限,可控制的网络协议一般有ip、tcp、udp、icmp等。
例如,在内网只允许访问外网主机:
PIX(config)#access-list 100 permit ip any host eq www
PIX(config)#access-list 100 deny ip any any
PIX(config)#access-group 100 in interface outside
访问规则一般通过GUI界面来配置比较直观和方便,PIX 缺省时内部端口ethernet1的IP为,这样可以通过浏览器的https协议来访问PIX的WEB配置界面(缺省时用户名和密码为空)并根据界面的提示信息来配置PIX防火墙系统:.1/startup.html
3.4 全局地址配置
global命令用于定义内部网或外部网中一个IP地址或一段地址范围,以便在网络地址转换时使用。
global命令的语法规则为:
global (if_name) Nat_ID ip_address - ip_address [netmark global_mask] 其中(if_name)表示网络接口名字(如outside),Nat_ID用来标识定义的地址池,ip_address - ip_address表示单个ip地址或一段ip地址范围,[netmark global_mask]表示全局ip地址的网络掩码。
例如:
//定义从到,Nat_ID编号为100:
PIX(config)# global (outside) 100 -
//定义一个全局外网IP地址,Nat_ID编号为200:
PIX(config)#global (outside) 200 netmask
//删除一个Nat_ID编号为200全局IP地址:
PIX(config)#no global (outside) 200
3.5 动态地址转换
动态网络地址转换(NAT)作用是将内网的私有IP地址转换为外网的公有IP地址,这样,内部网络的用户就可以访问外部网络了。nat命令总是与global 命令一起使用,所以,为了进行地址转换(NAT),必须先用global定义IP 池。
nat命令语法规则为:
nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示网络接口名字(例如inside),Nat_id为全局地址池编号,local_ip表示本地被转换的ip地址,用,[netmark]表示内网ip地址的子网掩码。例如:
//将内网的所有主机都映射到外网地址,也就是说可以访问外网:
PIX(config)#nat (inside) 100 0 0
或:
PIX(config)#nat (inside) 100
//只允许
PIX(config)#nat (inside) 100
3.6 静态地址转换
如果需要从外网访问内网的一个固定IP地址,可以使用静态地址转换,把该内部地址固定转换成一个指定的外部地址。
static命令语法规则为:
static (internal_if_name,external_if_name) outside_ip_addr inside_ ip_addr