Transcript PIX防火墙的配置

第7章 防火墙
7.1
防火墙概述
7.2
防火墙的分类
7.3
防火墙的应用
7.4
ISA Server防火墙
7.5
Cisco Pix防火墙
本章学习要点
 掌握防火墙的功能和分类
 掌握防火墙的体系结构
 了解防火墙的主要应用
 掌握ISA软件防火墙的使用和策略配置
7.1 防火墙概述
7.1.1 防火墙的基本概念
古时候，人们常在寓所之间砌起一
道砖墙，一旦火灾发生，它能够防止火
势蔓延到其他寓所。自然，这种墙因此
而得名“防火墙”。
现在，如果一个网络接到了Internet上，
它的用户就可以访问外部世界并与之通信。
但同时，外部世界也同样可以访问该网
络并与之交互。
为安全起见，可以在该网络和Internet之
间插入一个中介系统，竖起一道安全屏障。
这道屏障的作用是阻断来自外部通
过网络对本网络的威胁和入侵，提供扼
守本网络的安全和审计的唯一关卡。
这种中介系统也叫做“防火墙”或
“防火墙系统”。
图7.1 防火墙应用示意图
7.1.2 防火墙的功能
① 网络安全的屏障
② 强化网络安全策略
③ 对网络存取和访问进行监控和审计
④ 防止内部信息的外涉：
⑤ 实现VPN的连接
7.1.3 防火墙的规则
防火墙的安全规则由匹配条件和处
理方式两部分组成。
其中匹配条件如表7.1所示，处理方
式采取表7.2所示的选项。
在此基础上，所有防火墙产品都会
采取以下两种基本策略。
【一切未被允许的就是禁止的】又称为
“默认拒绝”，防火墙封锁所有信息流，然
后对希望提供的服务逐项开放，即采取Accept
处理方式。
采取该策略的防火墙具备很高的安全性，
但是也限制了用户所能使用的服务种类，缺乏
使用灵活性。
【一切未被禁止的就是允许的】又称
为“默认允许”，防火墙应转发所有的信
息流，然后逐项屏蔽可能有威胁的服务，
即采取Reject或Drop处理方式。
采取该策略的防火墙使用较为方便，
规则配置灵活，但缺乏安全性。
表7.1
防火墙处于
网络层
防火墙处于
传输层
防火墙处于
应用层
信息流
防火墙匹配条件列表
数据包的源IP地址、目的IP地址以及协议
TCP或UDP数据单元的源端口号、目的端口号
各种应用协议
向内/向外：通过防火墙向内/外网发送数据包
表7.2
允许
（Accept）
拒绝
（Reject）
丢弃（Drop）
防火墙处理方式列表
允许包或信息通过
拒绝包或信息通过，并通知信源信息被禁止
直接将数据包或信息丢弃，并不通知信源信息被禁止
7.2 防火墙的分类
7.2.1 按实现方式分类
1．硬件防火墙
2．软件防火墙
7.2.2 按使用技术分类
1．静态包过滤
2．状态检测包过滤
7.2.3 防火墙的选择
（1）要考虑网络结构
（2）要考虑业务应用系统需求
（3）要考虑用户及通信流量规模方面的需求
7.3 防火墙的应用
7.3.1 防火墙在网络中的应用模式
1．双宿/多宿主机模式
图7.2 双宿/多宿主机模式示意图
2．屏蔽主机模式
图7.3 屏蔽主机模式示意图
3．屏蔽子网模式
图7.4 屏蔽子网模式示意图
7.3.2 防火墙的工作模式
1．路由工作模式
图7.5 防火墙路由模式工作示意图
2．透明工作模式
图7.6 防火墙透明模式工作示意图
3．NAT工作模式
图7.7 防火墙NAT模式工作示意图
7.3.3 防火墙的配置规则
简单实用
 全面深入
 内外兼顾

图7.8 防火墙设置步骤视图
除此以外，在防火墙的设置过程中
还应注意以下几点。
 建立规则文件。防火墙的配置文件可对
允许进出的流量作出规定，因此规则文
件非常重要，一般网络的重大错误往往
是防火墙配置的错误。

注重网络地址转换。当防火墙采取NAT模
式时，对于内网用户的地址转换和DMZ区
域内的服务器的地址转换要非常注意。

路由的合理设置。防火墙一般提供静态路
由，静态路由表是由网络管理员在启动网
络路由功能之前预先建立起的一个路由映
射表。在设置路由时，不但要防止来自外
部的攻击，还要防止来自内部人员进行非
法活动，一般采用IP + MAC + PORT绑定
的方式，可防止内部主机盗用其他主机的
IP进行未授权的活动。

合理的规则次序。同样的规则，以不同
的次序放置，可能会完全改变防火墙的
运转情况。一些防火墙具有自动给规则
排序的特性，很多防火墙以顺序方式检
查信息包。

注意管理文件的更新。恰当地组织好规
则之后，写上注释并经常更新它们，可
以帮助管理员了解某条规则的用途，从
而减少错误配置的产生。

加强审计。不仅要对防火墙的操作进行
审计，还要对审计内容本身进行审计，
同时审计中要有明确的权限，充分保证
审计内容的完整性。
7.4 ISA Server防火墙
图7.9 ISA与传统防火墙防护体系视图
图7.10 ISA缓存功能结构
图7.11 ISA管理界面
图7.12 ISA入侵检测和报警
图7.13 ISA 策略单元应用
7.5 Cisco Pix防火墙
7.5.1 PIX防火墙的功能特点
PIX防火墙具有如下的技术特点和
优势。
 非通用、安全、实时和嵌入式系统。典
型的代理服务器要对每个数据包进行很
多处理，消耗大量的CPU资源，而PIX
防火墙使用安全、实时的嵌入式系统，
增强了网络的安全性。

自适应性安全算法（ASA）。该算法对经
过PIX防火墙的连接，采用了基于状态的
控制。

直通型代理。这种类型的代理对输入、
输出连接都采用基于用户的认证方式，
比代理服务器具有更好的性能。

基于状态的包过滤。这种方式是把有关数
据包的大量信息放入表中，进行分析的一
种安全措施。要建立一个会话，该连接的
相关信息必须与表中的信息匹配。

高可靠性。两个Cisco防火墙可以配置成
全冗余方式，提供基于状态的故障倒换
能力。
7.5.2 PIX防火墙的算法与策略
图7.14 PIX安全级别拓扑视图
表7.4
接口对
ASA安全级别关系
与边界接口的关系
配置指导
外部安全级别0到
DMZ安全级别50
认为DMZ是可以信任的
必须配置静态地址翻译和管道或访问列表，
让源自外部接口的会话可以到达DMZ接口
内部安全级别100到
DMZ安全级别50
认为DMZ是不能信任的
需要配置动态地址翻译，允许源自内部接口
“安全级别100”的会话访问DMZ接口
7.5.3 PIX防火墙系列产品介绍
表7.5
PIX防火墙产品
尺寸（机架单元）
处理器（MHz）
RAM（MB）
FLASH （MB）
最多接口数量
故障倒换
最大连接数
吞吐量（Mbit/s）
PIX
506
桌面
200
32
8
2
不支持
400
10
PIX防火墙产品规格和特性
PIX 515
PIX 520
PIX 525
PIX 535
1RU
200
32/64
16
6
支持
125 000
100
3RU
350
64/128
16
6
支持
250 000
120
2RU
600
128/256
16
8
支持
280 000
370
3RU
1 000
512/1 000
16
10
支持
500 000
1 000
7.5.4 PIX防火墙的基本使用
1．PIX防火墙入门
表7.6
名称
非特权模式
特权模式
配置模式
监控模式
PIX防火墙访问模式简介
提示符
Pixfirewall>
Pixfirewal#
Pixfirewall
（config）#
Monitor>
进入命令
Enable进入特权模式
Configure terminal进入配置模式
退出命令
logout
disable
exit
中断启动过程按“Break”键
重新启动
2．PIX防火墙的基本配置命令
表7.7
命令格式
enable password
password
[encrypted]
hostname
newname
Write terminal
Write net
Write erase
Write memory
Write standby
configure net
configure
memory
Show config
Show runningconfig
Show history
PIX防火墙基本命令使用
用途及说明
从非特权模式进入特权模式时的验证命令，注意password可以是数字或字符串，
但区分大小写，且长度最大为16个字符。选项[encrypted]是默认应用的，在配置文
件中口令是被加密的
为防火墙配置名称
保存当前配置，存储于RAM中
保存当前配置文件到TFTP服务器
清除Flash中的启动配置文件
对PIX的任意修改都会立即生效，并将配置保存于Flash中，且不影响防火墙的处
理工作
将当前处于活跃状态的防火墙的当前配置保存在备份防火墙的RAM中，一般使
用故障切换功能的防火墙自动定期将配置写入备份单元
将TFTP的配置文件与RAM中配置文件合并，存储于RAM中
将当前配置文件与启动配置文件合并，存储于Flash中
用于显示存储在Flash中的启动配置文件
显示PIX防火墙的RAM中当前的配置文件
显示以前的输入命令。也可以按上下箭头逐个检查以前输入的命令
续表
命令格式
Show interface
Show memory
用途及说明
查看接口的信息。在显示结果中，“Line protocol up/down”表示物理连接正
常/不正常；“Network interface type”表示接口类型；“No buffer”表示内存不足，
流量过大导致速度降低；“Overruns”表示网络接口淹没，不能缓存接收的信息；
“underruns”表示防火墙被淹没，不能让数据快速到达网络接口；“babbles”
表示发送器在接口上的时间过长；“defered”表示链路上有数据活动，导致发送
之前被延迟的帧的数量
显示存储器中和当前可用的存储信息
show version
显示防火墙操作系统版本以及硬件类型、存储器类型、处理器类型、Flash类
型、许可证特性、序列号码、激活密钥等
Show xlate
显示地址转换列表；其中“Global”表示全局地址；“Local”表示本地地址；
“Static”表示静态地址翻译；“nconns”表示本地与全局地址对连接数量；
“econns”表示未完成连接（半打开）数量
Show telnet
显示被授权的Telnet访问IP地址信息
ping IP
测试连通性
telnet IP
通过Telnet方式访问该IP地址设备
3．PIX防火墙的配置
表7.8
命令格式
nameif hardware_id
if-name security_level
interface
hardware_id
hardware_
speed ［shutdown］
ip address if_name
ip_address ［netmask］
PIX防火墙6个配置命令使用
用途及说明
为PIX防火墙的每个边界物理或逻辑接口分配一个名字，并指定它们的安全级别：通常
E0被默认为外部接口、安全级别为0，而通常E1被默认为外部接口、安全级别为100。选项
“hardware_id”表示硬件名称，如E0、E1等；“if-name”表示接口名称，如inside、
outside等；“security_level”表示安全级别，如100、0等
指明硬件、设置硬件的速率、启动接口。选项“hardware_speed”指定接口速率，如
100base等；“shutdown”表示禁用接口。当首次安装PIX防火墙时，所有的接口默认都是
关闭的，需要通过interface命令，不加shutdown参数来启动这些接口
为接口设置IP地址以及子网掩码。选项“ip_address”表示IP地址；“netmask”表示
子网掩码，不选该项表示IP地址为有类别地址，子网掩码按照地址分类自动生成
用于定义不同网络通信时转换的IP地址池。选项“if_name”表示使用全局地址的外部
global
if_name
nat_id 接口名称；“nat_id”表示地址池，一般为正整数，如1、2等；当选择“interface”时，表
interface|global_ip-[global_ip]
示所有IP地址都翻译成该指定接口的IP地址，即采用端口地址翻译（PAT）方式；当选择
［netmask global_mask］
“global_ip-[global_ip]”时指定全局地址可以是一个或多个；“netmask”表示全局地址的
子网掩码
与global命令配合使用，指定哪些内网地址可以与哪个地址池联系，通过翻译访问其他
nat
if_name
nat_id local_ 网 络 。 选 项 “ if_name ” 表 示 使 用 全 局 地 址 的 内 部 接 口 名 称 ； “ local_address ” 与
address［netmask］
［netmask］配合使用，限定可以进行地址翻译的内网地址，如用192.168.1.0 255.255.255.0
表示一个网络
定义静态路由。选项“if_name”表示需要路由的数据通过的接口名称；“ip_address”
route
if_name
ip_address
与“netmask”配合使用，指定目标网络；“gateway_ip”表示下一跳的IP地址；［metric］
netmask gateway_ip［metric］
表示路径的优劣，默认为1，当存在达到同一目标网络有多条路由时才使用
图7.16 某校园网拓扑
4．PIX防火墙的口令恢复
图7.17 防火墙口令清除设备连接图
7.5.5 PIX防火墙的高级配置
1．PIX防火墙的地址转换
PIX防火墙支持以下两种类型的地址
转换。
（1）动态地址翻译
把在较安全接口上的主机地址转换
成不太安全接口上的一段IP地址或一个
地址池。
这个过程允许内部用户去共享已经
注册的IP地址，并且从公共Internet的角
度来看，隐藏了内部地址。
其中动态地址翻译又分为两类。
① 网络地址翻译（NAT）。通过定义地址
池（由多个连续的IP地址组成）允许内部
用户去共享这些地址访问外部网络。
② 端口地址翻译（PAT）。所有本地地
址都被翻译成同一个IP地址来访问外部
网络。
（2）静态地址翻译
在较安全的接口和不太安全的接口之间
提供一种永久的、一对一的IP地址映射。
这个过程允许主机从Internet访问内部
主机，并且不会暴露其真实的IP地址。
除上述分类外，PIX防火墙还有一
种NAT的特殊应用“nat 0”，它可以禁
止地址翻译，使内部地址不经翻译就对
外部网络可见。
这种特殊应用常用于DMZ区域的外
部服务器发布。
在PIX防火墙实现地址转换技术时，它
将网络地址按照应用语法分为如下3种。
本地地址（Local Address）：定义分配
给内部主机的地址。
 全局地址（Global Address）：定义在建
立通过PIX会话时，本地地址被翻译的地
址。
 外部地址（Foreign Address）：定义一
台外部主机的IP地址。

对于采取NAT的动态地址翻译，必
须使用nat命令来定义本地地址，然后使
用global命令定义全局地址，例如，允许
内部网络192.168.1.0/24这个子网可以访
问外部网络，其全局地址为191.1.1.1—
191.1.1.10/24，具体语法如下。
pixfirewall(config)# nat (inside) 1
192.168.1.0 255.255.255.0
pixfirewall(config)# global (outside) 1
191.1.1.1-191.1.1.10 netmask
255.255.255.0
如果全局地址只有一个191.1.1.1/24，此
时动态地址翻译就被称为端口地址翻译。具
体语法如下。
pixfirewall(config)# nat (inside) 1
192.168.1.0 255.255.255.0
pixfirewall(config)# global (outside) 1
191.1.1.1 netmask 255.255.255.0
端口地址翻译可以节省IP地址资源，使多个
向外的会话看起来好像源自同一个IP地址，而
且可以与DNS、FTP、HTTP、E-mail、RPC、
Telnet等多种应用一起工作。
但是对于H.323应用和高速缓存名称服
务器或者是多媒体应用是不能使用端口地址
翻译技术的，它会造成端口映射冲突。
在使用端口地址翻译时它指定的IP地址
不能被其他地址池所使用，当与网络地址翻
译一起应用时，只有地址池的地址耗尽时才
会使用端口地址翻译指定的IP地址。
在管道或访问列表支持的前提下，静
态地址翻译可以让较低安全级别接口上的
设备访问位于较高安全级别接口上的IP地
址，当该IP地址的设备向外建立会话时都
会被翻译成相同的地址。
静态地址翻译需要使用static命令（见
表7.9）来实现，static命令语法如下。
static［（internal_interface，
external_interface）］ global_ip local_ip
［netmask mask］
[max_conns[em_limit]][norandomseq]
表7.9
static命令描述
解释
static命令参数
internal_interface
具有较高安全级别的内部接口
external_interface
具有较低安全级别的外部接口
global_ip
全局地址
local_ip
本地地址
netmask
子网掩码
mask
默认为255.255.255.255，表示全局地址和本地地址为一个主机地址
max_conns
每个地址的最大连接数量，即允许同时通过该地址翻译的连接数
em_limit
norandomseq
限制半打开连接的数量，来限制连接风暴攻击。默认为0，表示不
限制
防火墙可以将进出它的数据报文的序列号随机改变，该参数表示
不进行随机处理
在图7.18中，来自外部网络的主机希望
访问内部网络的一台Web服务器（local_ip：
192.168.1.2、global_ip：191.1.1.22），可以
通过static命令来实现。
图7.18 静态地址转换
pixfirewall(config)# static (inside,outside)
191.1.1.22 192.168.1.2
当服务器处于DMZ区域，本地地址
采用注册公有地址191.1.1.22时，即本地
地址与全局地址一致，可以用下列命令
来实现。
pixfirewall(config)# static (dmz,outside)
191.1.1.22 191.1.1.22
对于上述情况，还有一种常见的处
理方式，即“nat 0”。
“nat 0”可以实现禁止地址翻译，
使内部地址不经翻译就对外网可见，例
如：
pixfirewall(config)# nat (dmz) 0 191.1.1.22
255.255.255.255
当防火墙采取了地址翻译的技术，监控
翻译下的连接也是至关重要的，show xlate命
令可以显示地址转换表的内容或通过clear
xlate清除地址转换表中的内容，释放地址池
中的已用地址。
2．PIX防火墙的管道应用
当一台处于较低安全级别接口上的
设备，试图通过PIX防火墙访问处于较高
安全级别接口上的设备时，有以下两种
方法。

对于合法请求的响应。首先由处于较高
安全级别接口上的设备，发起对较低安
全级别接口上的设备的连接请求，默认
情况下，对于该请求的响应是被允许通
过防火墙的。

通过管道或访问列表。通过配置相应的
安全策略，来定义基于地址或端口号的
数据流可以通过防火墙。
前面讲过使用static命令可以在一个
本地IP地址和一个全局IP地址之间创建
一个静态映射，但从外部到内部接口的
连接仍然会被PIX防火墙的自适应性安
全算法（ASA）阻挡。
conduit命令（见表7.10）用来允许
数据流从具有较低安全级别的接口流向
具有较高安全级别的接口，例如，允许
从外部到DMZ或内部接口方向的会话。
对于向内部接口的连接，static和
conduit命令将一起使用，来指定会话的
建立。
conduit命令配置语法：
conduit permit | deny protocol global_ip
global_mask [operator port[-port]]
foreign_ip foreign_mask [operator port[port]]
表7.10 conduit命令描述
conduit命令参数
permit | deny
protocol
global_ip
global_mask
operator
port[-port]
foreign_ip
foreign_mask
解释
允许访问 | 拒绝访问
连接协议，如TCP、UDP、ICMP等
先前由global或static命令定义的全局IP地址
子网掩码，这里用于限定global_ip地址的范围。子网掩码某一位
为1，对应IP地址该位必须与global_ip一致，为0则对应IP地址该位
不必与global_ip一致。例如，global_ip为191.1.1.1，global_mask为
255.255.255.255，则表示全局地址为一台主机地址，对于这种单个
主机限定也可以通过 host 191.1.1.1来实现；如果global_mask为
255.255.255.0，则表示global_ip代表一个网段
比较运算符，指定一个端口的范围。eq表示等于、neq表示不等
于、lt表示小于、gt表示大于、range表示从某个端口号到某个端口
号的一段连续端口
服务所作用的端口，如www使用80，smtp使用25等
表示可访问global_ip的外部IP
子网掩码用法，与global_mask用法一致
在图7.18所示的静态地址转换中，通
过static发布了Web服务器，为使外部用
户（65.1.1.2）访问该服务器，还必须使
用conduit命令来配置管道实现。
pixfirewall(config)# conduit permit tcp
191.1.1.22 255.255.255.255 eq www host
65.1.1.2
这个例子中如果希望所有的外部用
户都可以访问该服务器，则可以通过下
列两种命令表示。
pixfirewall(config)# conduit permit tcp host
191.1.1.22 eq www 0.0.0.0 0.0.0.0
pixfirewall(config)# conduit permit tcp host
191.1.1.22 eq www any
一般在PIX防火墙上可以拥有最多8 000
个管道，为了查看所配置的管道，可以使用
show conduit命令，它可以显示管道的数量
以及某个管道被利用的次数。
当然也可以通过no conduit来删除不需要
的管道配置。
除了管道以外，还有一种方式可以
实现非受信网络访问受信网络，即访问
列表ACL。
它是路由器和PIX防火墙用来控制
流量的一个列表，可以阻止或允许特定
的IP地址数据包通过PIX防火墙。
使用access-list和access-group这两
个命令来实现上述功能。
access-list命令（见表7.11）用于定
义数据包的限制范围，其命令配置语法
为：
access-list acl_ID [line line_num]
permit|deny protocol source_ip
source_mask [operator port[-port]]
destination_ip destination _mask
[operator port[-port]]
表7.11 access-list命令描述
access-list命令参数
acl_ID
line
line_num
permit | deny
protocol
source_ip
source_mask
operator
port[-port]
destination_ip
destination _mask
解释
ACL名称
用于指定该条语句在访问列表执行过程的顺序。只有PIX 6.3及以上版本
才支持
从1开始编号
允许数据包通过防火墙 | 拒绝数据包通过防火墙
连接协议，如TCP、UDP、ICMP等
数据包中的源IP地址
源IP子网掩码，这里用于限定source_ip地址的范围，子网掩码某一位为1，
对应IP地址该位必须与source_ip一致，为0则对应IP地址该位不必与
source_ip一致。例如，source_ip为191.1.1.1，source_mask为255.255.255.255，
则表示全局地址为一台主机地址，对于这种单个主机限定也可以通过 host
191.1.1.1来实现；如果source_mask为255.255.255.0，则表示global_ip代表一
个网段
比较运算符，指定一个端口的范围。eq表示等于、neq表示不等于、lt表示
小于、gt表示大于、range表示从某个端口号到某个端口号的一段连续端口
服务所作用的端口，如www使用80，smtp使用25等
数据包中的目的IP地址，一般指经过NAT翻译后的全局地址
目的IP子网掩码，用法与source_mask的用法一致
access-group命令（见表7.12）用于
将访问列表与接口绑定，访问列表只有
与接口绑定后才能生效。其命令配置语
法为：
access-group acl_ID in interface
interface_name
表7.12 access-group命令描述
解释
access-group命
令参数
acl_ID
ACL名称
in interface
在指定接口上过滤进入接口的数据包
interface_name
接口的名称
在图7.18所示的静态地址转换中，通
过static发布了Web服务器，为使外部用
户（65.1.1.2）访问该服务器，除了通过
conduit命令来配置管道实现，还可以选
择通过ACL实现。
pixfirewall(config)# access-list WEB1
permit tcp host 65.1.1.2 2 host host
191.1.1.22 eq www
pixfirewall(config)# access-group WEB1 in
interface inside
可以通过show access-list来查看访问
列表的配置，也可以通过clear access-list
来删除整个访问列表，如果需要删除某
一特定语句可以使用no access-list参数。
这里需要注意的是，如果使用了NAT
0技术，需要使用nat 0 access-list命令，对
与访问列表匹配的数据不进行地址翻译。
例如，使用了下列命令：
pixfirewall(config)# nat (dmz) 0 191.1.1.22
255.255.255.255
此时需要使用nat 0 access-list命令，
具体如下：
pixfirewall(config)# nat (dmz) 0 access-list
WEB1
在PIX防火墙的配置中建议使用访问
列表而不是管道，原因有两个，一是考
虑将来的兼容性，二是可以使熟悉Cisco
IOS的用户更加容易使用。
通过表7.13可以进一步了解它们之间
的特性。
表7.13 访问列表和管道特性对比表
访问列表特性
需要先使用access-list定义范围，并通过accessgroup命令与接口建立关联，才能生效
access-list和access-group具备较高的优先级
不仅适用于从较低安全级别接口到较高安全级
别接口的流量控制，而且也适用于从较高安全级
别接口到较低安全级别接口的流量控制
访问管道特性
只需使用conduit，不需要与接口建立
关联即可生效
conduit具备较低的优先级
只能控制从较低安全级别接口到较高
安全级别接口的流量
3．PIX防火墙系统日志
PIX防火墙为系统事件产生系统日志
（syslog）消息，如告警和资源的消耗。
可以使用系统日志消息创建E-mail告
警和日志文件，或者将它们显示在指定的
系统日志主机的控制台上。
如果没有系统日志服务器，可以从
Cisco网站上下载一个软件复制或者购买，
PIX防火墙在随机光盘中也有该软件。
它的安装非常简单，具体步骤如下。
步骤1：运行应用程序，如pfss512，如图
7.19所示。
 步骤2：用标准的InstallShield Wizard来
指导安装，如图7.20所示，注意被安装的
磁盘必须是NTFS格式。
 步骤3：系统重启后，允许syslog即可。

图7.19 Cisco系统日志服务器安装界面
图7.20 Cisco系统日志服务器安装配置界面
PIX防火墙能够发送系统日志消息到
任何一台系统日志服务器。
在所有的系统日志服务器或主机处于
离线状态时，PIX防火墙最多能够存储100
条消息到它的内存中。
后续到达的消息将从缓存的第一行开
始覆盖。
PIX防火墙发送的系统日志消息将记
录以下事件。
 安全：丢弃的UDP数据包和拒绝的TCP
连接。
 资料：连接通告和转换槽消耗。
系统：通过Console和Telnet的登录和退
出，以及重启PIX防火墙。
 统计：每个连接传输的字节数。

在默认情况下，PIX防火墙的日志功
能是被禁用的，需要使用logging on命令
来开启。
PIX使用日志级别（logging level）来
反映不同级别的事件细节，详细划分如表
7.14所示。
表7.14 日志级别
日志级别
0
1
2
3
4
5
6
日志级别描述
紧急（Emergencies）
告警（Alerts）
严重（Critical）
错误（Errors）
警告（Warnings）
通知（Notifications）
信息（Informational）
7
调试（Debugging）
系统状况
系统不可用
应立即采取行动
严重的情况
错误消息
警告消息
正常但重要的情况
信息消息
调试消息并记录FTP命令和
WWW的URL
级别号越低，系统日志消息越严重。
默认的日志级别为3（错误），当设
置了一个日志级别，任何更高级别的日志
消息都将无法生成。
PIX防火墙中的系统日志功能是观
察对消息的疑难解析和观察诸如攻击和
拒绝服务等网络事件的一个有效方法。
日志消息可以被发送至位于和不位
于PIX单元的多个不同的输出目的地。
控制台：使用logging console level命令，
其中level表示日志级别。
 内存缓冲区：使用logging buffered level
命令。
 Telnet控制台：使用logging monitor level
命令。

SNMP管理工作站：使用logging trap level命
令。
 系统日志服务器：使用logging host [if_name]
ip_address [protocol/port]命令。

当系统日志消息被发送到服务器时，
其命令中的“if_name”参数表示日志服务
器所连接的链接；“ip_address”参数表示
日志服务器的IP地址；“protocol”参数表
示发送日志消息所使用的协议是TCP还是
UDP；一个日志服务器只能选择一种协议；
“port”参数表示发送日志消息所使用的端
口号，注意默认端口号TCP为1470、UDP为
514。
在使用上述命令的基础上，还需指定
PIX将通过什么管道发送消息，默认管道
采用20，如pixfirewall#(config) logging
facility 20。
当网络中存在多个日志服务器时，
需要为每个服务器指定一个管道，一般
为16～23，对于单个的日志服务器，可
以拥有多个管道方便日志消息的发送。
对于系统日志可以设置PIX内部时钟，
为每个消息打上时间标记，其命令为logging
timestamps。
在任何一个logging命令前加上no即可
关闭该项功能，也可以使用show logging来
查看启用了哪些日志选项。
4．PIX防火墙高级协议处理
PIX防火墙的防护策略会干预FTP、
多媒体等应用或协议的正常工作，需要
对PIX防火墙进行特殊的处理，通过一种
称为“协议处理”（Fixup Protocol）的
机制来实现。
它通过监视一个应用的控制管道来防
止出现违背协议的事件，并让防火墙动态
地响应协议的合法需要，通过在ASA中产
生一个临时的例外事例来安全地打开一条
向内的连接。
当不需要例外事例时，Fixup Protocol
功能会将它自动关闭。
Fixup Protocol命令（见表7.15）运
行用户修改、启动或禁止穿过PIX防火墙
的服务或协议，指定防火墙监听的服务
使用的端口号。
除了远端shell服务外，可以修改任
何服务所对应的端口号，其命令配置语
法：
fixup protocol protocol_name [port[-port]]
表7.15 fixup protocol命令描述
fixup protocol命令参数
protocol_name
port[-port]
解释
协议名称，如ftp、h323、rtsp、smtp、
sqlnet等
指定防火墙监听的服务使用的端口号
对于网络应用而言，下列一些服务
需要防火墙来产生例外事例。
（1）标准模式的FTP
处于内部接口（较高安全级别）上
的客户端访问处于外部接口（较低安全
级别）上的FTP服务器，外部服务器就
会建立一条从自身端口20到内部客户端
的高位端口的数据信道连接。
但是，除非永远打开向内的端口为
20的管道，否则就无法建立正常的FTP
连接，如图7.21所示。
图7.21 标准模式的FTP访问连接
此时需要使用fixup protocol命令产
生一个例外事例，具体命令如下：
pixfirewall(config)# fixup protocol ftp 20
对于处于外部接口（较低安全级别）
上的客户端访问处于内部接口（较高安全
级别）上的FTP服务器，防火墙需要配置
静态地址转换对外发布的FTP服务器，并
建立向内的管道以允许向内的连接，因此
不需要例外事例。
（2）被动模式的FTP
对于处于外部接口（较低安全级别）
上的客户端访问处于内部接口（较高安全
级别）上的FTP服务器，防火墙需要配置
静态地址转换对外发布的FTP服务器，并
建立向内的管道以允许向内的连接。
首先，客户端询问服务器是否接收被动
模式，如果服务器接收的话，它会向客户端
发送一个用于数据信道的高位端口号，然后
客户端从自己的高位端口发起一条到服务器
指定高位端口的连接，如图7.22所示。
图7.22 被动模式的FTP访问连接
此时就需要使用fixup protocol命令
产生一个例外事例，具体命令如下：
pixfirewall(config)# fixup protocol ftp 21
如果服务器对外发布时，采取的是
21端口以外的端口号，如2101，那么需
要重新配置：
pixfirewall(config)# fixup protocol ftp 2101
pixfirewall(config)# no fixup protocol ftp
21
对于处于内部接口（较高安全级别）上的
客户端访问处于外部接口（较低安全级别）上
的FTP服务器，由于所有连接都是由客户端发
起的，因此不需要例外事例。
（3）rsh
rsh通过两个信道进行通信。
当处于内部接口（较高安全级别）
上的客户端访问处于外部接口（较低安
全级别）上的服务器，外部服务器会建
立一个客户端通道用于错误输出，如图
7.23所示。
图7.23 RSH连接
此时需要使用fixup protocol命令产
生一个例外事例，具体命令如下：
pixfirewall(config)# fixup protocol rsh 514
反方向的通信按照相应的配置，不
需要例外事例。
（4）SQL*Net
对于处于外部接口（较低安全级别）
上的客户端使用SQL*Net查询处于内部接
口（较高安全级别）上的SQL服务器的数
据库时，防火墙需要配置静态地址转换对
外发布的FTP服务器，并建立向内的管道
以允许向内的连接。
首先客户端从它的高位端口建立到
服务器1512端口的连接，然后服务器将
客户端重新定位到不同的端口或地址，
最后客户端使用重新定位的端口建立第
二条连接，如图7.24所示。
图7.24 SQL*Net连接
此时需要使用fixup protocol命令产
生一个例外事例，具体命令如下：
pixfirewall(config)# fixup protocol sqlnet
1512
反方向的通信按照相应的配置，不
需要例外事例。
（5）多媒体应用
多媒体应用又分为标准RTP模式、
RealNetworks公司的RDT模式和H.323
模式等，它们的处理方式根据通信特点
各有不同。
① 标准RTP模式。客户端访问服务器时，
服务器会产生一条UDP的数据通道。因此
对由内向外访问服务器的标准RTP模式，
需要使用fixup protocol命令产生一个例外
事例，具体命令如下：
pixfirewall(config)# fixup protocol rstp 554
② RealNetworks公司的RDT模式。客户端
访问服务器时，服务器会产生一条UDP的
数据通道，而且客户端需要建立一条UDP
信道用于错误重传。因此不论由内向外或
者由外向内访问服务器的RDT模式，都需
要使用fixup protocol命令产生一个例外事
例，具体命令如下：
pixfirewall(config)# fixup protocol rstp 554
pixfirewall(config)# fixup protocol rstp
8554-8574
③ H.323。相对于其他协议H.323更加复
杂，它使用两条TCP连接建立一个“呼
叫”，同时使用几个UDP建立会话，因
此需要使用fixup protocol命令产生一个
例外事例，具体命令如下：
pixfirewall(config)# fixup protocol H323
1720
pixfirewall(config)# fixup protocol rstp
7720-7740
④ PIX防火墙攻击防护。
PIX防火墙的攻击防护特性可以大
大降低电子邮件、域名系统、碎片、
AAA以及SYN风暴攻击。
它不但具有常用服务的安全保护功能，
而且具备简单的入侵检测功能。
在进行适当配置的条件下，PIX防火墙
可以实现动态阻挡可疑数据流的功能。
具体防护配置如表7.16所示。
表7.16 PIX防火墙防护配置与原理说明
防卫名称
电子邮件防卫
DNS防卫
碎片攻击防卫
AAA攻击防卫
SYN风暴攻击
防卫
反欺骗
原理
防护配置
保护从外部对DMZ区域的邮件服务器的SMTP连接
fixup protocol smtp 25
（SMTP没有认证功能），能够避免SMTP攻击
fixup protocol dns；
可以辨别一个向外的DNS请求，并只允许一个DNS响
应返回，可以防止UDP会话劫持和DoS攻击
fixup protocol dns maximum-length 1024
针对许多IP碎片类型的攻击进行安全检查，同时对数
1. Sysopt security fraggurad
据包进行两项附加安全检查，可以避免泪滴和LAND攻击。
2. Fragment chain 1 inside
（相关命令说明见注释1、2、3）
Fragment outside size 1000
配置1只适用于6.3以下版本，来执行访问列表制定的
Fragment chain 40 outside
安全策略
Fragment outside timeout 10
配置2适用于6.3及以上版本
主动收回TCP资源，避免黑客伪造大量的认证请求，
从而导致AAA资源耗尽。一般防火墙按照下列顺序，收
回处于不同状态的TCP用户资源：
1.等待（Timewait）
Floodguard enable|disable
2.结束等待（Finwait）
3.未完成的（Embryonic）
4.空闲（Idle）
见表8.6“max_cons”参数与“em_limit”
通过静态地址转换限制未完成的连接的数量，避免
DoS攻击
参数配置说明
PIX防火墙执行基于数据包的目的和源地址的路由检
ip verify reverse-path inside
查，避免黑客伪造数据包进行IP欺骗（相关命令说明见
ip verify reverse-path outside
注释4）

注释1：Fragment chain chain_limit
interface_name中，参数“chain_limit”
指定一个完整数据包最多可以分成多少
段，默认为24，最大为8 200，设为1时表
示禁止分段；参数“interface_name”指
定在哪个接口进行分段限制。

注释2：Fragment size data_limit
interface_name中，参数“data_limit”
表示分段数据缓存中包的数量，默认为
200，最大为所有内存块的总数。

注释3：Fragment timeout seconds
interface_name中，参数“seconds”指
定在收到第一个分段可以等待重组的最
长时间，默认5秒，最大30秒。

注释4：ip verify reverse-path interface_nam
中，参数“interface_name”指定在哪个接
口启用路由查找功能，注意当在outside接口
使用该技术时，必须在外部接口设置默认路
由。
PIX防火墙使用入侵检测特征码（相
关特征码说明见Cisco网站）来实现入侵
检测的功能，特征码是指典型的入侵行
为具有的一套规则，PIX防火墙将其分为
两类。

信息类特征码：由正常网络行为触发，
本身不被认为是一种恶意攻击，如ID：
2000名称为ICMP回声应答。

攻击类特征码：由已知的攻击行为或网
络入侵触发，如ID：1100名称为IP分段
攻击。
在防火墙上使用ip audit命令（见表7.17）
启用入侵检测、审计功能。
它可以创建不同类型特征码的策略，指定
审计的数据量以及触发后所要执行的动作。
当为信息类特征码或攻击类特征码
创建策略并将之应用于接口时，这一类
特征码都将被检测，除非使用相关命令
特意关闭对其的检测。其命令配置语法
如下：
ip audit signature signature-number
disable
注：根据特征码ID禁用特征。
ip audit name audit_name info [action
[alarm] [drop] [reset]]
注：为信息类特征码创建策略。
ip audit name audit_name attack [action
[alarm] [drop] [reset]]
注：为攻击类特征码执行相同的策略。
ip audit interface if_name audit_name
注：将策略与端口建立关联，使之生效。
表7.17 ip audit命令说明
解释
ip audit命令参数
audit_name
策略名称，把特征码设定为策略的一部分
action
检测到触发后，采取的动作
alarm
向系统日志发送报警消息
drop
在响应接口上丢弃违反规则的数据包
reset
向攻击者的IP地址和数据包中的目的地址发送一个TCP，连
接复位信号
策略与之建立关联的端口名称
if_name
下面通过一个简单的IDS配置，来
进一步说明它的使用方法。
pixfirewall(config)# ip audit name
outbound-attack attack action alart drop

注：配置一个名为outbound-attack的基
于攻击类特征码的入侵检测，当发现攻
击时采取报警和对其该数据包在响应接
口上丢弃的动作。
pixfirewall(config)# ip audit interface
outside outbound-attack
注：将该策略与outside端口建立关联。
pixfirewall(config)# ip audit signature 2150
disable
注：一般不用该类型的配置，除非网络中
有特殊要求；禁用特征码为2150（分段
ICMP流攻击）。
在网络安全防护实施过程中，一般
不要将所有的防护功能都集中在PIX上。
这样不仅降低单点故障所带来的风
险，而且有利于提高PIX的工作效率。
当PIX防火墙与Cisco IDS探测器相结合
时，PIX防火墙的动态阻挡功能使防火墙能
对发起攻击的主机进行动态响应（shun），
如组织建立新的连接、不允许原有的连接传
递数据包等。
通过使用shun命令（见表7.18），
不管含有特定主机地址的连接当前是否
活动，都能阻止其发挥作用。其命令配
置语法如下：
shun source_address [destination_address
source_port destination_port [protocol] ]
表7.18 shun命令说明
shun命令参数
source_address
destination_address
source_port
destination_port
protocol
解释
攻击者IP地址
被攻击者IP地址
触发shun功能的连接源端口号
触发shun功能的连接目的端口号
可选的IP协议，如TCP、UDP等
在图7.25中可以看到一个经典的Cisco
安全网络设备拓扑，当攻击者试图通过
DNS端口攻击内网一台服务器（全局地址
为10.0.1.2，本地地址为192.168.1.32）时，
shun命令将PIX防火墙、路由器、IDS有机
地结合在一起。
pixfirewall(config)# shun 172.1.24.32
10.0.1.2 3450 53
图7.25 Cisco安全网络设备拓扑
实训9 ISA的构建与配置
【实训目的】
 了解ISA Server 2006的基本功能与工作
原理。
 掌握ISA Server 2006的安装与基本界面
的使用。
能够利用ISA server 2006作Web网站的
发布。
 能够利用ISA Server 2006根据需要制定
访问规则。

【实训设备】
 建议在一台全新的、磁盘格式为NTFS格
式的操作系统上安装。
 确认在该Server上没有其他的代理软件
运行，否则会造成无法预计的错误。
安装Cache Mode，需要一块网卡；安装
Firewall Mode，Integrated Mode，则需
要双网卡，用来连接内网和外网。
 安装Windows 2003 Server后，请安装
SPL。


若需要安装Enterprise Server，请配置AD
（在安装SPL之后配置AD，根据提示操
作即可）。
【实训步骤】
1．ISA Server 2006的安装
① 放入光盘，开始安装ISA Server 2006，
如图7.26所示。
图7.26 ISA安装界面
② 选中“我接受许可协议中的条款”单
选项，如图7.27所示，单击“下一步”按
钮。
图7.27 ISA安装许可协议
③ 根据需要选择需要安装的组件，如图7.28所
示。
④ 指定内部网络的IP地址范围为“192.168.1.0
—192.168.1.255”，如图7.29所示。
图7.28 ISA 安装向导功能选择
图7.29 ISA 安装向导内网地址设置
⑤ 安装程序会提示安装过程中将进行的
操作，如图7.30所示。
⑥ 安装顺利完成，如图7.31所示。
图7.30 ISA 安装向导提示
图7.31 ISA安装向导安装完成
2．ISA Server 2006的基本配置
① 进入ISA Server 2006的主界面，如图
7.32所示。
图7.32 ISA主界面
② 在模板选项卡中根据网络拓扑选择当
前的网络模型，这里选择边缘防火墙模
型，如图7.33所示。
③ 进入向导模式，如图7.34所示，单击
“下一步”按钮。
图7.33 ISA网络模型选择
图7.34 ISA网络模板向导
④ 此时提示会覆盖当前的网络规则，如图
7.35所示，然后单击“下一步”按钮。
⑤ 指定内部网络的IP地址范围，如图7.36
所示，然后单击“下一步”按钮。
图7.35 ISA网络模板向导提示
图7.36 ISA网络模板向导地址设置
⑥ 选择防火墙策略，如图7.37所示，然
后单击“下一步”按钮。
⑦ 配置完成，如图7.38所示。
图7.37 ISA网络模板向导策略选择
图7.38 ISA网络模板向导完成
⑧ 在完成更改以后单击“应用”按钮保存
更新配置，如图7.39所示。
⑨ ISA Server 2006根据在向导中的配置生
成了网络拓扑连接视图，如图7.40所示。
图7.39 ISA网络模板向导配置保存
图7.40 ISA网络拓扑连接视图
3．发布位于内网的一个Web站点
① 在防火墙规则中，新建一个网站发布
规则，如图7.41所示。
② 打开Web发布规则向导，定义规则名
称为aaa，如图7.42所示。
图7.41 ISA新建网站发布规则
图7.42 ISA Web发布规则向导
③ 选择防火墙处理方式为“允许（Accept）”，
如图7.43所示，单击“下一步”按钮。
④ 选择要发布网站的类型，选中“发布单个网
站或负载平衡器”单选项，如图7.44所示，单击
“下一步”按钮。
图7.43 ISA Web发布规则向导响应方式选择
图7.44 ISA Web发布规则向导网站类型选择
⑤ 指定服务器连接安全类型，选中“使
用不安全的连接发布的Web服务器或服
务器场”单选项，如图7.45所示，单击
“下一步”按钮。
图7.45 ISA Web发布规则向导连接安全类型选择
⑥ 指定内网Web服务器的IP地址为192.168.1.100，
如图7.46所示。
⑦ 输入将要发布网站的域名www.aaa.com（可以
在内网虚拟），如图7.47所示。
图7.46 ISA Web发布规则向导内部发布详细信息设定
图7.47 ISA Web发布规则向导公共名称细节设定
⑧ 设置侦听器规则，如图7.48所示。
⑨ 设置哪些用户可以访问此网站，这里
选择允许全部，也可以根据需要更改，
如图7.49所示。
⑩ 发布完成。
图7.48 ISA Web发布规则向导Web侦听器选择
图7.49 ISA Web发布规则向导设置用户集
4．制定策略
① 设计一个规则为“限制公司员工在周一
到周五的工作时间下载外网的视频文件”，
新建一个访问规则名称为“aa”，如图7.50
所示。
② 条件匹配时采用的规则处理方式为：拒
绝（Reject），如图7.51所示。
图7.50 ISA策略规则设定
图7.51 ISA策略规则设定操作方式选择
③ 将规则应用到“所有出站通信”中，
如图7.52所示，单击“确定”按钮。
④ 将规则应用于“所有用户”，如图
7.53所示，单击“确定”按钮。
图7.52 ISA策略规则设定应用
图7.53 ISA策略规则应用用户设定
⑤ 设置时间段名称为“abc”，此规则在
“周一到周五”的“8点至18点”生效，如
图7.54所示。
⑥ 设置阻止通信的内容为“视频文件”，
单击“确定”按钮，完成策略的设定，如
图7.55所示。
图7.54 ISA策略规则应用时间设定
图7.55 ISA策略规则应用内容类型选择
【实训报告】
写出每晚10点到次日6点，禁止外部
用户在实训中发布的内部站点上，下载
压缩文件的策略设置步骤。
实训10 PIX防火墙PDM的安装与使用
【实训目的】
 掌握PDM的基本功能和安装要求。
 掌握PIX防火墙的基本配置。
 掌握PDM的安装步骤。
 掌握使用PDM配置PIX防火墙。
【实训环境】
1．客户机
硬件要求：处理器300MHz及以上、
内存256MB及以上、显示分辨率建议使
用1 024像素 × 768像素、显示颜色建议
使用256色。
软件要求：Windows 2000 补丁Service
Pack 1及以上、IE 6.0浏览器支持Java虚拟
机和SSL、安装TFTP软件并运行、下载或
从随机光盘中复制PDM软件到TFTP目录
下。
2．PIX防火墙
硬件型号：506E或515E、闪存最小
为8MB。
软件要求：系统6.0及以上、可以启
动DES的激活KEY、PDF相关软件。

注释：PDM不需要单独的使用许可。由
于PDM只支持加密通信，所以用户需要
拥有一个DES或者3DES使用许可。
如果所用的PDM目前不支持加密，可以通
过填写下面这份表格“http://www.cisco.com/cgibin/Software/FormManager/formgenerator.pl?pi
d = 221&fid = 324”，索取一个免费的DES启用
密码。
【实训拓扑】
基本连接如图7.56所示。
【实训步骤】
① 配置特权登录密码。
pixfirewall>enable
pixfirewall#conf t
pixfirewall(config)# enable password cisco
图7.56 实训拓扑
② 设置PIX时钟。
pixfirewall(config)#clock set hh:mm:ss
{day month} year
③ 指定接口地址及主机名、域名。
pixfirewall(config)# nameif eth1 inside
security 100
pixfirewall(config)# interface eth1 100full
pixfirewall(config)# ip add inside
192.168.1.1 255.255.255.0
pixfirewall(config)# hostname pix1
pixfirewall(config)#domain-name
firewall.com
④ 将PDM加载到PIX。
pixfirewall(config)#copy tftp://
92.168.1.2/pdm-301.bin flash
⑤ 指定运行PDM的主机。
pixfirewall(config)#http 192.168.1.2
255.255.255.0 inside
⑥ PIX启动HTTP服务。
pixfirewall(config)#http server enable
⑦ 在客户端访问PDM控制台。
在IE浏览器中输入http://192.168.1.1，
接着单击“Yes”按钮，输入用户名pix1和
密码csico，单击“OK”按钮进入。
⑧ 利用PDM控制台进行配置。
 通过选择configuration→System
Properties→interface将Eth0端口设为
172.16.1.2/24，100full安全级别为0，名
称为outside。

通过选择configuration→Translation
Rules→Manage Pool，设置内网用户可以访
问外部网络，全局地址池为172.16.1.100 —
172.16.1.200。

执行Translation Rules radio button →
menus→Rules→Add命令，选择inside
接口，定义内网网络号为192.168.1.0。
选择转换地址接口为outside，选中Dynamic。
⑨ 通过Tools→Ping测试连通性。

【实训报告】
1．PDM配置页面的主要构成有哪些？
2．PDM监控界面的主要构成和功能是什
么？
实训11 PIX防火墙的基本配置
【实训目的】
 掌握PIX防火墙的基本配置模式以及常用
命令。
 PIX防火墙IOS的升级与备份。
 了解PIX 515密码口令恢复。
 熟悉PIX的6个基本配置命令。
【实训环境】
 思科PIX防火墙一台。
 路由器一台。
 直连线两根、交叉线一根、Console线一
根。
 PC两台。
【实训拓扑】
基本连接如图7.57所示。
图7.57 实训拓扑
【实训要求】
 路由器F0/0地址：192.168.1.1/24 100full。
 防火墙ETH0地址：192.168.1.2/24 100full，
安全级别为0，名称为outside；ETH1地址：
172.16.1.1/16 100full，安全级别为100，名
称为inside；ETH2地址：192.168.2.1/24
100full，安全级别为50，名称为DMZ（对
于PIX506设备不用配置该接口）。
PC1地址为172.16.1.2/16，PC2地址为
192.168.2.2/24。
 要求内网用户可以访问外网和DMZ区域，
全局地址为192.168.1.100—192.168.1.200。

【实训配置】
1．配置路由器
router>en
router#conf t
router(config)#int f0/0
router(config-if)#ip add 192.168.1.1
255.255.255.0
router(config-if)#no shutdown
2．配置PIX防火墙
pixfirewall>enable
pixfirewall#conf t
pixfirewall(config)# enable password cisco
pixfirewall(config)# nameif eth1 inside
security 100
pixfirewall(config)# nameif eh0 outside
security 0
pixfirewall(config)# nameif eth2 dmz
security
pixfirewall(config)# interface eth0 100full
pixfirewall(config)# interface eth1 100full
pixfirewall(config)# interface eth2 100full
pixfirewall(config)# ip add outside
192.168.1.2 255.255.255.0
pixfirewall(config)# ip add inside 172.16.1.1
255.255.0.0
pixfirewall(config)# ip add dmz 192.168.2.1
255.255.255.0
pixfirewall(config)# nat (inside) 1 0.0.0.0
0.0.0.0
pixfirewall(config)# global (outside) 1
192.168.1.100-192.168.1.200 netmask
255.255.255.0
pixfirewall(config)# route outside 0.0.0.0
0.0.0.0 192.168.1.1
pixfirewall(config)# access-list cheshi
permit icmp any any
pixfirewall(config)# access-group cheshi
interface outside
3．备份PIX的IOS
① 使用pixfirewall#sh vesion记录IOS的文件
名。
② 在PC1中设置IP地址，安装TFTP并运行，
通过Ping命令测试与ETH1的连接性。
③ 使用pixfirewall#copy flash tftp依次输入接
口TFTP的IP地址、文件名。
4．口令恢复
① 使用pixfirewall#sh vesion记录IOS的文件
名。
② 通过网站：
www.cisco.com/warp/public/110/34.shtml将
npxx.bin文件复制到tftp主机目录下。
③ 重启PIX，按Break进入监控模式。
monitor>interface 1
monitor>ip add 172.16.1.1 255.255.0.0
monitor>server 172.16.1.2
monitor>file name npxx.bin
monitor>tftp
do you wish to erase the password?[yn]y
5．测试并查看PIX信息
① 在PC1中通过Ping命令测试与192.168.1.1、
192.168.1.2、192.168.2.1的连通性。
② 在路由器中通过Ping命令测试与192.168.1.2、
172.16.1.1的连通性。
③ 在PIX特权模式下使用下列命令，并记录控
制台输出内容。
pixfirewall#PING 192.168.1.1、172.16.1.2、
192.168.2.2
pixfirewall#sh interface eth1
pixfirewall#sh xlate
【实训报告】
1．记录步骤5中的测试结果并分析原因。
2．记录并翻译sh interface eth1和sh xlate
的结果。
3．写出只允许内网172.168.2.0/24访问外
网的NAT配置命令。
实训12 PIX防火墙的NAT配置
【实训目的】
 掌握NAT的工作原理。
 掌握动态NAT的配置过程。
 掌握静态NAT的配置过程。
 熟悉PAT的基本配置命令。
 掌握管道和访问列表的使用。
【实训环境】
 思科PIX防火墙一台。
 Web服务器两台、直连线两根、Console
线一根。
 PC一台。
【实训拓扑】
基本连接如图7.58所示。
【实训要求】
① Sever1地址：12.1.1.222/24，启动IIS
服务；Sever2地址：172.16.1.2/16，启用
IIS服务；PC地址：172.16.1.3/16。
② 防火墙ETH0地址：12.1.1.1/24 100full，
安全级别为0，名称为outside；ETH1地址：
172.16.1.1/16 100full，安全级别为100，名
称为inside。
③ 要求内网用户可以访问外网和DMZ区域，
全局地址为192.168.1.100 —192.168.1.200。
④ 动态地址池为12.1.1.2—12.1.1.10，静态
NAT使用的地址为12.1.1.100，PAT使用的
地址为12.1.1.12。允许Server1通过ICMP和
FTP访问Server2。
图7.58 实训拓扑
【实训配置】
（1）配置PIX防火墙及动态NAT
pixfirewall>enable
pixfirewall#conf t
pixfirewall(config)# enable password cisco
pixfirewall(config)# nameif eth1 inside
security 100
pixfirewall(config)# nameif eh0 outside
security 0
pixfirewall(config)# interface eth0 100full
pixfirewall(config)# interface eth1 100full
pixfirewall(config)# ip add outside 12.1.1.1
255.255.255.0
pixfirewall(config)# ip add inside 172.16.1.1
255.255.0.0
pixfirewall(config)# nat (inside) 1 0.0.0.0
0.0.0.0
pixfirewall(config)# global (outside) 1
12.1.1.2-12.1.1.10 netmask 255.255.255.0
pixfirewall(config)# route outside 0.0.0.0
0.0.0.0 12.1.1.1
（2）测试并查看配置
在PC上使用IE浏览器浏览Server2的信息。
 使用下列命令，记录控制台输出内容。

pixfirewall#show config
pixfirewall#sh xlate
pixfirewall#sh conn
（3）配置静态NAT以及PAT
pixfirewall(config)# static (inside,outside)
12.1.1.100 172.16.1.2 100 50
pixfirewall(config)# no global (outside) 1
12.1.1.2-12.1.1.10 netmask 255.255.255.0
pixfirewall(config)# global (outside) 1
12.1.1.100 netmask 255.255.255.255
pixfirewall(config)# conduit permit tcp host
12.1.1.100 eq ftp host 12.1.1.222
pixfirewall(config)# conduit permit icmp
host 12.1.1.100 host 12.1.1.222
pixfirewall(config)# fixup protocol ftp 21
（4）测试及安全攻击
在Server2上使用IE浏览器浏览Server1的
信息。
 将ETH1接上交换机，再接入两台设备修
改PIX配置。

pixfirewall#(config) static (inside,outside)
12.1.1.100 172.16.1.2 2 1
 使用SYN工具进行攻击，通过
pixfirewall#show conn完成。
【实训报告】
1．用访问列表的方式写出允许Server1通
过ICMP和FTP访问Server2的配置。
2．如果Server2为一台组播服务器对外发
布视频数据，PIX该如何配置？