PIX配置大全

最後更新：2018-12-05 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

在配置PIX防火牆之前，先來介紹一下防火牆的物理特性。防火牆通常具有至少3個介面，但許多早期的防火牆只具有2個介面；當使用具有3個介面的防火牆時，就至少產生了3個網路，描述如下：

內部地區（內網）：內部地區通常就是指企業內部網路或者是企業內部網路的一部分。它是互連網路的信任地區，即受到了防火牆的保護。

外部地區（外網）：外部地區通常指Internet或者非企業內部網路。它是互連網路中不被信任的地區，當外部地區想要訪問內部地區的主機和服務，通過防火牆，就可以實現有限制的訪問。

停火區（DMZ）：停火區是一個隔離的網路，或幾個網路。位於停火區中的主機或伺服器被稱為堡壘主機。一般在停火區內可以放置Web伺服器，Mail伺服器等。停火區對於外部使用者通常是可以訪問的，這種方式讓外部使用者可以訪問企業的公開資訊，但卻不允許他們訪問企業內部網路。

注意：2個介面的防火牆是沒有停火區的。

由於PIX535在企業層級不具有普遍性，因此下面主要說明PIX525在商業網路中的應用。

PIX防火牆提供4種管理訪問模式：

非特權模式。 PIX防火牆開機自我測試 (POST)後，就是處於這種模式。系統顯示為pixfirewall>

特權模式。輸入enable進入特權模式，可以改變當前配置。顯示為pixfirewall#

配置模式。輸入configure terminal進入此模式，絕大部分的系統配置都在這裡進行。顯示為pixfirewall(config)#

監視模式。 PIX防火牆在開機或重啟過程中，按住Escape鍵或發送一個"Break"字元，進入監視模式。這裡可以更新*作系統映象和口令恢複。顯示為monitor>

配置PIX防火牆有6個基本命令：nameif，interface，ip address，nat，global，route.

這些命令在配置PIX時是必須的。以下是配置的基本步驟：

1. 配置防火牆介面的名字，並指定安全層級（nameif）。

Pix525(config)#nameif ethernet0 outside security0 Pix525(config)#nameif ethernet1 inside security100Pix525(config)#nameif dmz security50

提示：在預設配置中，乙太網路0被命名為外部介面（outside），安全層級是0；乙太網路1被命名為內部介面（inside），安全層級是100.安全層級取值範圍為1～99，數字越大安全層級越高。若添加新的介面，語句可以這樣寫：

Pix525(config)#nameif pix/intf3 security40 （安全層級任取）

2. 配置以太口參數（interface）

Pix525(config)#interface ethernet0 auto （auto選項表明系統自適應網卡類型）Pix525(config)#interface ethernet1 100full （100full選項表示100Mbit/s乙太網路全雙工系統通訊） Pix525(config)#interface ethernet1 100full shutdown （shutdown選項表示關閉這個介面，若啟用介面去掉shutdown ）

3. 配置內外網卡的IP地址（ip address）

Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 Pix525(config)#ip address inside 192.168.0.1 255.255.255.0

很明顯，Pix525防火牆在外網的ip地址是61.144.51.42，內網ip地址是192.168.0.1

例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any

這個例子表示允許任何外部主機對全域地址192.168.0.8的這台主機進行http訪問。其中使用eq和一個連接埠來允許或拒絕對這個連接埠的訪問。Eq ftp 就是指允許或拒絕只對ftp的訪問。

例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89

表示不允許外部主機61.144.51.89對任何全域地址進行ftp訪問。

例3. Pix525(config)#conduit permit icmp any any

表示允許icmp訊息向內部和外部通過。

例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3

Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any

這個例子說明static和conduit的關係。192.168.0.3在內網是一台web伺服器，現在希望外網的使用者能夠通過pix防火牆得到web服務。所以先做static靜態映射：192.168.0.3－>61.144.51.62（全域），然後利用conduit命令允許任何外部主機對全域地址61.144.51.62進行http訪問。

C. 配置fixup協議

fixup命令作用是啟用，禁止，改變一個服務或協議通過pix防火牆，由fixup命令指定的連接埠是pix防火牆要偵聽的服務。見下面例子：

例1． Pix525(config)#fixup protocol ftp 21 啟用ftp協議，並指定ftp的連接埠號碼為21

例2． Pix525(config)#fixup protocol http 80

Pix525(config)#fixup protocol http 1080 為http協議指定80和1080兩個連接埠。

例3． Pix525(config)#no fixup protocol smtp 80 禁用smtp協議。

D. 設定telnet

telnet有一個版本的變化。在pix OS 5.0（pix*作系統的版本號碼）之前，只能從內部網路上的主機通過telnet訪問pix。在pix OS 5.0及後續版本中，可以在所有的介面上啟用telnet到pix的訪問。當從外部介面要telnet到pix防火牆時，telnet資料流需要用ipsec提供保護，也就是說使用者必須配置pix來建立一條到另外一台pix，路由器或vpn用戶端的ipsec隧道。另外就是在PIX上配置SSH，然後用SSH client從外部telnet到PIX防火牆，PIX支援SSH1和SSH2，不過SSH1是免費軟體，SSH2是商業軟體。相比之下cisco路由器的telnet就做得不怎麼樣了。

telnet配置文法：telnet local_ip [netmask] local_ip

表示被授權通過telnet訪問到pix的ip地址。如果不設此項，pix的配置方式只能由console進行。

說了這麼多，下面給出一個配置執行個體供大家參考。

Welcome to the PIX firewall
Type help or ? for a list of available commands. PIX525> en Password: PIX525#sh config : Saved :

PIX Version 6.0(1) ------ PIX當前的*作系統版本為6.0

Nameif ethernet0 outside security0

Nameif ethernet1 inside security100 ------ 顯示目前pix只有2個介面

Enable password 7Y051HhCcoiRTSQZ encrypted

Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火牆密碼在預設狀態下已被加密，在設定檔中不會以明文顯示，telnet 密碼預設為cisco

Hostname PIX525 ------ 主機名稱為PIX525

Domain-name 123.com ------ 本地的一個網域名稱伺服器123.com，通常用作為外部存取

Fixup protocol ftp 21 Fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521

fixup protocol sip 5060 ------ 當前啟用的一些服務或協議，注意rsh服務是不能改變連接埠號碼的

names ------ 解析本地主機名稱到ip地址，在配置中可以用名字代替ip地址，當前沒有設定，所以列表為空白

pager lines 24 ------ 每24行一分頁

interface ethernet0 auto

interface ethernet1 auto ------ 設定兩個網卡的類型為自適應

mtu outside 1500

mtu inside 1500 ------ 乙太網路標準的MTU長度為1500位元組

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0 ------ pix外網的ip地址61.144.51.42，內網的ip地址192.168.0.1

ip audit info action alarm

ip audit attack action alarm ------ pix入侵檢測的2個命令。當有資料包具有攻擊或報告型特徵碼時，pix將採取警示動作（預設動作），向指定的日誌記錄主機產生系統日誌訊息；此外還可以作出丟棄資料包和發出tcp串連複位訊號等動作，需另外配置。

pdm history enable ------ PIX裝置管理員可以圖形化的監視

PIX arp timeout 14400 ------ arp表的逾時時間

global (outside) 1 61.144.51.46 ------ 如果你訪問外部論壇或用QQ聊天等等，上面顯示的ip就是這個

nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside, outside) 61.144.51.43 192.168.0.8
netmask 255.255.255.255 0 0 conduit permit icmp any any conduit permit tcp host 61.144.51.43 eq www any

conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43這個ip地址提供domain-name服務，而且只允許外部使用者訪問domain的udp連接埠

route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部網關61.144.51.61

timeout xlate 3:00:00 ------ 某個內部裝置向外部發出的ip包經過翻譯(global)後，在預設3個小時之後此資料包若沒有活動，此前建立的表項將從翻譯表中刪除，釋放該裝置佔用的全域地址

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute ------ AAA認證的逾時時間，absolute表示連續運行uauth定時器，使用者逾時後，將強制重新認證

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius ------ AAA伺服器的兩種協議。AAA是指認證，授權，審計。Pix防火牆可以通過AAA伺服器增加內部網路的安全

no snmp-server location no snmp-server contact snmp-server community public ------ 由於沒有設定snmp工作站，也就沒有snmp工作站的位置和連絡人

no snmp-server enable traps ------ 發送snmp陷阱 floodguard enable ------ 防止有人偽造大量認證請求，將pix的AAA資源用完

no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh訪問pix的逾時時間

terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7

PIX525#

PIX525#write memory ------ 將配置儲存

上面這個配置執行個體需要說明一下，pix防火牆直接擺在了與internet介面處，此處網路環境有十幾個公有ip,可能會有朋友問如果我的公有ip很有限怎麼辦？你可以添加router放在pix的前面，或者global使用單一ip地址，和外部介面的ip地址相同即可。另外有幾個維護命令也很有用，show interface查看連接埠狀態，show static查看靜態地址映射，show ip查看介面ip地址，ping outside | inside ip_address確定連通性。

PIX上實現VPN步驟

在PIX上防火牆用預先共用金鑰配置IPSec加密主要涉及到4個關鍵任務：

一、為IPSec做準備

為IPSec做準備涉及到確定詳細的加密策略，包括確定我們要保護的主機和網路，選擇一種認證方法，確定有關IPSec對等體的詳細資料，確定我們所需的IPSec特性，並確認現有的存取控制清單允許IPSec資料流通過；

步驟1：根據對等體的數量和位置在IPSec對等體間確定一個IKE（IKE階段1，或者主模式）策略；

步驟2：確定IPSec（IKE階段2，或快捷模式）策略，包括IPSec對等體的細節資訊，例如IP地址及IPSec變換集和模式；

步驟3：用"write terminal"、"show isakmp"、"show isakmp policy"、"show crypto map "命令及其他"show"命令來檢查當前的配置；

步驟4：確認在沒有使用加密前網路能夠正常工作，用"ping"命令並在加密前運行測試資料流來排除基本的路由故障；

步驟5：確認在邊界路由器和PIX防火牆中已有的存取控制清單允許IPSec資料流通過，或者想要的資料流將可以被過濾出來。

二、配置IKE 配置IKE涉及到啟用IKE（和isakmp是同義字），建立IKE策略，和驗證我們的配置；

步驟1：用"isakmp enable"命令來啟用或關閉IKE；

步驟2：用"isakmp policy"命令建立IKE策略；

步驟3：用"isakmp key"命令和相關命令來配置預先共用金鑰；

步驟4：用"show isakmp [policy]"命令來驗證IKE的配置。

三、配置IPSec

IPSec配置包括建立加密用存取控制清單，定義變換集，建立加密圖條目，並將密碼編譯集應用到介面上去；

步驟1：用access-list命令來配置加密用存取控制清單；例如： access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]]dest_addr dest_mask [operator prot [port]]

步驟2：用crypto ipsec transform-set 命令配置變換集；例如： crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] 3. 步驟3：（任選）用crypto ipsec security-association lifetime命令來配置全域性的IPSec 安全性關聯的生存期；

步驟4：用crypto map 命令來配置加密圖；

步驟5：用interface 命令和crypto map map-name interface應用到介面上； 6. 步驟6：用各種可用的show命令來驗證IPSec的配置。

四、測試和驗證IPSec

該任務涉及到使用"show " 、"debug"和相關的命令來測試和驗證IPSec加密工作是否正常，並為之排除故障。

範例：

PIX 1的配置：

!configure the IP address for each PIX Firewall interface ip address outside 192.168.1.1 255.255.255.0 ip address inside 10.1.1.3 255.255.255.0 ip address dmz 192.168.11.1 255.255.255.0 global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0 !creates a global pooll on the outside interface,enables NAT. !windows NT server static (inside,outside) 192.168.1.10 10.1.1.4 netmask 255.255.255.0 !Crypto access list specifiles between the global and the inside
server beind PIX Firewalls is encrypted ,The source and destination
IP address are the global IP addresses of the statics. Access-list 101 permit ip host 192.168.1.10 host 192.168.2.10 !The conduit permit ICMP and web access for testing. Conduit permit icmp any any Conduit permit tcp host 192.168.1.10 eq www any route outside 0.0.0.0 0.0.0.0 192.168.1.2 1 !Enable IPSec to bypass access litst,access ,and confuit restrictionssyspot connnection permit ipsec !Defines a crypto map transform set to user esp-des crypto ipsec transform-set pix2 esp-des crypto map peer2 10 ipsec-isakmp!

完全配置： ip address outside 202.105.113.194 255.255.255.0 /*看電信給你的IP

ip address inside 192.168.1.1 255.255.255.0! global (outside) 1 202.105.113.195-202.105.113.200 global (outside) 1 202.105.113.201 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) 202.105.113.203 192.168.1.10
netmask 255.255.255.255 0 0 static (inside,outside) 202.105.113.205 192.168.1.
11netmask 255.255.255.255 0 0 conduit permit icmp any any conduit permit tcp
host 202.105.113.203 eq www any conduit permit tcp host 202.105.113.203 eq ftp any conduit permit tcp host 202.105.113.205 eq smtp any conduit permit tcp host 202.105.113.205 eq pop3 any ! route outside 0.0.0.0 0.0.0.0 202.105.113.193 1 route inside 0.0.0.0 0.0.0.0 192.168.1.1

指定要進行轉換的內部地址（nat）

網路地址翻譯（nat）作用是將內網的私人ip轉換為外網的公有ip.Nat命令總是與global命令一起使用，這是因為nat命令可以指定一台主機或一段範圍的主機訪問外網，訪問外網時需要利用global所指定的位址集區進行對外訪問。
nat命令配置文法：

nat (if_name) nat_id local_ip [netmark]

其中（if_name）表示內網介面名字，例如inside。Nat_id用來標識全域位址集區，使它與其相應的global命令相匹配，local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。[netmark]表示內網ip地址的子網路遮罩。

例1．Pix525(config)#nat (inside) 1 0 0

表示啟用nat,內網的所有主機都可以訪問外網，用0可以代表0.0.0.0

例2．Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0這個網段內的主機可以訪問外網。

5. 指定外部位址範圍（global） global命令把內網的ip地址翻譯成外網的ip地址或一段位址範圍。

Global命令的配置文法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中（if_name）表示外網介面名字，例如outside.。Nat_id用來標識全域位址集區，使它與其相應的nat命令相匹配，ip_address-ip_address表示翻譯後的單個ip地址或一段ip位址範圍。[netmark global_mask]表示全域ip地址的網路遮罩。

例1．Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48

表示內網的主機通過pix防火牆要訪問外網時，pix防火牆將使用61.144.51.42-61.144.51.48這段ip位址集區為要訪問外網的主機分配一個全域ip地址。

例2．Pix525(config)#global (outside) 1 61.144.51.42 表示內網要訪問外網時，pix防火牆將為訪問外網的所有主機統一使用61.144.51.42這個單一ip地址。

例3. Pix525(config)#no global (outside) 1 61.144.51.42 表示刪除這個全域表項。

6. 設定指向內網和外網的靜態路由（route）定義一條靜態路由。

route命令配置文法：route (if_name) 0 0 gateway_ip [metric]

其中（if_name）表示介面名字，例如inside，outside。Gateway_ip表示網關路由器的ip地址。[metric]表示到gateway_ip的跳數。通常預設是1。

例1． Pix525(config)#route outside 0 0 61.144.51.168 1

表示一條指向邊界路由器（ip地址61.144.51.168）的預設路由。

例2． Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1

Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1

如果內部網路只有一個網段，按照例1那樣設定一條預設路由即可；如果內部存在多個網路，需要配置一條以上的靜態路由。上面那條命令表示建立了一條到網路10.1.1.0的靜態路由，靜態路由的下一條路由器ip地址是172.16.0.1。

OK，這6個基本命令若理解了，就可以進入到pix防火牆的一些進階配置了。

A. 配置靜態IP地址翻譯（static）

如果從外網發起一個會話，會話的目的地址是一個內網的ip地址，static就把內部地址翻譯成一個指定的全域地址，允許這個會話建立。

static命令配置文法：

static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address

其中internal_if_name表示內部網路介面，安全層級較高，如inside。external_if_name為外部網路介面，安全層級較低，如outside等。outside_ip_address為正在訪問的較低安全層級的介面上的ip地址。inside_ ip_address為內部網路的本地ip地址。

例1． Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8

表示ip地址為192.168.0.8的主機，對於通過pix防火牆建立的每個會話，都被翻譯成61.144.51.62這個全域地址，也可以理解成static命令建立了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。

例2． Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3

例3． Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8

注釋同例1。

通過以上幾個例子說明使用static命令可以讓我們為一個特定的內部ip地址設定一個永久的全域ip地址。這樣就能夠為具有較低安全層級的指定介面建立一個入口，使它們可以進入到具有較高安全層級的指定介面。

B. 管道命令（conduit）

前面講過使用static命令可以在一個本地ip地址和一個全域ip地址之間建立了一個靜態映射，但從外部到內部介面的串連仍然會被pix防火牆的自適應安全演算法(ASA)阻擋。

conduit命令用來允許資料流從具有較低安全層級的介面流向具有較高安全層級的介面，例如允許從外部到DMZ或內部介面的入方向的會話。對於向內部介面的串連，static和conduit命令將一起使用，來指定會話的建立。

conduit命令配置文法：

conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]

permit | deny 允許 | 拒絕訪問 global_ip 指的是先前由global或static命令定義的全域ip地址，如果global_ip為0，就用any代替0；如果global_ip是一台主機，就用host命令參數。

port 指的是服務所作用的連接埠，例如www使用80，smtp使用25等等，我們可以通過服務名稱或連接埠數字來指定連接埠。

protocol 指的是連線協定，比如：TCP、UDP、ICMP等。

foreign_ip 表示可訪問global_ip的外部ip。對於任意主機，可以用any表示。如果foreign_ip是一台主機，就用host命令參數。