防火牆配置命令是怎麼樣的

  防火牆也是要配置的,那麼防火牆的配置命令是怎麼樣的呢?下面由小編給你做出詳細的防火牆配置命令介紹介紹!希望對你有幫助!

  防火牆配置命令介紹一:

  Cisco PIX防火牆配置命令如下:

  PIX基本配置命令:

  常用命令有:nameif、interface、ipaddress、nat、global、route、static等。

  防火牆的配置規則:

  沒有連線的狀態***沒有握手或握手不成功或非法的資料包***,任何資料包無法穿過防火牆。

  ***內部發起的連線可以回包。通過ACL開放的伺服器允許外部發起連線***

  inside可以訪問任何outside和dmz區域。

  dmz可以訪問outside區域。

  inside訪問dmz需要配合static***靜態地址轉換***。

  outside訪問dmz需要配合acl***訪問控制列表***。

  PIX防火牆的配置模式:

  PIX防火牆的配置模式與路由器類似,有4種管理模式:

  PIXfirewall>:使用者模式

  PIXfirewall#:特權模式

  PIXfirewall***config***#:配置模式

  monitor>:ROM監視模式,開機按住[Esc]鍵或傳送一個“Break”字元,進入監視模式。

  防火牆配置命令介紹二:

  1.將防火牆的Console埠用一條防火牆自帶的序列電纜連線到膝上型電腦的一個空餘串列埠上,參見圖1。

  2.開啟PIX防火電源,讓系統加電初始化,然後開啟與防火牆連線的主機。

  3.執行膝上型電腦Windows系統中的超級終端***HyperTerminal***程式***通常在"附件"程式組中***。對超級終端的配置與交換機或路由器的配置一樣,參見本教程前面有關介紹。

  4.當PIX防火牆進入系統後即顯示"pixfirewall>"的提示符,這就證明防火牆已啟動成功,所進入的是防火牆使用者模式。可以進行進一步的配置了。

  5.輸入命令:enable,進入特權使用者模式,此時系統提示為:pixfirewall#。

  6.輸入命令: configure terminal,進入全域性配置模式,對系統進行初始化設定。

  ***1***.首先配置防火牆的網絡卡引數***以只有1個LAN和1個WAN介面的防火牆配置為例***

  Interface ethernet0 auto  # 0號網絡卡系統自動分配為WAN網絡卡,"auto"選項為系統自適應網絡卡型別

  Interface ethernet1 auto

  ***2***.配置防火牆內、外部網絡卡的IP地址

  IP address inside ip_address netmask # Inside代表內部網絡卡

  IP address outside ip_address netmask # outside代表外部網絡卡

  ***3***.指定外部網絡卡的IP地址範圍:

  global 1 ip_address-ip_address

  ***4***.指定要進行轉換的內部地址

  nat 1 ip_address netmask

  ***5***.配置某些控制選項:

  conduit global_ip port[-port] protocol foreign_ip [netmask]

  其中,global_ip:指的是要控制的地址;port:指的是所作用的埠,0代表所有埠;protocol:指的是連線協議,比如:TCP、UDP等;foreign_ip:表示可訪問的global_ip外部IP地址;netmask:為可選項,代表要控制的子網掩碼。

  7.配置儲存:wr mem

  8.退出當前模式

  此命令為exit,可以任何使用者模式下執行,執行的方法也相當簡單,只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了使用者從配置模式退到特權模式,再退到普通模式下的操作步驟。

  pixfirewall***config***# exit

  pixfirewall# exit

  pixfirewall>

  9.檢視當前使用者模式下的所有可用命令:show,在相應使用者模式下鍵入這個命令後,即顯示出當前所有可用的命令及簡單功能描述。

  10.檢視埠狀態:show interface,這個命令需在特權使用者模式下執行,執行後即顯示出防火牆所有介面配置情況。

  11.檢視靜態地址對映:show static,這個命令也須在特權使用者模式下執行,執行後顯示防火牆的當前靜態地址對映情況。

  三、Cisco PIX防火牆的基本配置

  1.同樣是用一條序列電纜從電腦的COM口連到Cisco PIX 525防火牆的console口;

  2.開啟所連電腦和防火牆的電源,進入Windows系統自帶的"超級終端",通訊引數可按系統默然。進入防火牆初始化配置,在其中主要設定有:Date***日期***、time***時間***、hostname***主機名稱***、inside ip address***內部網絡卡IP地址***、domain***主域***等,完成後也就建立了一個初始化設定了。此時的提示符為:pix255>。

  3.輸入enable命令,進入Pix 525特權使用者模式,默然密碼為空。

  如果要修改此特權使用者模式密碼,則可用enable password命令,命令格式為:enable password password [encrypted],這個密碼必須大於16位。Encrypted選項是確定所加密碼是否需要加密。

  4、 定義以太埠:先必須用enable命令進入特權使用者模式,然後輸入configure terminal***可簡稱為config t***,進入全域性配置模式模式。具體配置

  pix525>enable

  Password:

  pix525#config t

  pix525 ***config***#interface ethernet0 auto

  pix525 ***config***#interface ethernet1 auto

  在默然情況下ethernet0是屬外部網絡卡outside, ethernet1是屬內部網絡卡inside, inside在初始化配置成功的情況下已經被啟用生效了,但是outside必須命令配置啟用。

  5.clock

  配置時鐘,這也非常重要,這主要是為防火牆的日誌記錄而資金積累的,如果日誌記錄時間和日期都不準確,也就無法正確分析記錄中的資訊。這須在全域性配置模式下進行。

  時鐘設定命令格式有兩種,主要是日期格式不同,分別為:

  clock set month day month year和clock set day month year

  前一種格式為:小時:分鐘:秒 月 日 年;而後一種格式為:小時:分鐘:秒 日 月 年,主要在日、月份的前後順序不同。在時間上如果為0,可以為一位,如:21:0:0。

  6.指定介面的安全級別

  指定介面安全級別的命令為nameif,分別為內、外部網路介面指定一個適當的安全級別。在此要注意,防火牆是用來保護內部網路的,外部網路是通過外部介面對內部網路構成威脅的,所以要從根本上保障內部網路的安全,需要對外部網路介面指定較高的安全級別,而內部網路介面的安全級別稍低,這主要是因為內部網路通訊頻繁、可信度高。在Cisco PIX系列防火牆中,安全級別的定義是由security******這個引數決定的,數字越小安全級別越高,所以security0是最高的,隨後通常是以10的倍數遞增,安全級別也相應降低

  7.配置乙太網介面IP地址

  所用命令為:ip address,如要配置防火牆上的內部網介面IP地址為:192.168.1.0 255.255.255.0;外部網介面IP地址為:220.154.20.0 255.255.255.0。

  配置方法如下:

  pix525***config***#ip address inside 192.168.1.0 255.255.255.0

  pix525***config***#ip address outside 220.154.20.0 255.255.255.0

  8.access-group

  這個命令是把訪問控制列表繫結在特定的介面上。須在配置模式下進行配置。命令格式為:access-group acl_ID in interface interface_name,其中的"acl_ID"是指訪問控制列表名稱,interface_name為網路介面名稱。

  9.配置訪問列表

  所用配置命令為:access-list,合格格式比較複雜,如下:

  標準規則的建立命令:access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

  擴充套件規則的建立命令:access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

  它是防火牆的主要配置部分,上述格式中帶"[]"部分是可選項,listnumber引數是規則號,標準規則號***listnumber1***是1~99之間的整數,而擴充套件規則號***listnumber2***是100~199之間的整數。它主要是通過訪問許可權"permit"和"deny"來指定的,網路協議一般有IP|TCP|UDP|ICMP等等。如只允許訪問通過防火牆對主機:220.154.20.254進行www訪問,則可按以下配置:

  pix525***config***#access-list 100 permit 220.154.20.254 eq www

  其中的100表示訪問規則號,根據當前已配置的規則條數來確定,不能與原來規則的重複,也必須是正整數。