一個思科PIX防火墻的實際應用配置
發布時間:2024-06-10 點擊:174
pix:一個合法ip完成inside、outside和dmz之間的訪問
現有條件:
100m寬帶接入,分配一個合法的ip(222.134.135.98)(只有1個靜態ip是否夠用?);cisco防火墻pix515e-r-dmz-bun1臺(具有inside、outside、dmz三個rj45接口)!
請問能否實現以下功能:
1、內網中的所有用戶可以防問internet和dmz中的web服務器。
2、外網的用戶可以防問dmz區的web平臺。
3、dmz區的web服務器可以防問內網中的sql數據庫服務器和外網中的其它服務器。
注:dmz區web服務器作為應用服務器,使用內網中的數據庫服務器。
解決方案:
一、 概述
本方案中,根據現有的設備,只要1個合法的ip地址(電信的ip地址好貴啊,1年租期10000元rmb),分別通過pix515所提供的nat、pat、端口重定向、acl和route功能完全可以實現所提的功能要求。
二、 實施步驟
初始化pix防火墻:
給每個邊界接口分配一個名字,并指定安全級別
pix515e(config)# nameif ethernet0 outside security0pix515e(config)# nameif ethernet1 inside security100pix515e(config)# nameif ethernet2 dmz security50
給每個接口分配ip地址
pix515e(config)# ip address outside 222.134.135.98 255.255.255.252 pix515e(config)# ip address inside 192.168.1.1 255.255.255.0 pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0
為pix防火墻每個接口定義一條靜態或缺省路由
pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1(通過ip地址為222.134.135.97的路由器路由所有的出站數據包/外部接口/)pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1
配置pix防火墻作為內部用戶的dpch服務器
pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 insidepix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68pix515e(config)# dhcpd enable inside
1、配置pix防火墻來允許處于內部接口上的用戶防問internet和堡壘主機
同時允許dmz接口上的主機可以防問internet
通過設置nat和pat來實現高安全級別接口上的主機對低安全級別接口上的主機的防問。
(1)命令如下:
pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0pix515e(config)# global (outside) 10 interfacepix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0
(2)第一個nat命令允許在安全級別為100的內部接口上的主機,去連接那些安全級別比它低的接口上的主機。在第一個命令中,低安全級別接口上的主機包括外部接口上的主機和非軍事區/dmz/上的主機。第二個nat命令允許在安全級別為50的dmz上的主機,去連接那些安全級別比它低的接口上的主機。而在第二個命令中,低安全級別的接口只包含外部接口。
(3)因為全局地址池和nat (inside)命令都使用nat_id為10,所以在192.168.1.0網絡上的主機地址將被轉換成任意地址池中的地址。因此,當內部接口上用戶訪問dmz上的主機時,它的源地址被轉換成global (dmz)命令定義的10.0.0.10-10.0.0.254范圍中的某一個地址。當內部接口上的主機防問internet時,它的源地址將被轉換成global (outside)命令定義的222.134.135.98和一個源端口大于1024的結合。
(4)當dmz上用戶訪問外部主機時,它的源地址被轉換成global (outside)命令定義的222.134.135.98和一個源端口大于1024的結合。global (dmz)命令只在內部用戶訪問dmz接口上的web服務器時起作用。
(5)內部主機訪問dmz區的主機時,利用動態內部nat——把在較安全接口上的主機地址轉換成不太安全接口上的一段ip地址或一個地址池(10.0.0.10-10.0.0.254)。內部主機和dmz區的主機防問internet時,利用pat——1個ip地址和一個源端口號的結合,它將創建一個惟一的對話,即pat全局地址(222.134.135.98)的源端口號對應著內部或dmz區中的唯一的ip地址來標識唯一的對話。pat全局地址(222.134.135.98)的源端口號要大于1024.理論上,在使用pat時,最多可以允許64000臺內部主機使用一個外部ip地址,從實際環境中講大約4000臺內部的主機可以共同使用一個外部ip地址。)
2、 配置pix防火墻允許外網的用戶可以防問dmz區的web服務器
通過配置靜態內部轉換、acl和端口重定向來實現外網對dmz區的web防問。
(1)命令如下
static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0access-list outside_access_in line 1 permit tcp any interface outsideaccess-group 101 in interface outside
(2)pix防火墻靜態pat所使用的共享全局地址可以是一個惟一的地址,也可以是一個共享的出站pat地址,還可以與外部接口共享一個地址。
(3)static靜態轉換中“dns”表示進行“dns記錄轉換”
dns記錄轉換應用在當內部的主機通過域名連接處于內部的服務器,并且用來進行域名解析的服務器處于pix防火墻外部的情況下。
一個處于內網中的客戶端通過域名向地址為10.0.0.2的web服務器發送一個http請示。首先要通過pix防火墻外部接口上的dns服務器進行域名解析,因此客戶端將dns解析請求包發送到pix防火墻上。當pix防火墻收到客戶端的dns解析請求包時,將ip頭中不可路由的源地址進行轉換,并且將這個dns解析請求轉發到處于pix防火墻外部接口上的dns服務器。dns服務器通過a-記錄進行地址解析,并將結果返回到客戶端。當pix防火墻收到 dns解析回復后,它不僅要將目的地址進行轉換,而且還要將dns解析回復中的地址替換成web服務器的實際地址。然后pix防火墻將dns解析發回客戶端。這樣所產生的結果是,當客戶端收到這個dns解析回復,它會認為它與web服務器處于內部網絡中,可以通過dmz接口直接到達。
3、dmz區的web服務器可以防問內網中的sql數據庫服務器和外網中的其它服務器
通過靜態內部轉換可以實現dmz區的主機對內網中的主機的防問。
(1)命令如下:
static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0access-list dmz_access_in line 1 permit tcp any anyaccess-group dmz_access_in in interface dmz
(2)靜態內部地址轉換可以讓一臺內部主機固定地使用pix防火墻全局網絡中的一個地址。使用static命令可以配置靜態轉換。static命令創建一個在本地ip地址和一個全局ip地址之間的永久映射(被稱為靜態轉換槽或xlate),可以用來創建入站和出站之間的轉換。
除了static命令之外,還必須配置一個適當的訪問控制列表(acl),用來允許外部網絡對內部服務器的入站訪問
2019雙十一云服務器降價
服務器配置的這個二級域名
電腦降低硬盤占用率的方法
虛擬服務器云服務器購買費用
如何快速掌握交互設計基礎
禹衛:從“千年極寒”得出的“人言可畏式營銷”
粘土云服務器怎么開啟寶箱
即將過期的域名
現有條件:
100m寬帶接入,分配一個合法的ip(222.134.135.98)(只有1個靜態ip是否夠用?);cisco防火墻pix515e-r-dmz-bun1臺(具有inside、outside、dmz三個rj45接口)!
請問能否實現以下功能:
1、內網中的所有用戶可以防問internet和dmz中的web服務器。
2、外網的用戶可以防問dmz區的web平臺。
3、dmz區的web服務器可以防問內網中的sql數據庫服務器和外網中的其它服務器。
注:dmz區web服務器作為應用服務器,使用內網中的數據庫服務器。
解決方案:
一、 概述
本方案中,根據現有的設備,只要1個合法的ip地址(電信的ip地址好貴啊,1年租期10000元rmb),分別通過pix515所提供的nat、pat、端口重定向、acl和route功能完全可以實現所提的功能要求。
二、 實施步驟
初始化pix防火墻:
給每個邊界接口分配一個名字,并指定安全級別
pix515e(config)# nameif ethernet0 outside security0pix515e(config)# nameif ethernet1 inside security100pix515e(config)# nameif ethernet2 dmz security50
給每個接口分配ip地址
pix515e(config)# ip address outside 222.134.135.98 255.255.255.252 pix515e(config)# ip address inside 192.168.1.1 255.255.255.0 pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0
為pix防火墻每個接口定義一條靜態或缺省路由
pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1(通過ip地址為222.134.135.97的路由器路由所有的出站數據包/外部接口/)pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1
配置pix防火墻作為內部用戶的dpch服務器
pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 insidepix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68pix515e(config)# dhcpd enable inside
1、配置pix防火墻來允許處于內部接口上的用戶防問internet和堡壘主機
同時允許dmz接口上的主機可以防問internet
通過設置nat和pat來實現高安全級別接口上的主機對低安全級別接口上的主機的防問。
(1)命令如下:
pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0pix515e(config)# global (outside) 10 interfacepix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0
(2)第一個nat命令允許在安全級別為100的內部接口上的主機,去連接那些安全級別比它低的接口上的主機。在第一個命令中,低安全級別接口上的主機包括外部接口上的主機和非軍事區/dmz/上的主機。第二個nat命令允許在安全級別為50的dmz上的主機,去連接那些安全級別比它低的接口上的主機。而在第二個命令中,低安全級別的接口只包含外部接口。
(3)因為全局地址池和nat (inside)命令都使用nat_id為10,所以在192.168.1.0網絡上的主機地址將被轉換成任意地址池中的地址。因此,當內部接口上用戶訪問dmz上的主機時,它的源地址被轉換成global (dmz)命令定義的10.0.0.10-10.0.0.254范圍中的某一個地址。當內部接口上的主機防問internet時,它的源地址將被轉換成global (outside)命令定義的222.134.135.98和一個源端口大于1024的結合。
(4)當dmz上用戶訪問外部主機時,它的源地址被轉換成global (outside)命令定義的222.134.135.98和一個源端口大于1024的結合。global (dmz)命令只在內部用戶訪問dmz接口上的web服務器時起作用。
(5)內部主機訪問dmz區的主機時,利用動態內部nat——把在較安全接口上的主機地址轉換成不太安全接口上的一段ip地址或一個地址池(10.0.0.10-10.0.0.254)。內部主機和dmz區的主機防問internet時,利用pat——1個ip地址和一個源端口號的結合,它將創建一個惟一的對話,即pat全局地址(222.134.135.98)的源端口號對應著內部或dmz區中的唯一的ip地址來標識唯一的對話。pat全局地址(222.134.135.98)的源端口號要大于1024.理論上,在使用pat時,最多可以允許64000臺內部主機使用一個外部ip地址,從實際環境中講大約4000臺內部的主機可以共同使用一個外部ip地址。)
2、 配置pix防火墻允許外網的用戶可以防問dmz區的web服務器
通過配置靜態內部轉換、acl和端口重定向來實現外網對dmz區的web防問。
(1)命令如下
static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0access-list outside_access_in line 1 permit tcp any interface outsideaccess-group 101 in interface outside
(2)pix防火墻靜態pat所使用的共享全局地址可以是一個惟一的地址,也可以是一個共享的出站pat地址,還可以與外部接口共享一個地址。
(3)static靜態轉換中“dns”表示進行“dns記錄轉換”
dns記錄轉換應用在當內部的主機通過域名連接處于內部的服務器,并且用來進行域名解析的服務器處于pix防火墻外部的情況下。
一個處于內網中的客戶端通過域名向地址為10.0.0.2的web服務器發送一個http請示。首先要通過pix防火墻外部接口上的dns服務器進行域名解析,因此客戶端將dns解析請求包發送到pix防火墻上。當pix防火墻收到客戶端的dns解析請求包時,將ip頭中不可路由的源地址進行轉換,并且將這個dns解析請求轉發到處于pix防火墻外部接口上的dns服務器。dns服務器通過a-記錄進行地址解析,并將結果返回到客戶端。當pix防火墻收到 dns解析回復后,它不僅要將目的地址進行轉換,而且還要將dns解析回復中的地址替換成web服務器的實際地址。然后pix防火墻將dns解析發回客戶端。這樣所產生的結果是,當客戶端收到這個dns解析回復,它會認為它與web服務器處于內部網絡中,可以通過dmz接口直接到達。
3、dmz區的web服務器可以防問內網中的sql數據庫服務器和外網中的其它服務器
通過靜態內部轉換可以實現dmz區的主機對內網中的主機的防問。
(1)命令如下:
static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0access-list dmz_access_in line 1 permit tcp any anyaccess-group dmz_access_in in interface dmz
(2)靜態內部地址轉換可以讓一臺內部主機固定地使用pix防火墻全局網絡中的一個地址。使用static命令可以配置靜態轉換。static命令創建一個在本地ip地址和一個全局ip地址之間的永久映射(被稱為靜態轉換槽或xlate),可以用來創建入站和出站之間的轉換。
除了static命令之外,還必須配置一個適當的訪問控制列表(acl),用來允許外部網絡對內部服務器的入站訪問
2019雙十一云服務器降價
服務器配置的這個二級域名
電腦降低硬盤占用率的方法
虛擬服務器云服務器購買費用
如何快速掌握交互設計基礎
禹衛:從“千年極寒”得出的“人言可畏式營銷”
粘土云服務器怎么開啟寶箱
即將過期的域名
上一篇:在SEO中最重要的是耐心和堅持
下一篇:linux如何防御ddos