pix防火墙配置与学习.pdf

说明： 本文译自于Cisco 网站官方英文资料，译者水平有限，如有错误，请垂函至 yaoyuan_xa@126.com 怒斥之，谢谢。 2005 年12 月23 日 在PIX 上使用nat ，global，static，conduit 和access-list 命令及端口重定向 目 录 1. 导言2 2. 开始之前2 3. 网络拓扑图2 4. 初始配置2 5. 允许外出访问3 5.1 允许内部部分主机访问外部网络3 5.2 允许更多主机访问外部网络4 5.3 限制内部主机访问外部网络4 6. 允许不受信任的主机访问受信任网络上的主机5 7. 禁止NAT 转换6 8. 静态端口重定向6 8.1 网络拓扑图7 8.2 端口重定向的配置8 9. 外部NAT 转换－Outside NAT 8 9.1 网络拓扑图9 9.2 外部NAT 配置9 - 1 - 1. 导言 为了最大程度的提高Cisco Secure PIX Firewall 实现的安全性，最重要的莫 过于搞清楚当你使用诸如nat，global，static 和conduit 等命令时，数据如何在不 同安全级别的接口间传递，包括 PIX 软件 5.0 以后版本中的 access- list 和 access-group 命令。本文档解释了这些命令的不同，还介绍了在PIX 软件6.0 版 本中如何配置端口重定向以及PIX 软件6.2 版本中增加的Outside NAT 特性。 2. 开始之前 本文档描述的实验环境使用了PIX 防火墙及4.5.5 以后版本的软件，并且所 有的设备都处于出厂配置（无配置）状态。 3. 网络拓扑图 4. 初始配置 接口命名如下： - 2 - l nameif ethernet0 outside security0 l nameif ethernet 1 inside security100 5. 允许外出访问 外出访问指从高安全级端口到低安全级端口的连接。包括从 inside 到 outside、从inside 到DMZs 、从DMZs 到outside 的连接。 通过两种策略可以实现外出访问，一种是转换模式，通过static 命令实现的 静态转换，或者通过 nat 和 global 命令实现的动态转换。另一种是 ACL，使用 ACL 允许源主机通过指定协议和端口访问目标主机。缺省情况下，没有ACL 对 通过 PIX 的外出连接进行限制和约束。这意味着如果没有为源接口（发起连接 的接口）配置 ACL ，那么，缺省情况下，外出连接将被允许——如果已经配置 了相应的转换模式。 下面的部分提供了转换模式和用ACL 进行外出连接限制的配置示例。 5.1 允许内部部分主机访问外部网络 在本配置中，我们将允许网络/24 内所有的主机访问外部网络。为了 完成这个任务，我们将使用nat 和global 命令，步骤如下： 1. 定义进行NAT 转换的地址： nat (inside) 1 2. 指定外部接口使用的全局地址池： global (outside) 1 - 4 netmask 现在内部主机已经能够访问外部网络了。当主机从内部发起到外部的连接 时，它们将使用全局地址池里的地址进行地址转换，注意这个转换是基于先到先 转换的，并且会先使用较小的地址。本例中，如果主机 5 最先发起一个