硬件防火墻，是網(wǎng)絡(luò)間的墻，防止非法侵入，過濾信息等，從結(jié)構(gòu)上講，簡單地說是一種PC式的電腦主機加上閃存（Flash）和防火墻操作系統(tǒng)。它的硬件跟工控機差不多，都是屬于能適合24小時工作的，外觀造型也是相類似。閃存基本上跟路由器一樣，都是那種EEPROM，操作系統(tǒng)跟CiscoIOS相似,都是命令行（Command）式，我第一次親手拿到的防火墻是CiscoFirewallPix525，是一種機架式標準（即能安裝在標準的機柜里），有2U的高度，正面看跟Cisco路由器一樣，只有一些指示燈，從背板看，有兩個以太口（RJ-45網(wǎng)卡）,一個配置口（console）,2個USB,一個15針的Failover口，還有三個PCI擴展口。

•     建立用戶

    建立用戶和修改密碼跟。CiscoIOS路由器基本一樣

•     激活

    激活以太端口必須用enable進入，然后進入configure模式

    PIX525>enable

    Password:

    PIX525#configt

    PIX525(config)#interfaceethernet0auto

    PIX525(config)#interfaceethernet1auto

    在默認情況下ethernet0是屬外部網(wǎng)卡outside,ethernet1是屬內(nèi)部網(wǎng)卡inside,

    inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。

•     命名端口

    采用命令nameif

    PIX525(config)#nameifethernet0outsidesecurity0

    security100

    security0是外部端口outside的安全級別（100安全級別較高）

    security100是內(nèi)部端口inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個網(wǎng)卡組成多個網(wǎng)絡(luò)，一般情況下增加一個以太口作為DMZ(DemilitarizedZones非武裝區(qū)域)。

•     配置地址

    采用命令為：ipaddress

    如：內(nèi)部網(wǎng)絡(luò)為：192.168.1.0255.255.255.0

    外部網(wǎng)絡(luò)為：222.20.16.0255.255.255.0

    PIX525(config)#ipaddressinside192.168.1.1255.255.255.0

    PIX525(config)#ipaddressoutside222.20.16.1255.255.255.0

•     配置遠程

    在默然情況下，PIX的以太端口是不允許telnet的，這一點與路由器有區(qū)別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關(guān)。

    PIX525(config)#telnet192.168.1.1255.255.255.0inside

    PIX525(config)#telnet222.20.16.1255.255.255.0outside

•     測試telnet

    在[開始]->[運行]

    telnet192.168.1.1

    PIXpasswd:

    輸入密碼：cisco

•     訪問列表

    此功能與CiscoIOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個功能，網(wǎng)絡(luò)協(xié)議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問主機:222.20.16.254的www,端口為：80

    PIX525(config)#access-list100permitipanyhost222.20.16.254eqwww

    denyipanyany

    PIX525(config)#access-group100ininterfaceoutside

•     地址轉(zhuǎn)換

    NAT跟路由器基本是一樣的，

    首先必須定義IPPool，提供給內(nèi)部IP地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。

    PIX525(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0

    PIX525(config)#nat(inside)1192.168.0.0255.255.255.0

    如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則：

    PIX525(config)#nat(inside)10.0.0.00.0.0.0

    則某些情況下，外部地址是很有限的，有些主機必須單獨占用一個IP地址，必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時共享一個IP,有點像代理服務(wù)器一樣的功能。配置如下：

    PIX525(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0

    PIX525(config)#global(outside)1222.20.16.201netmask

    255.255.255.0

    PIX525(config)#nat(inside)10.0.0.00.0.0.0

•     DHCP

    在內(nèi)部網(wǎng)絡(luò)，為了維護的集中管理和充分利用有限IP地址，都會啟用動態(tài)主機分配IP地址服務(wù)器（DHCPServer），CiscoFirewallPIX都具有這種功能，下面簡單配置DHCPServer,地址段為192.168.1.100—192.168.1.200

    DNS:主202.96.128.68備202.96.144.47

    主域名稱：

    DHCPClient通過PIXFirewall

    PIX525(config)#ipaddressdhcp

    DHCPServer配置

    PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200

    inside

    PIX525(config)#dhcpdns202.96.128.68202.96.144.47

    PIX525(config)#dhcpdomain

•     靜態(tài)端口

    靜態(tài)端口重定向(PortRedirectionwithStatics)

    在PIX版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個特殊的IP地址/端口通過FirewallPIX

    傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器了，這種方式并不是直接連接，而是通過端口重定向，使得內(nèi)部服務(wù)器很安全。

    命令格式：

    static

    [(internal_if_name,external_if_name)]{global_ip|interface}

    local_ip

    [netmask

    mask][max_cons[max_cons[emb_limit[norandomseq]]]

    static

    [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}

    local_ip

    [netmask

    mask][max_cons[max_cons[emb_limit[norandomseq]]]

    !----外部用戶直接訪問地址222.20.16.99

    telnet端口，通過PIX重定向到內(nèi)部主機192.168.1.99的telnet端口（23）。

    PIX525(config)#static(inside,outside)tcp222.20.16.99

    telnet192.168.1.99telnetnetmask255.255.255.25500

    !----外部用戶直接訪問地址222.20.16.99

    FTP，通過PIX重定向到內(nèi)部192.168.1.3的FTPServer。

    PIX525(config)#static(inside,outside)tcp222.20.16.99

    ftp192.168.1.3ftpnetmask255.255.255.25500

    !----外部用戶直接訪問地址222.20.16.208

    www(即80端口)，通過PIX重定向到內(nèi)部192.168.123的主機的www(即80端口)。

    www192.168.1.2wwwnetmask255.255.255.25500

    !----外部用戶直接訪問地址222.20.16.201

    HTTP(8080端口)，通過PIX重定向到內(nèi)部192.168.1.4的主機的www(即80端口)。

    8080192.168.1.4wwwnetmask255.255.255.25500

    !----外部用戶直接訪問地址222.20.16.5

    smtp(25端口)，通過PIX重定向到內(nèi)部192.168.1.5的郵件主機的smtp(即25端口)

    smtp192.168.1.4smtpnetmask255.255.255.25500

•     顯示保存

    顯示命令showconfig

    保存命令writememory

    相關(guān)推薦：

  信息安全工程師就業(yè)方向解析

  信息安全工程師的從業(yè)要求是什么？

  信息安全工程師考試簡介