在本期應(yīng)用指南中，管理員可以學(xué)到如何設(shè)置一個(gè)新的PIX防火墻。你將設(shè)置口令、IP地址、網(wǎng)絡(luò)地址解析和基本的防火墻規(guī)則。

　　假如你的老板交給你一個(gè)新的PIX防火墻。這個(gè)防火墻是從來(lái)沒有設(shè)置過(guò)的。他說(shuō)，這個(gè)防火墻需要設(shè)置一些基本的IP地址、安全和一些基本的防火墻規(guī)則。你以前從來(lái)沒有使用過(guò)PIX防火墻。你如何進(jìn)行這種設(shè)置?在閱讀完這篇文章之后，這個(gè)設(shè)置就很容易了。下面，讓我們看看如何進(jìn)行設(shè)置。

　　思科PIX防火墻的基礎(chǔ)

　　思科PIX防火墻可以保護(hù)各種網(wǎng)絡(luò)。有用于小型家庭網(wǎng)絡(luò)的PIX防火墻，也有用于大型園區(qū)或者企業(yè)網(wǎng)絡(luò)的PIX防火墻。在本文的例子中，我們將設(shè)置一種PIX 501型防火墻。PIX 501是用于小型家庭網(wǎng)絡(luò)或者小企業(yè)的防火墻。

　　PIX防火墻有內(nèi)部和外部接口的概念。內(nèi)部接口是內(nèi)部的，通常是專用的網(wǎng)絡(luò)。外部接口是外部的，通常是公共的網(wǎng)絡(luò)。你要設(shè)法保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的影響。

　　PIX防火墻還使用自適應(yīng)性安全算法(ASA)。這種算法為接口分配安全等級(jí)，并且聲稱如果沒有規(guī)則許可，任何通信都不得從低等級(jí)接口(如外部接口)流向高等級(jí)接口(如內(nèi)部接口)。這個(gè)外部接口的安全等級(jí)是“0”，這個(gè)內(nèi)部接口的安全等級(jí)是“100”。

　　下面是顯示“nameif”命令的輸出情況:

　　pixfirewall# show nameif

　　nameif ethernet0 outside security0

　　nameif ethernet1 inside security100

　　pixfirewall#

　　請(qǐng)注意，ethernet0(以太網(wǎng)0)接口是外部接口(它的默認(rèn)名字)，安全等級(jí)是0。另一方面，ethernet1(以太網(wǎng)1)接口是內(nèi)部接口的名字(默認(rèn)的)，安全等級(jí)是100。

　　指南

　　在開始設(shè)置之前，你的老板已經(jīng)給了你一些需要遵守的指南。這些指南是:

　　·所有的口令應(yīng)該設(shè)置為“思科”(實(shí)際上，除了思科之外，你可設(shè)置為任意的口令)。

　　·內(nèi)部網(wǎng)絡(luò)是10.0.0.0，擁有一個(gè)255.0.0.0的子網(wǎng)掩碼。這個(gè)PIX防火墻的內(nèi)部IP地址應(yīng)該是10.1.1.1。

　　·外部網(wǎng)絡(luò)是1.1.1.0，擁有一個(gè)255.0.0.0的子網(wǎng)掩碼。這個(gè)PIX防火墻的外部IP地址應(yīng)該是1.1.1.1。

　　·你要?jiǎng)?chuàng)建一個(gè)規(guī)則允許所有在10.0.0.0網(wǎng)絡(luò)上的客戶做端口地址解析并且連接到外部網(wǎng)絡(luò)。他們將全部共享全球IP地址1.1.1.2。

　　·然而，客戶只能訪問端口80(網(wǎng)絡(luò)瀏覽)。

　　·用于外部(互聯(lián)網(wǎng))網(wǎng)絡(luò)的默認(rèn)路由是1.1.1.254。

　　設(shè)置

　　當(dāng)你第一次啟動(dòng)PIX防火墻的時(shí)候，你應(yīng)該看到一個(gè)這樣的屏幕顯示:

　　你將根據(jù)提示回答“是”或者“否”來(lái)決定是否根據(jù)這個(gè)互動(dòng)提示來(lái)設(shè)置PIX防火墻。對(duì)這個(gè)問題回答“否”，因?yàn)槟阋獙W(xué)習(xí)如何真正地設(shè)置防火墻，而不僅僅是回答一系列問題。

　　然后，你將看到這樣一個(gè)提示符:pixfirewall>

　　在提示符的后面有一個(gè)大于號(hào)“>”，你處在PIX用戶模式。使用en或者enable命令修改權(quán)限模式。在口令提示符下按下“enter”鍵。下面是一個(gè)例子:

　　pixfirewall> en

　　Password:

　　pixfirewall#

　　你現(xiàn)在擁有管理員模式，可以顯示內(nèi)容，但是，你必須進(jìn)入通用設(shè)置模式來(lái)設(shè)置這個(gè)PIX防火墻。

　　現(xiàn)在讓我們學(xué)習(xí)PIX防火墻的基本設(shè)置:

　　PIX防火墻的基本設(shè)置

　　我所說(shuō)的基本設(shè)置包括三樣事情:

　　·設(shè)置主機(jī)名

　　·設(shè)置口令(登錄和啟動(dòng))

　　·設(shè)置接口的IP地址

　　·啟動(dòng)接口

　　·設(shè)置一個(gè)默認(rèn)的路由

　　在你做上述任何事情之前，你需要進(jìn)入通用設(shè)置模式。要進(jìn)入這種模式，你要鍵入:

　　pixfirewall# config t

　　pixfirewall(config)#

　　要設(shè)置主機(jī)名，使用主機(jī)名命令，像這樣:

　　pixfirewall(config)# hostname PIX1

　　PIX1(config)#

　　注意，提示符轉(zhuǎn)變到你設(shè)置的名字。

　　下一步，把登錄口令設(shè)置為“cisco”(思科)，像這樣:

　　PIX1(config)# password cisco

　　PIX1(config)#

　　這是除了管理員之外獲得訪問PIX防火墻權(quán)限所需要的口令。

　　現(xiàn)在，設(shè)置啟動(dòng)模式口令，用于獲得管理員模式訪問。

　　PIX1(config)# enable password cisco

　　PIX1(config)#

　　現(xiàn)在，我們需要設(shè)置接口的IP地址和啟動(dòng)這些接口。同路由器一樣，PIX沒有接口設(shè)置模式的概念。要設(shè)置內(nèi)部接口的IP地址，使用如下命令:

　　PIX1(config)# ip address inside 10.1.1.1 255.0.0.0

　　PIX1(config)#

　　現(xiàn)在，設(shè)置外部接口的IP地址:

　　PIX1(config)# ip address outside 1.1.1.1 255.255.255.0

　　PIX1(config)#

　　下一步，啟動(dòng)內(nèi)部和外部接口。確認(rèn)每一個(gè)接口的以太網(wǎng)電纜線連接到一臺(tái)交換機(jī)。注意，ethernet0接口是外部接口，它在PIX 501防火墻中只是一個(gè)10base-T接口。ethernet1接口是內(nèi)部接口，是一個(gè)100Base-T接口。下面是啟動(dòng)這些接口的方法:

　　PIX1(config)# interface ethernet0 10baset

　　PIX1(config)# interface ethernet1 100full

　　PIX1(config)#

　　注意，你可以使用一個(gè)顯示接口的命令，就在通用設(shè)置提示符命令行使用這個(gè)命令。

　　最后，讓我們?cè)O(shè)置一個(gè)默認(rèn)的路由，這樣，發(fā)送到PIX防火墻的所有的通訊都會(huì)流向下一個(gè)上行路由器(我們被分配的IP地址是1.1.1.254)。你可以這樣做:

　　PIX1(config)# route outside 0 0 1.1.1.254

　　PIX1(config)#

　　當(dāng)然，PIX防火墻也支持動(dòng)態(tài)路由協(xié)議(如RIP和OSPF協(xié)議)。

　　現(xiàn)在，我們接著介紹一些更高級(jí)的設(shè)置。

　　網(wǎng)絡(luò)地址解析

　　由于我們有IP地址連接，我們需要使用網(wǎng)絡(luò)地址解析讓內(nèi)部用戶連接到外部網(wǎng)絡(luò)。我們將使用一種稱作“PAT”或者“NAT Overload”的網(wǎng)絡(luò)地址解析。這樣，所有內(nèi)部設(shè)備都可以共享一個(gè)公共的IP地址(PIX防火墻的外部IP地址)。要做到這一點(diǎn)，請(qǐng)輸入這些命令:

　　PIX1(config)# nat (inside) 1 10.0.0.0 255.0.0.0

　　PIX1(config)# global (outside) 1 1.1.1.2

　　Global 1.1.1.2 will be Port Address Translated

　　PIX1(config)#

　　使用這些命令之后，全部?jī)?nèi)部客戶機(jī)都可以連接到公共網(wǎng)絡(luò)的設(shè)備和共享IP地址1.1.1.2。然而，客戶機(jī)到目前為止還沒有任何規(guī)則允許他們這樣做。

　　防火墻規(guī)則

　　這些在內(nèi)部網(wǎng)絡(luò)的客戶機(jī)有一個(gè)網(wǎng)絡(luò)地址解析。但是，這并不意味著允許他們?cè)L問。他們現(xiàn)在需要一個(gè)允許他們?cè)L問外部網(wǎng)絡(luò)(互連網(wǎng))的規(guī)則。這個(gè)規(guī)則還將允許返回的通信。

　　要制定一個(gè)允許這些客戶機(jī)訪問端口80的規(guī)則，你可以輸入如下命令:

　　PIX1(config)# access-list outbound permit tcp 10.0.0.0 255.0.0.0 any eq 80

　　PIX1(config)# access-group outbound in interface inside

　　PIX1(config)#

　　注意:與路由器訪問列表不同，PIX訪問列表使用一種正常的子網(wǎng)掩碼，而不是一種通配符的子網(wǎng)掩碼。

　　使用這個(gè)訪問列表，你就限制了內(nèi)部主機(jī)訪問僅在外部網(wǎng)絡(luò)的Web服務(wù)器(路由器)。

　　顯示和存儲(chǔ)設(shè)置結(jié)果

　　現(xiàn)在你已經(jīng)完成了PIX防火墻的設(shè)置。你可以使用顯示命令顯示你的設(shè)置。

　　確認(rèn)你使用寫入內(nèi)存或者“wr m”命令存儲(chǔ)你的設(shè)置。如果你沒有使用這個(gè)命令，當(dāng)關(guān)閉PIX防火墻電源的時(shí)候，你的設(shè)置就會(huì)丟失。