具体的网络环境如下:ADSL(211.98.162.25)---PIX515E(192.168.1.128)--普通交换机(192.168.1.0-192.168.1.254)
User Access Verification
Password:
Password:
Type help or '?' for a list of available commands.
pixfirewall> en
Password:
pixfirewall#
pixfirewall# con t
--进行特权模式
interface ethernet0 auto
--配置外部端口速为自动匹配
interface ethernet1 auto
--配置内部端口速为自动匹配
nameif ethernet0 outside security0
--配置外部端口名(outside)和安全级
nameif ethernet1 inside security100
--配置内部部端口名(inside)和安全级
enable password 8Ry2YjIyt7RRXU24 encrypted
----设口令
passwd RLPMUQ26KL4blgFN encrypted------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
Hostname PIX525
------ 主机名称为PIX525
Password:
Type help or '?' for a list of available commands.
pixfirewall> en
Password:
pixfirewall#
pixfirewall# con t
--进行特权模式
interface ethernet0 auto
--配置外部端口速为自动匹配
interface ethernet1 auto
--配置内部端口速为自动匹配
nameif ethernet0 outside security0
--配置外部端口名(outside)和安全级
nameif ethernet1 inside security100
--配置内部部端口名(inside)和安全级
enable password 8Ry2YjIyt7RRXU24 encrypted
----设口令
passwd RLPMUQ26KL4blgFN encrypted------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
Hostname PIX525
------ 主机名称为PIX525
fixup protocol dns maximum-length 512
--启用相关端口
fixup protocol ftp 21
--启用ftp协议,并指定ftp的端口号为21
--启用相关端口
fixup protocol ftp 21
--启用ftp协议,并指定ftp的端口号为21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
--允许DNS解决这台×××/防火墙的名(就是前面Hostname PIX525
中的)
access-list 80 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
--设定访问列表,80为列表ID
--这句意思是允许任何IP协议在192.168.1.0 255.255.255.0和192.168.1.0 255.255.255.0之间进行通讯
注: 192.168.1.0这是一个网段,但我看不明白为什么是相同的.
access-list 101 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
--设定访问列表101, 允许任何IP协议从192.168.1.0 255.255.255.0到192.168.2.0 255.255.255.0之间进行通讯
access-list 101 permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
--设定访问列表101, 允许ICMP协议从192.168.1.0 255.255.255.0到192.168.2.0 255.255.255.0之间进行通讯。就是可以Ping通
access-list 102 permit icmp any any
--设定访问列表102, 允许ICMP协议在从内网的任何主机到外网的任何主机
access-list 103 permit ip any 211.98.162.0 255.255.255.0
--设定访问列表103, 允许任何IP协议在任何主机对211.98.162.0 255.255.255.0的访问
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
--允许DNS解决这台×××/防火墙的名(就是前面Hostname PIX525
中的)
access-list 80 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
--设定访问列表,80为列表ID
--这句意思是允许任何IP协议在192.168.1.0 255.255.255.0和192.168.1.0 255.255.255.0之间进行通讯
注: 192.168.1.0这是一个网段,但我看不明白为什么是相同的.
access-list 101 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
--设定访问列表101, 允许任何IP协议从192.168.1.0 255.255.255.0到192.168.2.0 255.255.255.0之间进行通讯
access-list 101 permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
--设定访问列表101, 允许ICMP协议从192.168.1.0 255.255.255.0到192.168.2.0 255.255.255.0之间进行通讯。就是可以Ping通
access-list 102 permit icmp any any
--设定访问列表102, 允许ICMP协议在从内网的任何主机到外网的任何主机
access-list 103 permit ip any 211.98.162.0 255.255.255.0
--设定访问列表103, 允许任何IP协议在任何主机对211.98.162.0 255.255.255.0的访问
pager lines 24
--每页显示24口
mtu outside 1500
mtu inside 1500
ip address outside 211.98.162.25 255.255.255.0
--设定外网的ip地址是211.98.162.25,注意对应上面的防火墙接口ethernet0
ip address inside 192.168.1.128 255.255.255.0
--内网的ip地址是192.168.1.128,注意对应上面的防火墙接口ethernet1
--每页显示24口
mtu outside 1500
mtu inside 1500
ip address outside 211.98.162.25 255.255.255.0
--设定外网的ip地址是211.98.162.25,注意对应上面的防火墙接口ethernet0
ip address inside 192.168.1.128 255.255.255.0
--内网的ip地址是192.168.1.128,注意对应上面的防火墙接口ethernet1
ip audit info action alarm
ip audit attack action alarm
------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
ip audit attack action alarm
------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
ip local pool dialer1 192.168.1.241-192.168.1.249
---配置从192.168.1.241到192.168.1.249的本地IP地址池dialer1,后面会用到。
no failover
--禁用failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
------ PIX设备管理器可以图形化的监视PIX
arp timeout 14400
------ arp表的超时时间
global (outside) 1 interface
---配置上网在公网上显示的IP,这里用了interface但我不明白为什么不用IP,参议这里设定为ISP给您们的一个IP地址,(你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个)
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
--内网任何主机都可以访问外网
---配置从192.168.1.241到192.168.1.249的本地IP地址池dialer1,后面会用到。
no failover
--禁用failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
------ PIX设备管理器可以图形化的监视PIX
arp timeout 14400
------ arp表的超时时间
global (outside) 1 interface
---配置上网在公网上显示的IP,这里用了interface但我不明白为什么不用IP,参议这里设定为ISP给您们的一个IP地址,(你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个)
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
--内网任何主机都可以访问外网
access-group 80 in interface outside
---在接口outside---就是ethernet0应用“访问列表-ACL”,前面已经设定了.
conduit permit icmp any any
----表示允许icmp消息向内部和外部通过。
route outside 0.0.0.0 0.0.0.0 211.98.162.1 1
--表示一条指向边界路由器(ip地址211.98.162.1)的缺省路由
--外部网关211.98.162.1,1跳。0.0.0.0 0.0.0.0任何主机
route outside 192.168.0.0 255.255.0.0 192.168.1.5 255
---在外部接口ethernet0上,192.168.0.0 255.255.0.0的缺省路由是192.168.1.5。
route outside 192.168.2.0 255.255.255.0 192.168.1.5 255
---在外部接口ethernet0上,192.168.2.0 255.255.0.0的缺省路由是192.168.1.5。
---在接口outside---就是ethernet0应用“访问列表-ACL”,前面已经设定了.
conduit permit icmp any any
----表示允许icmp消息向内部和外部通过。
route outside 0.0.0.0 0.0.0.0 211.98.162.1 1
--表示一条指向边界路由器(ip地址211.98.162.1)的缺省路由
--外部网关211.98.162.1,1跳。0.0.0.0 0.0.0.0任何主机
route outside 192.168.0.0 255.255.0.0 192.168.1.5 255
---在外部接口ethernet0上,192.168.0.0 255.255.0.0的缺省路由是192.168.1.5。
route outside 192.168.2.0 255.255.255.0 192.168.1.5 255
---在外部接口ethernet0上,192.168.2.0 255.255.0.0的缺省路由是192.168.1.5。
timeout xlate 3:00:00
------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
----- AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
---AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
---SNMP设定
floodguard enable
----- 防止有人伪造大量认证请求,将pix的AAA资源用完
sysopt connection permit-ipsec
---改变PIX防火墙系统项, 这句表示允许所有经过IPSec鉴权的入局加密会话。(!--- 允许IPSec流量直通PIX防火墙而不需要其它管道或者允许IPSec流量的访问列表语句)
crypto ipsec transform-set test esp-des esp-md5-hmac
-- IPSec transform set定义了对端将用于保护数据流完全性策略。使用crypto ipsec transform-set命令定义转换。必须为transform set选择唯一名称[这里是test],可选择三个传送来定义IPSec安全协议。以下配置仅使用两个转换过程:esp-hmac-md5和esp- des。
crypto dynamic-map dynmap 10 set transform-set test
crypto map testvpn 10 ipsec-isakmp dynamic dynmap
--- Crypto map可为加密业务设置IPSec SA。要创建一个crypto map,您必须分配一个map名称(testvpn)和序列号(10),并定义crypto map参数。
crypto map testvpn client configuration address initiate
crypto map testvpn client configuration address respond
crypto map testvpn interface outside
---定义crypto map testvpn后,可将crypto map应用于接口outside。选择的接口应为IPSec终接接口
isakmp enable outside
--使用isakmp enable命令在IPSec终接接口上激活IKE
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
---使用isakmp key命令配置预共享密钥并分配对端地址。使用预共享密钥时,相同的预共享密钥必须在IPSec对端上匹配。地址将有所不同,具体取决于远端的IP地址。
!--- 设置对等的ISAKMP身份并设置IPSec 对象之间的预制密钥。 必须在IPSec 对象上为IKE鉴权 配置相同的预制密钥。
isakmp identity address
--- TPIX在默认情况下使用IP地址作为IKE谈判的IKE身份。
isakmp client configuration address-pool local dialer1 outside
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
!--- ISAKMP策略定义一套用于IKE谈判的参数。 如果没有定义这些参数,那么将使用默认的参数。--- show isakmp policy 命令显示默认值与配置策略之间的不同。
timeout uauth 0:05:00 absolute
----- AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
---AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
---SNMP设定
floodguard enable
----- 防止有人伪造大量认证请求,将pix的AAA资源用完
sysopt connection permit-ipsec
---改变PIX防火墙系统项, 这句表示允许所有经过IPSec鉴权的入局加密会话。(!--- 允许IPSec流量直通PIX防火墙而不需要其它管道或者允许IPSec流量的访问列表语句)
crypto ipsec transform-set test esp-des esp-md5-hmac
-- IPSec transform set定义了对端将用于保护数据流完全性策略。使用crypto ipsec transform-set命令定义转换。必须为transform set选择唯一名称[这里是test],可选择三个传送来定义IPSec安全协议。以下配置仅使用两个转换过程:esp-hmac-md5和esp- des。
crypto dynamic-map dynmap 10 set transform-set test
crypto map testvpn 10 ipsec-isakmp dynamic dynmap
--- Crypto map可为加密业务设置IPSec SA。要创建一个crypto map,您必须分配一个map名称(testvpn)和序列号(10),并定义crypto map参数。
crypto map testvpn client configuration address initiate
crypto map testvpn client configuration address respond
crypto map testvpn interface outside
---定义crypto map testvpn后,可将crypto map应用于接口outside。选择的接口应为IPSec终接接口
isakmp enable outside
--使用isakmp enable命令在IPSec终接接口上激活IKE
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
---使用isakmp key命令配置预共享密钥并分配对端地址。使用预共享密钥时,相同的预共享密钥必须在IPSec对端上匹配。地址将有所不同,具体取决于远端的IP地址。
!--- 设置对等的ISAKMP身份并设置IPSec 对象之间的预制密钥。 必须在IPSec 对象上为IKE鉴权 配置相同的预制密钥。
isakmp identity address
--- TPIX在默认情况下使用IP地址作为IKE谈判的IKE身份。
isakmp client configuration address-pool local dialer1 outside
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
!--- ISAKMP策略定义一套用于IKE谈判的参数。 如果没有定义这些参数,那么将使用默认的参数。--- show isakmp policy 命令显示默认值与配置策略之间的不同。
vpngroup vpn1 address-pool dialer1
vpngroup vpn1 dns-server 211.98.4.1
vpngroup vpn1 idle-time 1800
vpngroup vpn1 password ********
telnet 211.98.162.0 255.255.255.0 outside
--允许从211.98.162.0 255.255.255.0通过outside进行远程登录管理IPX防火墙:
telnet 192.168.1.0 255.255.255.0 inside
--允许从92.168.1.0 255.255.255.0通过inside进行远程登录管理IPX防火墙:
telnet 0.11.235.168 255.255.255.255 inside
--允许从168.235.11.0 255.255.255.0通过inside进行远程登录管理IPX防火墙:
telnet timeout 5
----- 使用telnet访问pix的超时时间为 5分钟
ssh timeout 5
----- 使用ssh访问pix的超时时间
console timeout 0
----- 使用console访问pix的超时时间,无
vpngroup vpn1 dns-server 211.98.4.1
vpngroup vpn1 idle-time 1800
vpngroup vpn1 password ********
telnet 211.98.162.0 255.255.255.0 outside
--允许从211.98.162.0 255.255.255.0通过outside进行远程登录管理IPX防火墙:
telnet 192.168.1.0 255.255.255.0 inside
--允许从92.168.1.0 255.255.255.0通过inside进行远程登录管理IPX防火墙:
telnet 0.11.235.168 255.255.255.255 inside
--允许从168.235.11.0 255.255.255.0通过inside进行远程登录管理IPX防火墙:
telnet timeout 5
----- 使用telnet访问pix的超时时间为 5分钟
ssh timeout 5
----- 使用ssh访问pix的超时时间
console timeout 0
----- 使用console访问pix的超时时间,无
terminal width 80
Cryptochecksum:02110bb1d7664858f8534e91a9aaa59d
: end
pixfirewall(config)#end
pixfirewall# wr memo (保存)
