一个思科PIX防火墙的实际应用配置
发布时间:2024-06-10 点击:126
pix:一个合法ip完成inside、outside和dmz之间的访问
现有条件:
100m宽带接入,分配一个合法的ip(222.134.135.98)(只有1个静态ip是否够用?);cisco防火墙pix515e-r-dmz-bun1台(具有inside、outside、dmz三个rj45接口)!
请问能否实现以下功能:
1、内网中的所有用户可以防问internet和dmz中的web服务器。
2、外网的用户可以防问dmz区的web平台。
3、dmz区的web服务器可以防问内网中的sql数据库服务器和外网中的其它服务器。
注:dmz区web服务器作为应用服务器,使用内网中的数据库服务器。
解决方案:
一、 概述
本方案中,根据现有的设备,只要1个合法的ip地址(电信的ip地址好贵啊,1年租期10000元rmb),分别通过pix515所提供的nat、pat、端口重定向、acl和route功能完全可以实现所提的功能要求。
二、 实施步骤
初始化pix防火墙:
给每个边界接口分配一个名字,并指定安全级别
pix515e(config)# nameif ethernet0 outside security0pix515e(config)# nameif ethernet1 inside security100pix515e(config)# nameif ethernet2 dmz security50
给每个接口分配ip地址
pix515e(config)# ip address outside 222.134.135.98 255.255.255.252 pix515e(config)# ip address inside 192.168.1.1 255.255.255.0 pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0
为pix防火墙每个接口定义一条静态或缺省路由
pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1(通过ip地址为222.134.135.97的路由器路由所有的出站数据包/外部接口/)pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1
配置pix防火墙作为内部用户的dpch服务器
pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 insidepix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68pix515e(config)# dhcpd enable inside
1、配置pix防火墙来允许处于内部接口上的用户防问internet和堡垒主机
同时允许dmz接口上的主机可以防问internet
通过设置nat和pat来实现高安全级别接口上的主机对低安全级别接口上的主机的防问。
(1)命令如下:
pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0pix515e(config)# global (outside) 10 interfacepix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0
(2)第一个nat命令允许在安全级别为100的内部接口上的主机,去连接那些安全级别比它低的接口上的主机。在第一个命令中,低安全级别接口上的主机包括外部接口上的主机和非军事区/dmz/上的主机。第二个nat命令允许在安全级别为50的dmz上的主机,去连接那些安全级别比它低的接口上的主机。而在第二个命令中,低安全级别的接口只包含外部接口。
(3)因为全局地址池和nat (inside)命令都使用nat_id为10,所以在192.168.1.0网络上的主机地址将被转换成任意地址池中的地址。因此,当内部接口上用户访问dmz上的主机时,它的源地址被转换成global (dmz)命令定义的10.0.0.10-10.0.0.254范围中的某一个地址。当内部接口上的主机防问internet时,它的源地址将被转换成global (outside)命令定义的222.134.135.98和一个源端口大于1024的结合。
(4)当dmz上用户访问外部主机时,它的源地址被转换成global (outside)命令定义的222.134.135.98和一个源端口大于1024的结合。global (dmz)命令只在内部用户访问dmz接口上的web服务器时起作用。
(5)内部主机访问dmz区的主机时,利用动态内部nat——把在较安全接口上的主机地址转换成不太安全接口上的一段ip地址或一个地址池(10.0.0.10-10.0.0.254)。内部主机和dmz区的主机防问internet时,利用pat——1个ip地址和一个源端口号的结合,它将创建一个惟一的对话,即pat全局地址(222.134.135.98)的源端口号对应着内部或dmz区中的唯一的ip地址来标识唯一的对话。pat全局地址(222.134.135.98)的源端口号要大于1024.理论上,在使用pat时,最多可以允许64000台内部主机使用一个外部ip地址,从实际环境中讲大约4000台内部的主机可以共同使用一个外部ip地址。)
2、 配置pix防火墙允许外网的用户可以防问dmz区的web服务器
通过配置静态内部转换、acl和端口重定向来实现外网对dmz区的web防问。
(1)命令如下
static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0access-list outside_access_in line 1 permit tcp any interface outsideaccess-group 101 in interface outside
(2)pix防火墙静态pat所使用的共享全局地址可以是一个惟一的地址,也可以是一个共享的出站pat地址,还可以与外部接口共享一个地址。
(3)static静态转换中“dns”表示进行“dns记录转换”
dns记录转换应用在当内部的主机通过域名连接处于内部的服务器,并且用来进行域名解析的服务器处于pix防火墙外部的情况下。
一个处于内网中的客户端通过域名向地址为10.0.0.2的web服务器发送一个http请示。首先要通过pix防火墙外部接口上的dns服务器进行域名解析,因此客户端将dns解析请求包发送到pix防火墙上。当pix防火墙收到客户端的dns解析请求包时,将ip头中不可路由的源地址进行转换,并且将这个dns解析请求转发到处于pix防火墙外部接口上的dns服务器。dns服务器通过a-记录进行地址解析,并将结果返回到客户端。当pix防火墙收到 dns解析回复后,它不仅要将目的地址进行转换,而且还要将dns解析回复中的地址替换成web服务器的实际地址。然后pix防火墙将dns解析发回客户端。这样所产生的结果是,当客户端收到这个dns解析回复,它会认为它与web服务器处于内部网络中,可以通过dmz接口直接到达。
3、dmz区的web服务器可以防问内网中的sql数据库服务器和外网中的其它服务器
通过静态内部转换可以实现dmz区的主机对内网中的主机的防问。
(1)命令如下:
static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0access-list dmz_access_in line 1 permit tcp any anyaccess-group dmz_access_in in interface dmz
(2)静态内部地址转换可以让一台内部主机固定地使用pix防火墙全局网络中的一个地址。使用static命令可以配置静态转换。static命令创建一个在本地ip地址和一个全局ip地址之间的永久映射(被称为静态转换槽或xlate),可以用来创建入站和出站之间的转换。
除了static命令之外,还必须配置一个适当的访问控制列表(acl),用来允许外部网络对内部服务器的入站访问
2019双十一云服务器降价
服务器配置的这个二级域名
电脑降低硬盘占用率的方法
虚拟服务器云服务器购买费用
如何快速掌握交互设计基础
禹卫:从“千年极寒”得出的“人言可畏式营销”
粘土云服务器怎么开启宝箱
即将过期的域名
现有条件:
100m宽带接入,分配一个合法的ip(222.134.135.98)(只有1个静态ip是否够用?);cisco防火墙pix515e-r-dmz-bun1台(具有inside、outside、dmz三个rj45接口)!
请问能否实现以下功能:
1、内网中的所有用户可以防问internet和dmz中的web服务器。
2、外网的用户可以防问dmz区的web平台。
3、dmz区的web服务器可以防问内网中的sql数据库服务器和外网中的其它服务器。
注:dmz区web服务器作为应用服务器,使用内网中的数据库服务器。
解决方案:
一、 概述
本方案中,根据现有的设备,只要1个合法的ip地址(电信的ip地址好贵啊,1年租期10000元rmb),分别通过pix515所提供的nat、pat、端口重定向、acl和route功能完全可以实现所提的功能要求。
二、 实施步骤
初始化pix防火墙:
给每个边界接口分配一个名字,并指定安全级别
pix515e(config)# nameif ethernet0 outside security0pix515e(config)# nameif ethernet1 inside security100pix515e(config)# nameif ethernet2 dmz security50
给每个接口分配ip地址
pix515e(config)# ip address outside 222.134.135.98 255.255.255.252 pix515e(config)# ip address inside 192.168.1.1 255.255.255.0 pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0
为pix防火墙每个接口定义一条静态或缺省路由
pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1(通过ip地址为222.134.135.97的路由器路由所有的出站数据包/外部接口/)pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1
配置pix防火墙作为内部用户的dpch服务器
pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 insidepix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68pix515e(config)# dhcpd enable inside
1、配置pix防火墙来允许处于内部接口上的用户防问internet和堡垒主机
同时允许dmz接口上的主机可以防问internet
通过设置nat和pat来实现高安全级别接口上的主机对低安全级别接口上的主机的防问。
(1)命令如下:
pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0pix515e(config)# global (outside) 10 interfacepix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0
(2)第一个nat命令允许在安全级别为100的内部接口上的主机,去连接那些安全级别比它低的接口上的主机。在第一个命令中,低安全级别接口上的主机包括外部接口上的主机和非军事区/dmz/上的主机。第二个nat命令允许在安全级别为50的dmz上的主机,去连接那些安全级别比它低的接口上的主机。而在第二个命令中,低安全级别的接口只包含外部接口。
(3)因为全局地址池和nat (inside)命令都使用nat_id为10,所以在192.168.1.0网络上的主机地址将被转换成任意地址池中的地址。因此,当内部接口上用户访问dmz上的主机时,它的源地址被转换成global (dmz)命令定义的10.0.0.10-10.0.0.254范围中的某一个地址。当内部接口上的主机防问internet时,它的源地址将被转换成global (outside)命令定义的222.134.135.98和一个源端口大于1024的结合。
(4)当dmz上用户访问外部主机时,它的源地址被转换成global (outside)命令定义的222.134.135.98和一个源端口大于1024的结合。global (dmz)命令只在内部用户访问dmz接口上的web服务器时起作用。
(5)内部主机访问dmz区的主机时,利用动态内部nat——把在较安全接口上的主机地址转换成不太安全接口上的一段ip地址或一个地址池(10.0.0.10-10.0.0.254)。内部主机和dmz区的主机防问internet时,利用pat——1个ip地址和一个源端口号的结合,它将创建一个惟一的对话,即pat全局地址(222.134.135.98)的源端口号对应着内部或dmz区中的唯一的ip地址来标识唯一的对话。pat全局地址(222.134.135.98)的源端口号要大于1024.理论上,在使用pat时,最多可以允许64000台内部主机使用一个外部ip地址,从实际环境中讲大约4000台内部的主机可以共同使用一个外部ip地址。)
2、 配置pix防火墙允许外网的用户可以防问dmz区的web服务器
通过配置静态内部转换、acl和端口重定向来实现外网对dmz区的web防问。
(1)命令如下
static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0access-list outside_access_in line 1 permit tcp any interface outsideaccess-group 101 in interface outside
(2)pix防火墙静态pat所使用的共享全局地址可以是一个惟一的地址,也可以是一个共享的出站pat地址,还可以与外部接口共享一个地址。
(3)static静态转换中“dns”表示进行“dns记录转换”
dns记录转换应用在当内部的主机通过域名连接处于内部的服务器,并且用来进行域名解析的服务器处于pix防火墙外部的情况下。
一个处于内网中的客户端通过域名向地址为10.0.0.2的web服务器发送一个http请示。首先要通过pix防火墙外部接口上的dns服务器进行域名解析,因此客户端将dns解析请求包发送到pix防火墙上。当pix防火墙收到客户端的dns解析请求包时,将ip头中不可路由的源地址进行转换,并且将这个dns解析请求转发到处于pix防火墙外部接口上的dns服务器。dns服务器通过a-记录进行地址解析,并将结果返回到客户端。当pix防火墙收到 dns解析回复后,它不仅要将目的地址进行转换,而且还要将dns解析回复中的地址替换成web服务器的实际地址。然后pix防火墙将dns解析发回客户端。这样所产生的结果是,当客户端收到这个dns解析回复,它会认为它与web服务器处于内部网络中,可以通过dmz接口直接到达。
3、dmz区的web服务器可以防问内网中的sql数据库服务器和外网中的其它服务器
通过静态内部转换可以实现dmz区的主机对内网中的主机的防问。
(1)命令如下:
static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0access-list dmz_access_in line 1 permit tcp any anyaccess-group dmz_access_in in interface dmz
(2)静态内部地址转换可以让一台内部主机固定地使用pix防火墙全局网络中的一个地址。使用static命令可以配置静态转换。static命令创建一个在本地ip地址和一个全局ip地址之间的永久映射(被称为静态转换槽或xlate),可以用来创建入站和出站之间的转换。
除了static命令之外,还必须配置一个适当的访问控制列表(acl),用来允许外部网络对内部服务器的入站访问
2019双十一云服务器降价
服务器配置的这个二级域名
电脑降低硬盘占用率的方法
虚拟服务器云服务器购买费用
如何快速掌握交互设计基础
禹卫:从“千年极寒”得出的“人言可畏式营销”
粘土云服务器怎么开启宝箱
即将过期的域名
上一篇:在SEO中最重要的是耐心和坚持
下一篇:linux如何防御ddos