-
PIX防火牆
鎖定
- 中文名
- PIX防火牆
- 常見接口
- console、Failover、EthernetUSB
- 內部網絡
- inside
- 外部網絡
- outside
- 中間區域
- 非軍事區
PIX防火牆基本認識
放置對外開放的服務器。
PIX防火牆配置規則
沒有連接的狀態(沒有握手或握手不成功或非法的數據包),任何數據包無法穿過防火牆。
(內部發起的連接可以回包。通過ACL開放的服務器允許外部發起連接)
inside可以訪問任何outside和dmz區域。
dmz可以訪問outside區域。
outside訪問dmz需要配合static(靜態地址轉換)。
inside訪問dmz需要配合acl(訪問控制列表)。
PIX防火牆配置命令
常用命令有:nameif、interface、ip address、nat、global、route、static等。
nameif
設置接口名稱,並指定安全級別,安全級別取值範圍為1~100,數字越大安全級別越高。
例如要求設置:
ethernet0命名為外部接口outside,安全級別是0。
ethernet1命名為內部接口inside,安全級別是100。
ethernet2命名為中間接口dmz, 安裝級別為50。
使用命令:
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet1 inside security100
PIX525(config)#nameif ethernet2 dmz security50
interface
配置以太口工作狀態,常見狀態有:auto、100full、shutdown。
auto:設置網卡工作在自適應狀態。
100full:設置網卡工作在100Mbit/s,全雙工狀態。
shutdown:設置網卡接口關閉,否則為激活。
命令:
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 100full
PIX525(config)#interface ethernet1 100full shutdown
ip address
配置網絡接口的IP地址,例如:
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252
PIX525(config)#ip address inside 192.168.0.1 255.255.255.0
內網inside接口使用私有地址192.168.0.1,外網outside接口使用公網地址133.0.0.1。
global
指定公網地址範圍:定義地址池。
Global命令的配置語法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name):表示外網接口名稱,一般為outside。
nat_id:建立的地址池標識(nat要引用)。
ip_address-ip_address:表示一段ip地址範圍。
[netmark global_mask]:表示全局ip地址的網絡掩碼。
例如:
PIX525(config)#global (outside) 1 133.0.0.1-133.0.0.15
地址池1對應的IP是:133.0.0.1-133.0.0.15
PIX525(config)#global (outside) 1 133.0.0.1
地址池1只有一個IP地址 133.0.0.1。
PIX525(config)#no global (outside) 1 133.0.0.1
表示刪除這個全局表項。
nat
nat命令配置語法:nat (if_name) nat_id local_ip或acl_id [netmark]
其中:
(if_name):表示接口名稱,一般為inside.
nat_id: 表示地址池,由global命令定義。
local_ip: 表示內網的ip地址。對於0.0.0.0表示內網所有主機。
[netmark]:表示內網ip地址的子網掩碼。
在實際配置中nat命令總是與global命令配合使用。
一個指定外部網絡,一個指定內部網絡,通過net_id聯繫在一起。
例如:
PIX525(config)#nat (inside) 1 0 0
表示內網的所有主機(0 0)都可以訪問由global指定的外網。
PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
route
route命令定義靜態路由。
語法:
route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名稱。
0 0 :表示所有主機,
[metric]:路由花費。缺省值是1。
例如:
PIX525(config)#route outside 0 0 133.0.0.1 1
設置缺省路由從outside口送出,下一跳是133.0.0.1。
0 0 代表 0.0.0.0 0.0.0.0,表示任意網絡。
PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1
設置到10.1.0.0網絡下一跳是10.8.0.1。最後的“1”是花費。
static
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。
語法:
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中:
internal_if_name表示內部網絡接口,安全級別較高,如inside。
external_if_name表示外部網絡接口,安全級別較低,如outside。
outside_ip_address表示外部網絡的公有ip地址。
inside_ ip_address表示內部網絡的本地ip地址。
(括號內序順是先內後外,外邊的順序是先外後內)
例如:
PIX525(config)#static (inside,outside) 133.0.0.1 192.168.0.8
表示內部ip地址192.168.0.8,訪問外部時被翻譯成133.0.0.1全局地址。
PIX525(config)#static (dmz,outside) 133.0.0.1 172.16.0.2
中間區域ip地址172.16.0.2,訪問外部時被翻譯成133.0.0.1全局地址。
conduit
管道conduit命令用來設置允許數據從低安全級別的接口流向具有較高安全級別的接口。
例如允許從outside到DMZ或inside方向的會話(作用同訪問控制列表)。
語法:
conduitpermit|deny protocol global_ip port[-port] foreign_ip [netmask]
其中:
global_ip是一台主機時前面加host參數,所有主機時用any表示。
foreign_ip 表示外部ip。
[netmask] 表示可以是一台主機或一個網絡。
例如:
PIX525(config)#static (inside,outside) 133.0.0.1 192.168.0.3
PIX525(config)#conduitpermit tcp host 133.0.0.1 eq www any
這個例子説明static和conduit的關係。192.168.0.3是內網一台web服務器,
希望外網的用户能夠通過PIX防火牆訪問web服務。
所以先做static靜態映射:192.168.0.3->133.0.0.1
訪問控制列表ACL
訪問控制列表的命令與conduit命令類似,
例:
PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
10、偵聽命令fixup
作用是啓用或禁止一個服務或協議,
通過指定端口設置PIX防火牆要偵聽listen服務的端口。
例:
PIX525(config)#fixup protocol ftp 21
啓用ftp協議,並指定ftp的端口號為21
PIX525(config)#fixup protocol http 8080
PIX525(config)#no fixup protocol http 80
啓用http協議8080端口,禁止80端口。
telnet
當從外部接口要telnet到PIX防火牆時,telnet數據流需要用vpn隧道ipsec提供保護或
在PIX上配置SSH,然後用SSH client從外部到PIX防火牆。
例:
telnet local_ip [netmask]
local_ip 表示被授權可以通過telnet訪問到PIX的ip地址。
如果不設此項,PIX的配置方式只能用console口接超級終端進行。
PIX防火牆配置模式
PIX防火牆的配置模式與路由器類似,有4種管理模式:
PIXfirewall>:用户模式
PIXfirewall#:特權模式
PIXfirewall(config)#:配置模式
monitor>:ROM監視模式,開機按住[Esc]鍵或發送一個“Break”字符,進入監視模式。
PIX防火牆應用舉例
設:
ethernet0命名為外部接口outside,安全級別是0。
ethernet1被命名為內部接口inside,安全級別100。
ethernet2被命名為中間接口dmz,安全級別50。
參考配置:
PIX525#conf t ;進入配置模式
PIX525(config)#nameif ethernet0 outside security0 ;設置定全級0
PIX525(config)#nameif ethernet1 inside security100 ;設置定全級100
PIX525(config)#nameif ethernet2 dmz security50 ;設置定全級50
PIX525(config)#interface ethernet0 auto ;設置自動方式
PIX525(config)#interface ethernet1 100full ;設置全雙工方式
PIX525(config)#interface ethernet2 100full ;設置全雙工方式
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;設置接口IP
PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;設置接口IP
PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;設置接口IP
PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定義的地址池
PIX525(config)#nat (inside) 1 0 0 ;0 0表示所有
PIX525(config)#route outside 0 0 133.0.0.2 ;設置默認路由
PIX525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;靜態NAT
PIX525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;靜態NAT
PIX525(config)#static (inside,dmz) 10.65.1.200 10.66.1.200 ;靜態NAT
PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設置ACL
PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設置ACL
PIX525(config)#access-list 101 deny ip any any ;設置ACL
PIX525(config)#access-group 101 in interface outside ;將ACL應用在outside端口
當內部主機訪問外部主機時,通過nat轉換成公網IP,訪問internet。
當內部主機訪問中間區域dmz時,將自己映射成自己訪問服務器,否則內部主機將會
映射成地址池的IP,到外部去找。
當外部主機訪問中間區域dmz時,對133.0.0.1映射成10.65.1.101, static是雙向的。
PIX的所有端口默認是關閉的,進入PIX要經過acl入口過濾。
PIX防火牆顯示命令
show interface ;查看端口狀態。
show static ;查看靜態地址映射。
show ip ;查看接口ip地址。
show config ;查看配置信息。
show run ;顯示當前配置信息。
write terminal ;將當前配置信息寫到終端。
show cpu usage ;顯示CPU利用率,排查故障時常用。
show traffic ;查看流量。
show connect count ;查看連接數。
show blocks ;顯示攔截的數據包。
show mem ;顯示內存
13、DHCP 服務
PIX具有DHCP服務功能。
例:
PIX525(config)#ip address dhcp
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain
PIX防火牆相關事件
2022年6月22日,西北工業大學發佈《公開聲明》稱,該校遭受境外網絡攻擊。陝西省西安市公安局碑林分局隨即發佈《警情通報》,證實在西北工業大學的信息網絡中發現了多款源於境外的木馬和惡意程序樣本,西安警方已對此正式立案調查。初步判明相關攻擊活動源自於美國國家安全局(NSA)的“特定入侵行動辦公室”(即:Office of Tailored Access Operation,後文簡稱“TAO”)。
TAO通過掌握的中國基礎設施運營商的思科PIX防火牆、天融信防火牆等設備的賬號口令,以“合法”身份進入運營商網絡,隨後實施內網滲透拓展,分別控制相關運營商的服務質量監控系統和短信網關服務器,利用“魔法學校”等專門針對運營商設備的武器工具,查詢了一批中國境內敏感身份人員,並將用户信息打包加密後經多級跳板回傳至美國國家安全局總部。
[1]
- 參考資料
-
- 1. 西北工業大學遭受美國NSA網絡攻擊調查報告(之二) .其他.2022-09-27