設:
ethernet0命名為外部介面outside,安全級別是0。
ethernet1被命名為內部介面inside,安全級別100。
ethernet2被命名為中間介面dmz,安全級別50。
參考配置:
pix525#conf t ;進入配置模式
pix525(config)#nameif ethernet0 outside security0 ;設定優先順序0
pix525(config)#nameif ethernet1 inside security100 ;設優先順序100
pix525(config)#nameif ethernet2 dmz security50 ;設定優先順序50
pix525(config)#inte***ce ethernet0 auto ;設定自動方式
pix525(config)#inte***ce ethernet1 100full ;設定全雙工
pix525(config)#inte***ce ethernet2 100full ;設定全雙工
pix525(config)#ip address outside 133.0.0.1 255.255.255.252 ;設定介面ip
pix525(config)#ip address inside 10.66.1.200 255.255.0.0 ;設定介面ip
pix525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;設定介面ip
pix525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定義位址池
pix525(config)#nat (inside) 1 0 0 ;動態nat
pix525(config)#route outside 0 0 133.0.0.2 ;設定預設路由
pix525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;靜態nat
pix525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;靜態nat
pix525(config)#static (inside,dmz) 10.66.0.0 10.66.0.0 netmask 255.255.0.0
pix525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設定acl
pix525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設定acl
pix525(config)#access-list 101 deny ip any any ;設定acl
pix525(config)#access-group 101 in inte***ce outside ;將acl應用在outside埠
當內部主機訪問外部主機時,通過nat轉換成公網ip,訪問internet。
當內部主機訪問中間區域dmz時,將自己對映成自己訪問伺服器,否則內部主機將會
對映成位址池的ip,到外部去找。
當外部主機訪問中間區域dmz時,對133.0.0.1對映成10.65.1.101, static是雙向的。
pix的所有埠預設是關閉的,進入pix要經過acl入口過濾。
靜態路由指示內部的主機和dmz的資料報從outside口出去。
PIX防火牆透明模式
1 應用環境 如下圖 內網與internet的連線早已經部署好,但是沒有在內網中安裝防火牆。出於安全的考慮,現需要在內網中安裝防火牆 其實也可以在出口 但是需求是,原來內網中的所有配置都不應發生改變,這時就需要使用防火牆的透明模式。2 部署 防火牆上的配置 基本介面配置 pixfirewall co...
PIX防火牆配置DHCP
配置 pixfirewall config dhcpd address 192.168.1.1 192.168.1.253 inside 為inside介面的主機分配此網段位址 pixfirewall config dhcpd dns 8.8.8.8 8.8.4.4 為所有開啟了dhcp服務的介面主...
用ASDM管理思科PIX防火牆
asdm是思科提供的自適應安全裝置管理器 一 asdm的按裝 二 asdm的配置 為了訪問asdm,我們需要做幾件事情。否則,這個pix軟體將拒絕通訊並且切斷連線。為了允許這個連線,我們需要以config 配置 模式發布如下指令 1 http server enable 這個指令要首先發布並且啟動h...