欢迎来到天天文库
浏览记录
ID:50174603
大小:1.04 MB
页数:23页
时间:2020-03-06
《pix防火墙配置实验.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、pix防火墙配置实验pixPix实验大纲基本设置1inside到outside的访问2Nat与static的实验3telnet和ssh到PIX防火墙6保存基本配置到tftp服务器5ICMP控制4实验一:基本设置环境说明:PIX525防火墙采用7.21版本IOS.PC:主机VPC:虚拟机接口、ip设置如图所示.PC(In)FirewallVPC(out)10.1.1.101E010.1.1.1E120.1.1.1Dns/Web/Ftp20.1.1.101配置pix接口、ip地址EnableconfigureterminalHostnamepixinterfaceethern
2、et0Nameifinsidesecurity-level100speedautodupleautoipaddress10.1.1.1255.255.255.0noshutdownExitinterfaceethernet1Nameifinsidesecurity-level0speedautodupleautoipaddress20.1.1.1255.255.255.0noshutdownExit测试Ping10.1.1.101测试到LAN接口的连通性。Ping10.1.1.101测试到WAN接口的连通性。PIX(config)#showrunning-config查看
3、内存中的配置文件PIX(config)#showmemory查看内存使用PIX(config)#showversion查看设备、授权、版本等等PIX(config)#showipaddress查看接口ip地址PIX(config)#showinterface查看接口信息PIX(config)#showlogging查看日志PIX(config)#showclock查看设备时钟PIX(config)#showconn查看当前处于活跃的连接PIX(config)#writeerase清除闪存中配置文件试验二、inside到outside的访问需求:从内部的10.1.1.0要t
4、elnet到外部的20.1.1.101主机。如果PIX不做设置,则从LAN到WAN的流量是无法出去的。步骤:PIX的基本配置(配ip,配接口级别,配route)NAT转换(由inside到outside)测试PC(In)FirewallVPC(out)10.1.1.101E010.1.1.1E120.1.1.1Dns/Web/Ftp20.1.1.101inside到outside的访问使用outside接口ip实现端口地址转换说明:由inside发出的数据包,标签nat1,到外部时源地址会被outside接口地址替换。由内向外的ping包,源地址也会被替换,但ping包默
5、认可出,但返回时被outside接口阻挡。此实验如果扩展开来,pix还得配置到外部的路由。PIX(config)#nat(inside)100PIX(config)#global(outside)1interfaceoutsideinterfaceaddressaddedtoPATpool内部流量过滤,允许内部任何流量(注:ICMP包可出但不可回)inside到outside特定流量控制只允许内部pc的10.1.1.0/24网络流量使用地址池或PATpix防火墙对于内部到外部的流量默认不能做ping,做其它服务必须使用NAT功能,对到未知网络还需配置路由。而且pix防火墙
6、可以通过由内部向外发出的返回数据包,而且默认拒绝由外部向内部发出的主动连接数据包。PIX(config)#nonat(inside)100PIX(config)#noglobal(outside)1interfacePIX(config)#nat(inside)110.1.1.0255.255.255.0PIX(config)#global(outside)120.1.1.21-20.1.1.25netmask255.255.255.0使用ACL限制inside到outside流量只允许到20.1.1.101的telnethttp流量通过。即允许做NAT但据绝流量通过。
7、比较下一方案:PIX(config)#access-listnatpermittcpanyhost20.1.1.101eq23PIX(config)#access-listnatpermittcpanyhost20.1.1.101eq80PIX(config)#access-listnatdenyipanyanyPIX(config)#access-groupnatininterfaceinsidePIX(config)#access-listnat1permittcpanyhost20.1.1.102eq23PIX(conf
此文档下载收益归作者所有