Cisco PIX防火墙配置指南

任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，使内部网络与Internet之间或与其他外部网络互相隔离，并限制网络互访，从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

在众多的企业级主流防火墙中，Cisco PIX防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号：PIX506、515、520、525、535。其中PIX535是PIX 500系列中最新、功能最强大的一款，适用于大型的ISP等服务提供商。然而，PIX特有的OS操作系统使得大多数管理是通过命令行来实现的，这给初学者带来不便。本文将通过实例介绍如何配置Cisco PIX防火墙。

防火墙的物理特性

防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口。当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：

• 内部区域（内网）：企业内部网络或其一部分，是互连网络的信任区域，受到防火墙的保护。
• 外部区域（外网）：通常指Internet或非企业内部网络，是互连网络中不被信任的区域。外部区域想要访问内部区域的主机和服务时，需要通过防火墙实现有限制的访问。
• 停火区（DMZ）：一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机，通常放置Web服务器、Mail服务器等。停火区对外部用户通常是可访问的，但不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。

由于PIX535在企业级别不具有普遍性，下面主要说明PIX525在企业网络中的应用。

管理访问模式

PIX防火墙提供4种管理访问模式：

1. 非特权模式：开机自检后处于此模式，系统显示为 pixfirewall>。
2. 特权模式：输入 enable 进入特权模式，可以改变当前配置，显示为 pixfirewall#。
3. 配置模式：输入 configure terminal 进入此模式，绝大部分的系统配置都在这里进行，显示为 pixfirewall(config)#。
4. 监视模式：在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。可以更新操作系统映像和口令恢复，显示为 monitor>。

配置步骤

配置PIX防火墙有6个基本命令：nameif、interface、ip address、nat、global、route。以下是配置的基本步骤：

1. 配置防火墙接口的名字，并指定安全级别（nameif）

Pix525(config)# nameif ethernet0 outside security0
Pix525(config)# nameif ethernet1 inside security100
Pix525(config)# nameif dmz security50

提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100。安全级别取值范围为1～99，数字越大安全级别越高。

2. 配置以太口参数（interface）

Pix525(config)# interface ethernet0 auto
Pix525(config)# interface ethernet1 100full
Pix525(config)# interface ethernet1 100full shutdown

注：shutdown选项表示关闭这个接口，若启用接口去掉该选项。

3. 配置内外网卡的IP地址（ip address）

Pix525(config)# ip address outside 61.144.51.42 255.255.255.248
Pix525(config)# ip address inside 192.168.0.1 255.255.255.0

4. 指定要进行转换的内部地址（nat）

Pix525(config)# nat (inside) 1 0 0

例：表示启用nat，内网的所有主机都可以访问外网。

5. 指定外部地址范围（global）

Pix525(config)# global (outside) 1 61.144.51.42-61.144.51.48

6. 设置指向内网和外网的静态路由（route）

Pix525(config)# route outside 0 0 61.144.51.168 1

高级配置

a. 配置静态IP地址翻译（static）

Pix525(config)# static (inside, outside) 61.144.51.62 192.168.0.8

b. 管道命令（conduit）

Pix525(config)# conduit permit tcp host 192.168.0.8 eq www any

c. 配置fixup协议

Pix525(config)# fixup protocol ftp 21

d. 设置telnet

Pix525(config)# telnet local_ip [netmask]

配置实例

welcome to the pix firewall type help or ’?’ for a list of available commands.
pix525> en
password: 
pix525# sh config : saved : pix version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 7y051hhccoirtsqz encrypted
hostname pix525
domain-name 123.com
fixup protocol ftp 21
fixup protocol http 80
global (outside) 1 61.144.51.46
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1

维护命令

• show interface：查看端口状态
• show static：查看静态地址映射
• show ip：查看接口IP地址
• ping outside | inside ip_address：确定连通性