PIX入门教程
==============
一、CLI
PIX防火墙支持基于Cisco IOS的命令集,并提供了4种管理访问模式:
●非特权模式(用户模式);
●特权模式;
●配置模式;
●监控模式。
在每种模式下,可以把命令缩写成最少但唯一的字符串。如,可以输入write t来查看配置信息,输入co t代替configure terminal,进入配置模式。
在PIX防火墙命令行中可以获得帮助信息,输入help或?能够列出所有的命令。如果在一个命令后面输入?,会列出这个命令的说明和语法。如果在一个命令的前面输入help,会列出这个命令的语法和说明。另外,在命令行中可以只输入命令本身,然后回车,可以查看这个命令的语法。
和Cisco IOS路由器相比,在PIX防火墙CLI环境的配置模式下可以执行所有的功能,不必从配置模式退出来,就可以列出正在运行的和当前保存的配置,可以使用所有的show
和debug命令。
1、基本命令
通过enable命令进入特权模式。命令enable语法是:
enable [priv_level]
enable password pw [level priv_level] [encrypted]
★priv_level-特权级别,从0到15;
★pw-大小写敏感的密码,长度为3到16个数字或字母;
★encrypted-指明输入的密码为加密后的值。(即使密码是空的,也会被转换成加密字符串)
命令enable password可以设置特权模式下的密码。创建密码后,无法再看到这个密码,命令show enable password命令列出密码的加密形式。经过加密的密码,不能回复成明文。
使用configure terminal从特权模式变为配置模式。使用exit或者quit退出。
命令hostname可以改变提示符中的主机名。缺省的主机名是pixfirewall。
二、配置PIX防火墙
在配置模式下输入setup,进入配置对话框模式。设置对话框的目的是对PIX防火墙进行预先配置,以便能够和PIX设备管理器(PDM)进行通信。PDM是一个GUI工具,用来配置和监控PIX防火墙。
除了个别命令不能支持(都是很少使用的命令),PDM提供了一个友好的界面,足够用来配置和管理单个PIX防火墙。
1、查看与保存配置
命令show running-config可以把PIX防火墙RAM中当前配置显示在终端上,也可以使用write terminal来显示当前配置。
命令write memory把当前正在运行的配置保存到闪存中,当配置写到闪存中后,可以通过命令show startup-config或show configure来查看。
show history可以显示出以前输入的命令。
2、命令write erase与tftp-server
命令write erase可以清除闪存中的配置。
命令tftp-server用来指定TFTP服务器的IP地址,可以使用该服务器把PIX防火墙的配置发布到PIX防火墙。使用tftp-server和configure net可以从配置中读信息,命令write net可以把配置信息保存到指定的文件中。
命令configure net和write net的IP地址后面跟的是命令tftp-server中的路径名。
命令tftp-server中指定文件或路径名越详细,命令configure net和write net需要指定的内容就越少。如果tftp-server命令中指定了完整的路径名和文件名,configure net和write net命令中的IP地址可以用冒号(:)来代替。
命令no tftp-server禁止访问服务器,而命令clear tftp-server把tftp-server命令从配置文件中删除。命令show tftp-server列出当前配置文件中tftp-server命令语句。命令tftp-server语法如下:
tftp-server [if-name] ip_address path
★if-name-TFTP服务器驻留的接口名称。如果没有指定,缺省使用内部接口。如果指定了外部接口,一个警告信息会提示外部接口不安全;
★ip_address-TFTP服务器的IP地址或网络;
★path-配置文件的路径和文件名。路径的格式和服务器操作系统上使用的格式不同。路径信息直接送到服务器,不会进行理解或检查。TFTP服务器上必须有配置文件。许多TFTP服务器要求配置文件是全球-可写(world-writable)和全球-可读(world-readable)
PIX防火墙只支持一台TFTP服务器。
如果删除了配置文件,要想让PIX防火墙从TFTP服务器上读一个新的配置文件,必须重新启动和TFTP服务器相连的PIX防火墙的接口,并给它设置IP地址。
3、命令write net与configure net
命令write net可以把当前的配置保存到TFTP服务器或网络其他地方的一个文件上。命令configure net把当前运行的配置文件和存放在指定IP地址上的TFTP配置进行合并,从指定名称的文件中读取配置信息。如果在tftp-server命令中,同时指明了IP地址和配置文件的完整路径,configure net和write net命令中server_ip和文件名可以忽略,或者用冒号(:)代替。
如果TFTP服务器上已有一个PIX防火墙,当在这个服务器上用相同的名字保存一个更小的配置时,有些TFTP服务器把一些旧的配置信息保留着,放在第一个“end”标志后面。这样并不影响PIX防火墙,因为configure net命令在读到第一个“end”标志时,就不再继续读了。不过,如果查看配置文件时,看到配置文件结尾的后面还有多余的文本,可能会有点困惑。如果你使用的是运行在Windows NT上的Cisco TFTP服务器版本,就不存在这个问题。
下面例子中指定TFTP服务器地址为10.0.0.11,到文件test_config的路径是pixfirewall/config。因为没有指定TFTP服务器驻留的接口,默认使用内部接口。命令configure net告诉PIX读取名为test_config的文件,并把它和当前运行的配置文件进行合并。命令write net告诉PIX防火墙把合并后的配置生成test_config文件(在这种情况下,文件会被覆盖)。
pixfirewall(config)#tftp-server 10.0.0.11 pixfirewall/config/test_config
pixfirewall(config)#configure net :
pixfirewall(config)#write net :
为了更容易查看保存的配置文件,给配置文件七名的时候可以用.rtf作为扩展名。缺省的情况下,可以使用微软的word或wordpad软件打开。
命令write net和configure net的语法如下:
write net [server_ip]:[filename]
configure net [server_ip]:[filename]
★server_ip-网络上可用的TFTP主机的IP地址。如果使用tftp-server命令指定了一台服务器,在命令write中就不用再指定,可以只使用冒号(:),不用再输入IP地址;
★filename-用来指明配置文件位置的文件名,该文件位于前面用server_ip指定的TFTP服务器上。如果用tftp-server命令设定了文件名,在write命令中就不要再指定了,可以只使用冒号(:),不写文件名。
4、命令name
使用命令name可以在PIX防火墙上配置一个名字到IP地址的对应列表。这样,在配置的过程中就可以使用名字来代替IP地址。语法如下:
name ip_address name
★ip_address-被命令的IP地址;
★name-分配一个名字的IP地址。
命令names用来启动命令name的使用,即在使用命令name之前,必须先使用命令names。命令clear names从PIX防火墙的配置中删除名字列表。命令no names禁止使用文本格式的名字,但不会从配置中删除这些名字。命令show names可以列出配置中name命令语句。
在命令的前面加上no可以删除或禁用大部分命令,另外一个删除配置命令的方式是clear命令。clear命令通常会删除所有以相同命令开头的命令。
5、命令reload
命令reload可以让PIX防火墙重新启动,并从闪存中重新加载配置信息。重新加载以后,原来做的配置修改,如果没有保存到闪存中,都会丢失。在进行重启之前,应使用write memory把当前的配置保存到闪存中。
选项noconfirm可以让PIX防火墙重新加载,而不需要用户确认。PIX不支持关键字noconfirm的缩写形式。
三、检查PIX防火墙的状态
1、命令show memory
命令show memory可以显示最大物理内存的总和,显示PIX防火墙操作系统当前可用的空闲内存。
2、show version
命令show version用来显示PIX防火墙的软件版本,自从上次重启以后的运行时间、处理器类型、闪存类型、接口板、序列号(BIOS标识符)、激活密钥值。
PIX防火墙软件版本5.3或更高的版本中,show version命令列出的序列号是针对闪存BIOS的,和主板上的序列号是完全不同的。要对软件进行更新,需要show version命令列出的序列号,而不是主板上的号码。
3、命令show ip address
命令show ip address用来查看每个网络接口上分配的IP地址。当前的IP地址和故障倒换活动防火墙的系统IP地址相同。当活动防火墙出现故障以后,当前的IP地址变成备用防火墙上的地址。
4、命令show interface
命令show interface可以查看网络接口信息,用于确定类似于双工不匹配这类物理连接问题。在建立连接关系时,这个命令是你首先应该使用的几个命令之一。
5、命令show cpu usage
命令show cpu usage显示CPU的使用情况。如果对于时间间隔来说,利用率是不可知的,显示为NA(not available)。当用户在5秒钟,1分钟和5分钟间隔之前询问CPU的利用率,会发生这种情况。
6、命令ping
命令ping确定PIX是否已经连接好,或者网络上某台主机是否可达。命令输出显示是否收到了响应。如果收到了响应,标明主机在网络上,如果没有,命令输出显示“No response received”(这种情况下,应该使用show interface命令来确认PIX防火墙已经连接到网络,并且正在放松数据)。缺省情况下,ping命令尝试三次到达目的地址。
如果想让内部的主机能够ping外部的主机,必须创建一个针对echo-reply的ICMP审计或访问列表。如果正在ping的主机或路由器之间经过了PIX防火墙,并且ping不成功,可以使用debug icmp trace来观察ping的故障所在。
当PIX防火墙配置好,运行以后,就不能从外部网络或从外部接口ping通PIX防火墙的内部接口了。如果能从内部接口ping通内部网络,并且能从外部接口ping通外部网络,PIX防火墙就工作正常,路由是正确的。
ping命令的语法是:
ping [if_name] host
★if_name-网络接口名字。特定接口的地址用作ping命令的源地址。
★host-被ping的主机名或IP地址。
四、时间设置和NTP支持
命令clock可以设置PIX防火墙的时钟,指定时间、月份、日期和年。当防火墙关机时,主板上的电池可以继续维持内存中的时钟设置。PIX防火墙能够为系统事件产生日志消息,并且把这些消息记录到系统日志服务器上。如果想让系统日志包含时间戳信息,需
要输入命令logging timestamp。这条命令要求已经使用了命令clock set。以保证系统日志消息时间的正确性。
如果使用公共密钥基础设施(PKI),也需要保证时钟的正确性,PKI使用数字证书对虚拟专用网(VPN)对等体进行认证。Cisco PKI协议使用时钟来确认证书撤回(revocation)列表(CRL)没有过期。否则,证书机构(CA)可能会根据不正确的时间戳来确定拒绝还是允许证书。证书和CRL的有效期在UTC中进行校验。如果在IPSec VPN中使用了证书,应把PIX防火墙的时钟设成UTC时区,以保证CRL校验工作正常。
使用命令show clock可以查看时间,显示出时间、时区、星期和完整的日期。使用命令clear clock可以删除clock set命令。
命令clock set的语法为:
clock set hh:mm:ss month day year
1、设置节约白天时间和时区
PIX防火墙不能自动调整成节约白天时间(daylight saving time)的方式,但可以使用命令clock summer-time把它配置成显示节约白天时间。关键字summer-time会让PIX防火墙自动切换到夏令时(仅仅是为了显示)。关键字recurring标识夏令时应该在它后面所跟的值指定的时间开始和结束。如果没有指定值,夏令时默认按照美国的规则执行。
可以使用clock summer-time命令的date版本设定具体的日期和时间。如,下面的例子中,节约白天时间(夏令时)配置成2002年4月7日,凌晨2点开始,2002年10
月7日凌晨2点结束。
pixfirewall(config)#clock summer-time PDT date 7 April 2002 2:00 27 October 2002 2:00
使用命令clock timezone来设置时区,这个命令设置的时区仅仅是为了显示的目的,在内部,时间仍然保持与UTC一致。命令clear clock可以删除夏令时的设置,并把时区设为UTC。
clock命令的语法为:
clock summer-time zone recurring [week weekday month hh:mm week weekday month hh:mm] [offset]
clock summer-time zone date {day month|month day} year hh:mm {day month|month day} year hh:mm [offset]
clock timezone zone hours [minutes]
show clock [detail]
★summer-time-命令clock summer-time在指定的夏令时日期范围内显示夏令时。这个命令只会时钟的显示时间;
★zone-时区的名字;
★recurring-指定本地夏季实行“节约白天”时间的起始和终止日期。第一个日期是起始日期,第二个日期是终止日期;
★week-指定是这个月中的第几周。输入1、2、3或4指定这个月的第1、2、3、4周。使用first或last在一个月的开头或末尾不完整的一周。例如,可以使用last指定某个月的第5周。
★weekday-指定一周中的某一天。可输入Monday,Tuesday,Wednesday,Thursday,Friday,Saturday或Sunday。
★month-指定月份。输入一个月份中的前三个字符(例如,apr标识April)
★hh:mm-以24小时方式标识的小时和分钟。0可以作为一个单独的数字输入(例如:21:0)
★offset-夏令时要增加的分钟数。缺省是60分钟。
★date-作为clock summer-time命令循环格式的替代方式。指定夏令时从先输入的日期开始,在后输入的日期结束。如果起始日期的月份比结束日期的月份要晚,也是可以的,假设位于南半球。
★day-起始月份的日期
★year-使用4位数表示的年份。clock命令支持的年份范围是1993到2035年。
★timezone-命令clock timezone设置时钟按照指定的时区显示。不会改变PIX防
火墙内部的时间,内部仍然是UTC。
★hours-相对于UTC偏移的小时数。
★minutes-相对于UTC偏移的分钟数。
★detail-显示时钟源和当前的夏令时。
2、命令ntp
命令ntp server让PIX防火墙和指定的网络时间服务器保持同步。可以配置PIX防火墙要求在与NTP服务器进行同步时进行认证。要启动并支持认证,需要几条其他的NTP命令配合ntp server命令。下面是ntp命令的格式用法:
●ntp server-指定NTP服务器。只有配置了NTP服务器的PIX防火墙接口会侦听NTP数据包(端口123)。如果NTP数据包,不是针对PIX防火墙请求的响应数据包,就会被丢弃。
●ntp authenticate-启动NTP认证。
●ntp authentication-key-定义NTP命令使用的认证密钥。如果使用认证方式,PIX防火墙和NTP服务器山的密钥必须相同。
●ntp trusted-key-定义一个或多个密钥号码,为了让PIX防火墙接受与NTP服务器的同步,NTP服务器在它的NTP数据包中提供密钥号码。如果NTP认证启动了,要使用这个命令。
可以使用show ntp命令来显示当前的NTP配置,使用show ntp status命令来显示NTP时钟信息。命令clear ntp可以删除NTP配置,包括关闭认证,删除所有的认证密钥和所有的指定NTP服务器。
命令NTP的语法为:
ntp authenticate
ntp authentication-key number md5 value
ntp server ip_address [key number] source if_name [prefer]
ntp trusted-key number
★authenticate-启动NTP认证。如果启动,在与NTP服务器进行同步之前PIX防火墙要求进行认证。
★authentication-key-定义在其他的NTP命令中使用的认证密钥。
★if_name-指定向网络时间服务器发送数据包时所用的接口。
★ip_address-指定要与之同步的网络时间服务器的IP地址。
★key-指定认证密钥。
★md5-认证算法。
★number-认证密钥的号码。
★prefer-指定特定的网络时间服务器作为进行时间同步的优选服务器。
★server-网络时间服务器。
★source-指定网络时间服务器
★trusted-key-指定认证时使用的可信任的密钥
★value-密钥的值,最多可以到32个字符。当使用命令write terminal或show tech-support查看文件时,密钥值显示为“*********”
下面例子中,指定位于内部接口的10.0.0.12的NTP服务器作为PIX防火墙的优选网络时间源,同时还指定了认证密钥为1234:
pixfirewall(config)#ntp server 10.0.0.12 key 1234 source inside prefer
五、基本的PIX防火墙配置
可以用PDM或CLI接口对PIX防火墙进行基本的配置。
1、命令nameif
命令nameif给PIX防火墙的每个边界物理或逻辑接口分配一个名字,并指定它们的安全级别(除了PIX防火墙的内部和外部接口,它们的名字是缺省的)。命令nameif的语
法是:
nameif {hardware_id | vlan_id} if_name security_level
clear nameif
show nameif
★hardware_id-指定边界接口和它在PIX防火墙中的插槽位置。
★vlan_id-VLAN标识符。
★if_name-对边界接口进行描述。你所指定的名字在后面配置边界接口时可以引用。
★security_level-指明边界接口的安全级别,有效范围是1~99。
例如:下面的命令为接口ethernet2分配的名字是“dmz”,安全级别是50。
pixfirewall(config)#nameif ethernet2 dmz sec50
2、命令interface
命令interface指明硬件、设置硬件的速率、启动接口。选项shutdown禁用接口。当首次安全PIX防火墙时,所有的接口缺省都是关闭的。需要通过interface命令,不加shutdown参数来启动这些接口。
interface命令的语法是:
interface hardware_id [hardware_speed] [shutdown]
interface hardware_id vlan_id [logical | physical] [shutdown]
interface hardware_id change-vlan old_vlan_id new_vlan_id
clear interface
★change-vlan--表明要改变一个接口的VLAN标识符
★hardware_id--指定接口和它在PIX中的槽位号。和命令nameif中使用的变量相同。
★hardware_speed--确定连接速率。可能的以太网值有:
10baset-设置成10Mbit/s以太网半双工通信。
10full-设置成10Mbit/s以太网全双工通信。
100basetx-设置成100Mbit/s以太网半双工通信。
100full-设置成100Mbit/s以太网全双工通信。
1000sxfull-设置成1000Mbit/s吉比特全双工通信。
1000basex-设置成1000Mbit/s吉比特半双工通信。
1000auto-设置成1000Mbit/s吉比特以太网自动协商全双工或半双工。建议不要使用这个选项设置交换机户欧网络上的其他设备。
aui-把附加单元接口(AUI)电缆设置成10Mit/s以太网半双工通信
auto-设置成以太网速率自适应模式。只能在10/100速率自适应MIC上使用auto关键字。
bnc-把BNC电缆接口设置成10Mbit/s以太网半双工通信方式
★logical--创建一个逻辑接口,并应用这个VLAN
★new_vlan_id--新VLAN标识符
★old_vlan_id--当前的VLAN标识符
★physical--把VLAN应用到物理接口
★vlan_id--VLAN标识符。
★shutdown--管理性关闭接口。
只有在PIX防火墙软件版本6.3或更高的版本上才支持逻辑接口和VLAN配置。防火墙服务模块(FWSM)也支持逻辑接口。
尽管默认情况下硬件的速率都设置成自适应的方式,实际上应该给网络接口指定速率。如果网络环境中包含交换机或其他不能正确处理自适应协商的设备时,PIX防火墙也能正常运行。
下面例子说明使用interface命令配置物理或逻辑接口。
pixfirewall(config)#interface ethernet4 100full
pixfirewall(config)#interface ethernet4 vlan1 physical
pixfirewall(config)#interface ethernet4 vlan5 logical
3、命令ip address
在对一个接口进行了配置,并使用命令interface和nameif进行了命名以后,还必须使用命令ip address给这个接口分配一个IP地址。使用clear ip命令把所有的接口地址重新设置成127.0.0.1。
除了可以手工为PIX防火墙的外部接口配置IP地址,还可以启动PIX防火墙的DHCP客户端功能,让PIX防火墙从DHCP服务器上动态获得IP地址。当PIX防火墙配置成DHCP客户端以后,DHCP服务器可以给PIX防火墙的外部接口分配IP地址、子网掩码和作为可选项的缺省路由。使用ip address outside dhcp命令可以启动此功能。
使用命令show ip address dhcp可以查看当前DHCP租用的相关信息。重新输入ip address outside dhcp会释放并重新获得DHCP租用,也可以使用命令clear ip来释放并重新获得DHCP租用,但是会清除每个PIX防火墙接口的配置。如果只删除外部接口上通过DHCP租用的IP地址,可以使用命令clear ip address outside dhcp。命令debug dhcp packet | detail | error为DHCP客户端功能提供了诊断工具。
命令ip address的语法是:
ip address if_name ip_address [netmask]
ip address outside dhcp [setroute] [retry retry_cnt]
show ip address outside dhcp
clear ip
clear ip address outside dhcp [setroute] [retry retry_cnt]
★dhcp--指定PIX防火墙通过使用DHCP来获得一个IP地址
★if_name--描述接口。给接口分配的名字,在以后配置时必须使用它对接口进行引用
★ip_address--指定接口的IP地址
★netmask--指定用于ip_address的网络掩码。如果没有具体指定掩码,使用缺省
掩码
★outside--指定PIX防火墙获取信息的接口
★retry--启动PIX防火墙再次尝试获取DHCP信息的功能
★retry_cnt--指定PIX防火墙尝试获得DHCP信息的次数,可选的范围是4到16,没有指定时,缺省是4
★setroute--告诉PIX防火墙,使用DHCP服务器返回的缺省网关参数来设置缺省路由
PIX防火墙DHCP客户端不支持配置故障倒换。
下面例子中第一条命令指定外部接口从一台DHCP服务器上获取IP地址,第二条命令把名为dmz的接口的IP地址设为172.16.0.1,掩码为255.255.255.0。
pixfirewall(config)#ip address outside dhcp
pixfirewall(config)#ip address dmz 172.16.0.1 255.255.255.0
六、nat命令
网络地址转换(NAT)可以将PIX防火墙后边的内部IP地址对外隐藏起来。NAT是通过在转发数据包到外部网络之前,将全球不唯一的内部IP地址转换成全球公认的IP地址来完成这个任务。在PIX防火墙中使用nat和global命令来执行NAT。
当一台内部网络中的设备发送一个出站IP数据包,到达一台配置了NAT的PIX防火墙时,PIX防火墙将提取出源地址并与一个内部的转换表进行比较。如果在表中不存在该设备的地址,那么在转换时将为该设备创建一个新的条目,并从一个全局IP地址池中给它分配一个IP地址。该全局地址可以使用global命令来配置。在转换完成后,将更新表格并转发转换后的IP数据包。如果在用户设置的超时周期(缺省为3小时)内没有使用相应IP地址做转换的数据包经过时,将从表中删除这些相应的条目,并释放相应的全局地址用于其他的内部设备。
在PIX防火墙上启用NAT的第一步是输入nat命令。通过nat命令可以指定转换一台主机或一个主机范围。还可以使用nat 1 0.0.0.0 0.0.0.0命令来转换所有内部主机产生的出站连接。
可以使用一个0代替0.0.0.0来简化nat命令的条目。
nat命令的语法如下:
nat [(if_name)] nat_id address [netmask] [timeout hh:mm:ss]
★if_name--接口的名称,对该接口连接的网络进行地址转换
★nat_id--一个大于0的数字,该数字指定你想用于动态地址转换的全局地址池
★address--要进行转换的IP地址。可以使用0.0.0.0来允许所有的主机发起出站连接。0.0.0.0可以所写成0
★netmask--用于地址的网络掩码。使用0.0.0.0则表示允许所有的出站连接使用全
局地址池中的IP地址进行转换
★timeout--改变缺省的xlate超时值,缺省为3小时
★hh:mm:ss--转换槽的超时时间。如果在超时时间内没有TCP或用户数据包协议(UDP)连接使用转换,将发生超时。
在内部网络中使用私有地址,并在转发内部网络的数据包到外部网络时将私有地址转换成全球公认的IP地址,在提供更好安全性的同时,也可以减少所需公共IP地址的数量。尽管建议使用这个配置,并且该配置经常被部署到网络中,但是有时可能不想把通过PIX防火墙的数据包进行地址转换(例如,当PIX防火墙位于另外一个NAT设备后面时)。这种情况下,就可以使用nat 0命令来配置PIX防火墙,使PIX防火墙不对通过它的数据包进行地址转换。
下面例子中示范了如何使用nat 0命令为指定的主机关闭地址转换。把网络10.0.0.0中主机发起的出站连接进行地址转换,而当网络192.168.0.0中的主机发起的出站连接通过PIX时,则不对其进行地址地址转换。
pixfirewall(config)#nat (inside) 1 10.0.0.0 255.0.0.0
pixfirewall(config)#nat (inside) 0 192.168.0.0 255.255.255.0
1、global命令
当某台内部主机通过防火墙访问外部网络时,可以使用global命令和nat命令来为这台内部主机分配一个注册或者公共的IP地址。如果使用了nat命令,就必须使用global
命令来定义用于转换的IP地址池。
使用no global命令删除相应的global条目(例如:no global (outside) 1 192.168.1.20-192.168.1.254 netmask 255.255.255.0)。
global命令的语法如下:
global [(if_name)] nat_id {global_ip [-global_ip] [netmask global_mask]} | interface
★if_name--使用全局地址的外部网络接口名称
★nat_id--标识全局地址池,要与nat命令中nat_id进行匹配
★global_ip--一个IP地址或者一个全局IP地址范围内的起始IP地址
★-global_ip--全局IP地址范围内的结束IP地址
★global_mask--用于global_ip地址的网络掩码。使用netmask命令指定一个地址范围,在全局地址池中,这个命令不使用广播或网络地址。例如,如果使用从192.150.50.20~192.150.50.140这样的一个地址范围并且网络掩码为
255.255.255.128,那么在全局地址池中将不包括广播地址192.150.50.127和网络地址192.150.50.128
★interface--指定PAT使用接口上的IP地址。
例如,使用以下列出的命令,允许对所有的内部主机进行NAT,并将它们的私有地址转换成192.168.0.20到192.168.0.254范围中的公共地址:
pixfirewall(config)#nat (inside) 1 0.0.0.0 0.0.0.0
pixfirewall(config)#global (outside) 1 192.168.0.20-192.168.0.254
PIX防火墙从全局地址池中分配地址时,是以global命令中所指定的地址范围内从低到高顺序进行分配的。
PIX防火墙使用全局地址分配一个虚地址到一个内部NAT地址。在添加、改动或删除一个global命令语句后,要使用IP命令来确保IP地址在转换表中是可用的。
2、route命令
在任何的PIX防火墙基础配置中都需要route命令,该命令为一个接口定义一条静态或缺省路由。
route命令的语法如下:
route if_name ip_address netmask gateway_ip [metric]
★if_name--内部或外部网络接口名称
★ip_address--内部或外部网络IP地址。使用0.0.0.0指定一条缺省路由。
★netmask--指定一个应用到ip_address上的网络掩码。使用0.0.0.0指定一条缺省路由。
★gateway_ip--指定网关路由器的IP地址(路由的下一跳地址)
★metric--指定到gateway_ip的跳数。如果不确定,输入1。这个信息可以由你的WAN管理员提供给你,还可使用traceroute命令来获得到gateway_ip的跳数信息。如果metric没有被指定,缺省是1。
如果想通过一台IP地址为192.168.1.1的路由器路由所有的出站数据包(外部接口),诗云女冠下列命令:
pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
以下列出的命令与上面的命令结果是相同的:
pixfirewall(config)#route outside 0 0 192.168.1.1
在PIX防火墙上为了配置可达所有的网络的路由,需要配置多条route命令语句。例如:如果10.0.10.0和10.0.2.0这两个网络连接到一台路由器上,并且这台路由器与PIX防火墙DMZ接口的连接地址为10.0.0.1。在PIX防火墙上配置到达这两个网络所需的静态路由是:
pixfirewall(config)#route dmz 10.0.1.0 255.255.255.0 10.0.0.1 1
pixfirewall(config)#route dmz 10.0.2.0 255.255.255.0 10.0.0.1 1
可以使用多条route命令语句来为不同的网络配置静态路由。不管怎样,只能配置一条缺省路由(route if_name 0 0 gateway_ip),并且不能配置多条路由到相同的网络(切记,PIX防火墙不是路由器)。
可以使用PIX防火墙上一个接口的IP地址作为网关地址。如果这样做了,PIX防火墙在广播一个地址解析协议(ARP)请求时,所询问的MAC地址是数据包中目的地址所对应的MAC地址,而不是缺省网关IP地址所对应的MAC地址。
七、Syslog命令
PIX防火墙为系统事件产生系统日志(syslog)消息,可以使用系统日志消息创建E-mail告警和日志文件,或者将它们显示在指定的系统日志主机的控制台上。PIX能够发送系统日志消息到任何一台系统日志服务器。在所有的系统日志服务器或主机处于离线状态时,PIX防火墙能够最多存储100条消息到它的内存中。后续到达的消息将从缓存的第一行开始覆盖。
PIX防火墙发送的系统日志消息将记录以下的事件:
●安全--丢弃的UDP数据包和拒绝的TCP连接
●资源--连接通告和转换槽消耗
●系统--铜鼓欧console和Telnet的登录和退出,以及重启PIX防火墙
●统计--每个连接传输的字节数
要想产生系统日志消息,第一步在PIX防火墙上使用logging on命令启用日志记录。在启用日志记录后,使用logging console命令指定在PIX防火墙的console上显示什么样的系统日志消息。使用logging console命令中的level参数,可以限制在console上显示消息的类型。
在一台生产环境中的设备上使用logging console命令时要小心,因为它将导致PIX防火墙性能的下降。如果要在一台生产环境中的PIX防火墙上启用logging console,就要配置它只能记录重要的消息,减少日志记录对正常运行的影响。
在PIX防火墙上可以使用logging buffered命令,配置在缓存中存储系统日志消息,最多可以存储100条系统日志消息。这个处理过程通常用于快速检查PIX防火墙上最近产生的系统日志消息,然后利用这些系统日志消息进行排错。可以使用show logging命令来查看缓存中当前消息的列表。可以使用clear logging命令清除缓存中的消息。新的消息将被添加到缓冲的末端。
使用logging message命令指定一条被允许的消息。它与no命令配合使用可以抑制一条消息。除非明确地指出不允许,否则所有的系统日志消息都将被允许。要阻挡一条具体的消息,可使用消息编号来决定抑制或允许。例如:如果在系统日志中有一条%PIX-1-101001的消息,它的syslog_id为101001,可以使用这个syslog_id来进行阻挡。
不能阻挡“PIX Startup begin”消息,每一条命令语句中只能阻挡一条消息。
使用logging standby命令允许一台处于故障倒换备份状态下的PIX防火墙发送系统日志消息。这个选项缺省是关闭的。启用此项功能,在发生故障倒换时,处于备份状态的PIX防火墙会拥有同步的系统日志消息;但是,这样会导致系统日志服务器上的流量加倍。
可以使用no logging standby命令来关闭这个特性。
logging命令的语法如下:
logging buffered level
logging console level
logging device-id {hostname | ipaddress if_name | string text}
logging history level
logging host [in_if_name] ip_address [protocol/port] [format emblem]
logging message syslog_id [level level]
logging monitor level
logging queue queue_size
logging standby
logging timestamp
logging trap level
clear logging [disable]
show logging [message {syslog_id | all} | level | disable]
show logging queue
★buffered--将系统日志消息发送到内部缓存中。可以通过使用show logging命令进行查看
★level--一个数字或字符串用来指定系统日志消息的级别。指定级别及以下各级的日志都要记录下来。以下列出了有可能作为level值的数字和字符串:
●0-emergencies--系统不可用的信息
●1-alerts--立即采取行动
●2-critical--紧急的情况
●3-errors--错误信息
●4-warnings--警告信息
●5-notifications--正常但重要的信息
●6-informational--情报信息
●7-debugging--Debug信息、记录FTP命令和WWW的URL
★console--将系统日志信息发送到PIX防火墙的控制台(console)上。使用level可以限制在console上显示的信息类型。在生产环境中的防火墙不建议使用这个选项
★device-id--包含在系统日志消息中的PIX防火墙设备ID
★history--设置需要发送系统日志traps的简单网络管理协议(SNMP)消息的级别
★host--指定一台系统日志服务器,用来接收PIX防火墙发送的消息。可以使用多条logging host命令,指定多台用来接收系统日志消息的服务器。但是,一台服务器只能指定接收UDP或TCP这两个协议中的一个。PIX防火墙只能向PIX防火墙系统日志服务器(PFSS)发送TCP系统日志消息
★hostname--指定PIX防火墙的主机名将用于PIX防火墙系统日志消息的唯一标识
★if_name--指定接口名字,此接口上的IP地址将用于PIX防火墙系统日志消息的唯一标识
★in_if_name--指定系统日志服务器所在的接口
★ip_address--系统日志服务器的IP地址
★ipaddress--指定if_name对应的PIX防火墙接口的IP地址将用于PIX防火墙系
统日志消息的唯一标识
★protocol--指定系统日志消息使用什么协议进行发送:可以是TCP或UDP。只有PIX防火墙系统日志服务器才支持TCP系统日志消息。可以使用write terminal命令来查看以前输入的端口和协议值。TCP协议代码是6,UDP协议代码是17
★port--PIX防火墙发送UDP或TCP系统日志消息所使用的端口。必须与系统日志服务器所监听的端口相同。UDP端口缺省是514,改变时可用端口范围为1025到65535。TCP缺省端口是1470,可用范围为1025到65535。TCP端口只能与PIX防火墙日志服务器协同工作
★format emblem--使用这个选项后,每台系统日志服务器上(per-syslog-server)将以EMBLEM格式记录日志。以EMBLEM格式记录日志只适用于UDP系统日志消息,并且缺省是关闭的。
★message--指定一条允许的消息。使用no logging message命令抑制一条系统日志消息。使用clear logging disabled命令将抑制的消息恢复到最初的设置。使用show message disabled命令列出所抑制的消息。除非明确指出抑制,否则所有的系统日志消息都将被允许。不能阻挡“PIX Startup begin”消息,每一条命令语句中只能阻挡一条消息。
★syslog_id--指定一个允许或抑制的消息编号。如果在系统日志中有一条%PIX-1-101001的消息,使用101001作为syslog_id。
★monitor--指定在PIX防火墙的Telnet会话上显示系统日志消息。可以通过使用
level参数来限制发送到Telnet会话上的消息类型。
★queue queue_size--指定用于存储系统日志消息的队列大小。在处理系统日志消息前使用该参数。队列参数缺省为512条消息,0表示无限制(受限于可用内存),队列的最小值为1条消息。当流量很大时,如果产生的消息大于PIX防火墙对它们的处理能力并且在队列中所存储的系统日志消息也已经饱和,这时消息将被丢弃
★standby--允许处于故障倒换备份状态下的PIX防火墙发送系统日志消息。该选项缺省是关闭的。启用它,在发生了故障倒换时,可以确保处于备份状态的PIX防火墙拥有同步的系统日志消息。但是,这样会导致系统日志服务器的流量加倍,可以使用no logging syandby命令关闭这个特性
★timestamp--指定在每条发送到系统日志服务器的系统日志消息上盖上时戳
★trap--只为系统日志消息设置日志记录的级别
★show--列出哪些日志记录选项被启用。如果使用了logging buffered命令,show logging命令将列出当前缓存中的消息
★clear--清除logging buffered命令所使用的消息缓存
★all--所有的系统日志消息ID
★disabled--清除或列出被no logging message命令所抑制的消息
配置PIX防火墙发送系统日志消息到一台系统日志服务器,需以下配置:
★使用logging on命令启用日志记录。使用no logging on命令关闭发送消息。
★使用logging host命令,指定一台用于接收消息的主机。
logging host [in_if_name] ip_address [protocol/port]
使用连接服务器的接口的名称替代in_if_name,使用服务器的IP地址替代
ip_address。如果系统日志服务器在一个不标准的端口上接收消息,可以使用UDP和新的端口号来替代protocol。缺省的协议为UDP,缺省端口为514,改变时其端口可用范围是从1025到65535。同样可以指定TCP协议,其端口可用范围是从1025到65535,缺省为1470
★使用logging trap命令,指定将要被发送到系统日志服务器上的日志记录的级别:
logging trap level
★使用logging facility命令,指定PIX防火墙为系统日志消息分配哪个日志记录设施(logging facility):
logging facility facility
因为网络设备共享8台设施,所以要使用logging facility命令在日志消息上设置设施的值。
★如果想在发送到日志服务器上的消息上盖上时戳,可以使用logging timestamp命令,使用no logging timestamp命令关闭在日志记录消息上盖时戳。
因篇幅问题不能全部显示,请点此查看更多更全内容