PIX配置专题PIX零起点配置.docx
- 文档编号:24206493
- 上传时间:2023-05-25
- 格式:DOCX
- 页数:9
- 大小:19.56KB
PIX配置专题PIX零起点配置.docx
《PIX配置专题PIX零起点配置.docx》由会员分享,可在线阅读,更多相关《PIX配置专题PIX零起点配置.docx(9页珍藏版)》请在冰豆网上搜索。
PIX配置专题PIX零起点配置
PIX配置专题PIX零起点配置
基本命令(以V7.0以上为例):
1、接口配置:
Interface,Nameif,Security-level
2、地址转换:
Nat,Global
3、内网远程登陆:
Telnet,Passwd
PIX零起点配置-1
接口配置:
pix525(config)#interfaceethernet0
pix525(config-if)#ipaddress10.1.1.254255.255.255.0
pix525(config-if)#nameifoutside
//为接口命名,该名称可在后面应用接口的时候使用
pix525(config-if)#security-level0
//指定接口安全等级,0为最低,表示接入的是外部网络,如果给接口命名时使用Outside,则接口安全等级自动设置为0,命名为Inside,则等级为100,为内部网络。
设置DMZ时一般使用40
pix525(config)#interfaceethernet1
pix525(config-if)#ipaddress192.168.10.254255.255.255.0
pix525(config-if)#nameifinside
pix525(config-if)#security-level100
PIX零起点配置-2
地址转换:
pix525(config)#global(outside)1interface
//将内部主机的地址映射到外部的接口
pix525(config)#nat(inside)1192.168.10.0255.255.255.0
//指定内部允许进行NAT转换的主机地址,指定的列表“1”要与Outside对应
有的PIXIOS默认时内部主机Ping的回显请求包是不允许通过Outside接口,为了让内网的机器能够PING出去还要加上:
pix525(config)#access-listfor_icmppermiticmpanyany
pix525(config)#access-groupfor_icmpininterfaceoutside
//将ACL应用在Outside接口的in方向
PIX零起点配置-3
内网远程登陆:
pix525(config)#telnet0.0.0.00.0.0.0inside
//这里的地址可以指定为某个主机
pix525(config)#passwd[passwd]
//设置登陆密码
pix525(config)#enablepassword[passwd]
配置到这里,我们可以利用CiscoPIX防火墙的功能顺利地实现内部用户的正常上网(NAT),也可以在内网利用远程登陆的功能访问接入防火墙。
但防火墙从外部是不允许随意连接的,并且如何保证内部用户的安全,如何方便地提供移动办公人员的远程接入,在下面的PIX进阶配置中我们将作进一步的阐述。
PIX进阶配置-1
在PIX上配置SSH:
什么是SSH?
安全外壳(SecureSHell)是专用的,提供基于Internet的数据安全技术和解决方案,尤其是加密和身份验证产品。
通过使用SSH,可以把所有传输的数据进行加密。
pix525(config)#cazeroize
pix525(config)#cagenerate
pix525(config)#casave
//以上配置用来清除、创建并保存CA证书,产生密钥,因使用SSH认证需要在Server端与Client端之间交换密钥
pix525(config)#ssh0.0.0.00.0.0.0outside
//配置外部网络使用SSH线路的授权IP
pix525(config)#username[admin]password[admin]
//创建认证时的用户名和密码
pix525(config)#aaaauthenticationsshconsoleLOCAL
//在本地进行认证,为可选项,也可以Tacacs+或Radius上进行,注意这里的“LOCAL”为大写
PIX进阶配置-2
在PIX上配置PPPoE拨号连接(由于实验室环境无法模拟真实的PPPoE环境,因此大家只需要将有用的配置记录下来即可):
V6.4:
ipaddressoutsidepppoesetroute
vpdngrouppppoexrequestdialoutpppoe
vpdngrouppppoexlocalnameXXXXXXXX@fzlan
vpdngrouppppoexpppauthenticationpap
vpdnusername480082917@fzlanpassword*********
V7.2:
pix525(config)#interfaceethernet0
pix525(config-if)#pppoeclientvpdngrouppppoe
pix525(config)#vpdngrouppppoerequestdialoutpppoe
pix525(config)#vpdngrouppppoelocalname123456789@fzlan
pix525(config)#vpdngrouppppoepppauthenticationpap
pix525(config)#vpdnusername123456789@fzlanpassword*********
PIX进阶配置-3
配置IPSECVPN远程拨入连接:
准备工作:
Client端安装了ciscovpnclient软件。
验证的过程为两次验证,首先验证用户所在分组(Tunnel-group),再验证用户身份是否授权连接。
IPSecVPNServer端配置步骤:
1、配置IKE:
定义isakmp策略集。
2、配置IPSec:
定义IPSec变换集,因为拨入连接的源IP无法确定,所以采用了动态交换的方式,该变换集在映射图(map)中被引用。
3、创建加密映射表(Cryptomap),将IKE策略集与IPSec变换集应用于接口并发送。
4、建立用户验证时的分组(Tunnel-group),指定了远程接入的方式与用户拨入的地址池(LocalPool)以及分组验证的密码(Pre-share-key)。
5、指定不进行NAT转换的地址。
6、以上述方式接入VPN网络,只能够访问VPN的内部网络,因此为了实现内部外部都能够互连,还必须加入“VPN隧道分离”技术,即:
定义一组策略(Group-policy),指定隧道分离机制,再定义需要分离的流量,应用于用户分组中。
1、配置IKE,IPSec变换集及加密映射表
pix525(config)#cryptoipsectransform-set
pix525(config)#cryptodynamic-map
pix525(config)#cryptomap
pix525(config)#cryptomap
pix525(config)#cryptoisakmpidentityaddress
pix525(config)#cryptoisakmpenableoutside
pix525(config)#isakmppolicy<10>
pix525(config-isakmp-policy)#authenticationpre-share
pix525(config-isakmp-policy)#encryptiondes
pix525(config-isakmp-policy)#hashmd5
2、建立用户分组信息
pix525(config)#iplocalpool
pix525(config)#tunnel-group
//“spoto1”为用户第一次验证时需要填的分组信息
pix525(config)#tunnel-group
pix525(config-tunnel-general)#address-pool
pix525(config-tunnel-general)#authentication-server-groupLOCAL(必须大写)
//为IPSEC第二次进行的身份认证,即username password
pix525(config)#tunnel-group
pix525(config-tunnel-ipsec)#pre-shared-key[passwd] //为分组密码
pix525(config)#access-list
//指定不进行NAT转换的流量
pix525(config)#nat(inside)0access-list
//这里的“0”表示不进行NAT转换
3、配置IPSec隧道分离
pix525(config)#access-list
//指定需要进行分离的流量,一般为Client拨入的地址段
pix525(config)#group-policy
pix525(config)#group-policy
pix525(config-group-policy)#vpn-idle-timeout20
pix525(config-group-policy)#split-tunnel-policytunnelspecified
pix525(config-group-policy)#split-tunnel-network-listvalue
//创建隧道分离的组策略
pix525(config)#tunnel-group
pix525(config-tunnel-general)#default-group-policy
//应用于用户分组中
-------------------
PIX525-IPSEC-VPN配置
实验要求:
在PIX525上进行配置,要求内网PC2能telnet登入到PIX525上;外网PC1可以通过SSH方式登入到PIX525;通过在PIN525上配置NAT使内网PC2可以ping通外网的R1,R2,PC1;在PIX525上配置IPSEC-VPN,使PC1可以通过IPSEC-VPN方式登陆到内网上,并PING通内网主机PC2。
pc1<----------------------->R1<----------------------->R2<----------------------->PIX<---------------------->pc2
实验配置如下:
一、路由器和PC机配置
配置R1:
Router>en
Router#conft
Router(config)#hostnameR1
R1(config)#intS0
R1(config-if)#ipadd12.1.1.1255.255.255.0
R1(config-if)#noshut
R1(config-if)#intE0
R1(config-if)#ipadd11.1.1.254255.255.255.0
R1(config-if)#noshut
R1(config-if)#routerrip
R1(config-router)#network12.1.1.1
R1(config-router)#network11.1.1.0
R1(config-router)#end
R1#shrun
配置R2:
Router>en
Router#conft
Router(config)#hostnameR2
R2(config)#intS0
R2(config-if)#ipadd12.1.1.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#clockrate64000
R2(config-if)#intE0
R2(config-if)#ipadd23.1.1.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#routerrip
R2(config-router)#network12.1.1.2
R2(config-router)#network23.1.1.2
R2(config-router)#end
R2#shrun
配置PC机:
PC1:
修改本地连接的TCP/IP属性,设置IP:
11.1.1.10掩码:
255.255.255.0网关:
11.1.1.254
PC2:
修改本地连接的TCP/IP属性,设置IP:
192.168.11.10掩码:
255.255.255.0网关:
192.168.11.254
二、PIX525防火墙配置:
1.接口配置:
pixfirewall>en
pixfirewall#conft
pixfirewall(config)#hoPIX525
PIX525(config)#intE0
PIX525(config-if)#ipadd23.1.1.3255.255.255.0
PIX525(config-if)#nameifoutside//设置接口为外网接口,启动安全级别为0
PIX525(config-if)#security-level0
PIX525(config-if)#noshut
PIX525(config-if)#intE1
PIX525(config-if)#ipadd192.168.11.254255.255.255.0
PIX525(config-if)#nameifinside//设置接口为内网接口,启动安全级别为100
PIX525(config-if)#security-level100
PIX525(config-if)#noshut
PIX525(config-if)#exit
PIX525(config)#
2配置允许内网telnet登入:
PIX525(config)#telnet0.0.0.00.0.0.0inside//设置E1连接的内网所有主机可以远程登入到PIX上
PIX525(config)#passwdspoto//设置内网主机Telnet登入到PIX上的密码
PIX525(config)#enablepasswordspoto
3.配置允许外网SSH登入:
PIX525(config)#cazeroize//清除原有的CA配置
PIX525(config)#cagenerate//配置CA为普通级别配置
PIX525(config)#casave//保存CA配置
PIX525(config)#ssh0.0.0.00.0.0.0outside//允许外部所有网络通过SSH方式从E0口登入
PIX525(config)#usernameadminpasswordadmin//建立一本地用户,VPN和SSH登入时使用
PIX525(config)#aaaauthenticationsshLOCAL//使用本地用户认证
4.配置PAT:
PIX525(config)#global(outside)1interface//通过出接口方式转换为外网地址
PIX525(config)#nat(inside)1192.168.11.0255.255.255.0//允许转换的内部地址网络
PIX525(config)#routeoutside0.0.0.00.0.0.023.1.1.2//起默认路由,让内网能ping通外网网段
为了让内网的机器能够PING出去还要加上:
//默认情况下,外网是不允许ping通内网的,当内网的
ping包出去后,在返回时候会被outside接口拒绝或者丢弃,所以要让outside接口能接受这个包,作
如下配置:
PIX525(config)#access-list100permiticmpanyany
PIX525(config)#access-group100ininterfaceoutside
5.IPSEC-VPN配置:
PIX525(config)#iplocalpoolipsecvpn192.168.11.20-192.168.11.120mask255.255.255.0
//建立VPN动态IP地址池,当外网用户使用IPSEC--VPN方式登陆时候,自动从IP池分配一个IP给用户
PIX525(config)#access-listnonatpermitip192.168.11.0255.255.255.0192.168.11.0255.255.255.0
//建立列表允许内网网段(含VPN网段)通过PIX防火墙时,不需要NAT转换
PIX525(config)#nat(inside)0access-listnonat//应用访问控制列表,0表示不进行转换
PIX525(config)#sysoptconnectionpermit-vpn
――――――
PIX525(config)#access-listtunnellistpermit192.168.11.0255.255.255.0
PIX525(config)#group-policyspotointernal//建立内部组策略,命名为spoto
PIX525(config)#group-policyspotoattributes
PIX525(config-group-policy)#vpn-idle-timeout20//设置VPN超时时间为20钟
PIX525(config-group-policy)#split-tunnel-policytunnelspecified//建立隧道分离策略
PIX525(config-group-policy)#split-tunnel-network-listvaluetunnellist
//与tunnellist匹配的网络将全部使用隧道分离
――――――
PIX525(config-group-policy)#exit
PIX525(config)#cryptoipsectransform-setmysetesp-desesp-md5-hmac
//ipsec的数据转换格式集通过des方式加密,对方通过哈希表-md5方式还原数据
PIX525(config)#cryptodynamicmapmydynmap20settransform-setmyset
//建立加密动态映射图,并采用上建的myset方式加密解密
PIX525(config)#cryptomapmymap20ipsec-isakmpdynamicmydynmap
//建立加密静态映射图,加密静态映射图中ipsec-isakmp采用上建的加密动态映射图加密
PIX525(config)#cryptomapmymapinterfaceoutside//将加密静态映射图应用于外网接口
PIX525(config)#cryptoisakmpidentityaddress//isakmp采用地址验证
PIX525(config)#cryptoisakmpenableoutside//isakmp应用于外网接口
//isakmp:
InternetSecurityAssociationandKeyManagementProtocolpolicy.
互连网安全密钥管理协议策略应用到外网接口
――――――
PIX525(config)#cryptoisakmppolicy10//建立isakmp策略
PIX525(config-isakmp-policy)#authenticationpre-share//使用共享密钥认证
PIX525(config-isakmp-policy)#encryptiondes//使用des算法加密
PIX525(config-isakmp-policy)#hashmd5//哈希使用MD5算法还原数据
PIX525(config-isakmp-policy)#end
PIX525(config)#tunnel-groupspoto10typeipsec-ra//建立VPN远程登入(即使用隧道分离)组
PIX525(config)#tunnel-groupgeneral-attributes//配置VPN远程登入(即使用隧道分离)组的基本属性
PIX525(config-tunnel-general)#address-poolipsevvpn//设置VPN登入内网时分配的IP地址池
PIX525(config-tunnel-general)#authentication-server-groupLOCAL//服务端组使用本地认证
――――――
PIX525(config-tunnel-general)#default-group-policyspoto//指定默认的组策略为spoto
――――――
PIX525(config-tunnel-general)#exit
PIX525(config)#tunnel-groupspoto10ipsec-attributes//设置VPN远程登入(即使用隧道分离)组的
ipsec属性
PIX525(config-tunnel-ipsec)#pre-share-keyspoto//设置使用的共享密钥为
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PIX 配置 专题 起点