Configuración del firewall CISCO e introducción detallada
Entre los muchos firewalls de nivel empresarial convencionales, el firewall Cisco Pix tiene el mejor rendimiento de todos los productos similares. El firewall de la serie Cisco Pix cuenta actualmente con 5 modelos: pix506, 515, 520, 525 y 535. Entre ellos, pix535 es el último y más potente de la serie pix 500. Puede proporcionar capacidades de procesamiento a nivel de operador y es adecuado para grandes ISP y otros proveedores de servicios. Sin embargo, el sistema operativo exclusivo de pix permite que la mayor parte de la administración se implemente a través de la línea de comandos. A diferencia de otros firewalls similares que realizan la administración de la red a través de la interfaz de administración web, esto causará inconvenientes a los principiantes. Este artículo presentará cómo configurar el firewall Cisco Pix a través de ejemplos.
Antes de configurar el firewall pix, primero introduzcamos las características físicas del firewall. Los firewalls generalmente tienen al menos 3 interfaces, pero muchos de los primeros firewalls solo tenían 2 interfaces. Cuando se usa un firewall con 3 interfaces, se generan al menos 3 redes, que se describen a continuación: 0?3 Zona interna (red interna). El área interna generalmente se refiere a la red interna de la empresa o una parte de la red interna de la empresa. Es la zona de confianza de la red interconectada, es decir, está protegida por un firewall. 0?3 Zona externa (red externa). La zona externa generalmente se refiere a Internet o a la red interna no empresarial. Es una zona que no es de confianza en la red de interconexión. Cuando la zona externa desea acceder a los hosts y servicios de la zona interna, se puede lograr un acceso restringido a través del firewall. 0?3 zona de alto el fuego (dmz). Una zona de alto el fuego es una red aislada o varias redes. Los hosts o servidores ubicados en una zona de alto el fuego se denominan hosts bastión. Generalmente, los servidores web, servidores de correo, etc. se pueden colocar en la zona de alto el fuego. Las zonas de alto el fuego generalmente son accesibles para usuarios externos, lo que les permite acceder a la información pública de la empresa pero no les permite acceder a la red interna de la empresa. Nota: No hay zona de alto el fuego en el cortafuegos con 2 interfaces.
Dado que pix535 no es universal a nivel empresarial, a continuación se describe principalmente la aplicación de pix525 en redes empresariales.
Pix Firewall proporciona 4 modos de acceso de gestión:
Modo sin privilegios. El firewall pix está en este modo después de la autoprueba de encendido. El sistema se muestra como pixfirewallgt;
Modo privilegiado. Ingrese enable para ingresar al modo privilegiado y cambiar la configuración actual. Se muestra como pixfirewall#
Modo de configuración. Ingrese a configurar terminal para ingresar a este modo, donde se realiza la mayor parte de la configuración del sistema. Se muestra como pixfirewall(config)#
Modo de supervisión. Durante el proceso de inicio o reinicio del firewall pix, mantenga presionada la tecla Escape o envíe un carácter de "interrupción" para ingresar al modo de monitoreo. Aquí puede actualizar la imagen del sistema operativo y recuperar la contraseña. Mostrado como monitorgt;
Hay 6 comandos básicos para configurar pix firewall: nameif, interfaz, dirección IP, nat, global, route
Estos comandos son necesarios para configurar pix. Los siguientes son los pasos básicos de configuración:
1. Configure el nombre de la interfaz del firewall y especifique el nivel de seguridad (nameif).
pix525(config)#nameif ethernet0 fuera de seguridad0
pix525(config)#nameif ethernet1 dentro de seguridad100
pix525(config)#nameif dmz seguridad50
Consejo: En la configuración predeterminada, Ethernet 0 se denomina interfaz externa (exterior) y el nivel de seguridad es 0. Ethernet 1 se denomina interfaz interna (interior) y el nivel de seguridad es 100. Seguridad; valor de nivel El rango es de 1 a 99. Cuanto mayor sea el número, mayor será el nivel de seguridad. Si agrega una nueva interfaz, la declaración se puede escribir de la siguiente manera:
pix525(config)#nameif pix/intf3 security40 (el nivel de seguridad es opcional)
2. Parámetros del puerto Ethernet (interfaz)
pix525(config)#interface ethernet0 auto (la opción automática indica el tipo de tarjeta de red adaptable del sistema)
pix525(config)#interface ethernet1 100full (la La opción 100full indica la comunicación Ethernet dúplex de 100 mbit/s completa)
pix525(config)#interface ethernet1 100apagado completo (la opción de apagado significa cerrar esta interfaz, si la interfaz está habilitada, eliminar el apagado)
3. Configure las direcciones IP de las tarjetas de red internas y externas (dirección IP)
pix525(config)#dirección IP fuera de 61.144.51.42 255.255.255.248
pix525. (config)#dirección IP dentro de 192.168.0.1 255.255.255.0
Obviamente, la dirección IP externa del firewall pix525 es 61.144.51.42 y la dirección IP interna es 192.168.0.1
4. Especifique la dirección interna (nat) a convertir
La función de traducción de direcciones de red (nat) es convertir la IP privada de la red interna a la IP pública de la red externa. El comando siempre se usa junto con el comando global. Esto se debe a que el comando nat puede especificar un host o un rango de hosts para acceder a la red externa; al acceder a la red externa, debe usar el grupo de direcciones especificado por global. acceso externo. La sintaxis de configuración del comando nat: nat (if_name) nat_id local_ip [netmark]
Donde (if_name) representa el nombre de la interfaz de la intranet, por ejemplo, nat_id se usa para identificar el grupo de direcciones global, lo que lo convierte en. De acuerdo con su correspondiente comando global Coincidencia, local_ip representa la dirección IP asignada a la red interna. Por ejemplo, 0.0.0.0 significa que se puede acceder externamente a todos los hosts de la red interna. [netmark] indica la máscara de subred de la dirección IP de la intranet.
Ejemplo 1. pix525(config)#nat (inside) 1 0 0
Indica que nat está habilitado. Todos los hosts de la red interna pueden acceder a la red externa. 0 puede representar 0.0.0.0
. Ejemplo 2. pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
Indica que solo los hosts en el segmento de red 172.16.5.0 pueden acceder a la red externa.
5. Especifique el rango de direcciones externas (global)
El comando global traduce la dirección IP de la red interna en una dirección IP de la red externa o un rango de direcciones. La sintaxis de configuración del comando global: global (if_name) nat_id ip_address-ip_address [netmark global_mask]
Donde (if_name) representa el nombre de la interfaz de red externa, como outside.. nat_id se utiliza para identificar el grupo de direcciones global para que coincida con su comando nat correspondiente. dirección_ip-dirección_ip representa una dirección IP única traducida o un rango de direcciones IP. [netmark global_mask] representa la máscara de red de la dirección IP global.
Ejemplo 1. pix525(config)#global (exterior) 1 61.144.51.42-61.144.51.48
Indica que cuando el host de la red interna quiera acceder a la red externa a través del firewall pix, el firewall pix utilizará 61.144.51.42 -61.144.51.48. El grupo de direcciones IP del segmento asigna una dirección IP global al host que desea acceder a la red externa.
Ejemplo 2. pix525(config)#global (exterior) 1 61.144.51.42
Indica que cuando la red interna quiera acceder a la red externa, el firewall pix utilizará la dirección IP única 61.144.51.42 para todos los hosts que accedan a la red externa.
Ejemplo 3. pix525(config)#no global (fuera) 1 61.144.51.42
Indica eliminar esta entrada global.
6. Configurar rutas estáticas (ruta) que apunten a la red interna y a la red externa.
Definir una ruta estática. Sintaxis de configuración del comando de ruta: ruta (if_name) 0 0 gateway_ip [métrica]
Donde (if_name) representa el nombre de la interfaz, como adentro, afuera. gateway_ip representa la dirección IP del enrutador de puerta de enlace. [métrica] indica el número de saltos a gateway_ip. Normalmente el valor predeterminado es 1.
Ejemplo 1. pix525(config)#route outside 0 0 61.144.51.168 1
Indica una ruta predeterminada que apunta al enrutador fronterizo (dirección IP 61.144.51.168).
Ejemplo 2. pix525(config)#route dentro de 10.1.1.0 255.255.255.0 172.16.0.1 1
pix525(config)#route dentro de 10.2.0.0 255.255.0.0 172.16.0.1 1
Si es interno Si la red tiene solo un segmento de red, puede configurar una ruta predeterminada como en el Ejemplo 1; si hay varias redes internas, debe configurar más de una ruta estática. El comando anterior significa que se ha creado una ruta estática a la red 10.1.1.0. La siguiente dirección IP del enrutador de la ruta estática es 172.16.0.1
Si comprende estos 6 comandos básicos, puede ingresar pix Algunos. Configuraciones avanzadas de firewall.
a. Configurar la traducción de direcciones IP estáticas (estática)
Si una sesión se inicia desde la red externa y la dirección de destino de la sesión es una dirección IP de la red interna, la estática traducirá. la dirección interna en una dirección global especificada, permitiendo que se establezca esta sesión.
Sintaxis de configuración del comando estático: estática (nombre_si_interno, nombre_si_externo) dirección_ip_exterior dirección_ip_interior donde nombre_si_interno representa la interfaz de red interna y tiene un nivel de seguridad más alto. Por ejemplo, inside.external_if_name es una interfaz de red externa y el nivel de seguridad es bajo. Como afuera, etc. outside_ip_address es la dirección IP en la interfaz de nivel de seguridad inferior a la que se accede. inside_ ip_address es la dirección IP local de la red interna.
Ejemplo 1. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
Indica que el host con dirección IP 192.168.0.8 se traduce a 61.144 para cada sesión establecida a través del firewall pix. La dirección global. 51.62 también puede entenderse como el comando estático que crea una asignación estática entre la dirección IP interna 192.168.0.8 y la dirección IP externa 61.144.51.62.
Ejemplo 2. pix525(config)#static (interior, exterior) 192.168.0.2 10.0.1.3
Ejemplo 3. pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
Los comentarios son los mismos que en el Ejemplo 1. Los ejemplos anteriores ilustran que el uso del comando estático nos permite establecer una dirección IP global permanente para una dirección IP interna específica. Esto crea un portal para que las interfaces designadas con niveles de seguridad más bajos ingresen a interfaces designadas con niveles de seguridad más altos.
b. Comando Pipe (conducto)
Como se mencionó anteriormente, el uso del comando estático puede crear un mapeo estático entre una dirección IP local y una dirección IP global, pero desde afuera hacia afuera. Las conexiones a la interfaz interna seguirán bloqueadas por el algoritmo de seguridad adaptativo (asa) de Pix Firewall. El comando conduit se utiliza para permitir el flujo de datos desde una interfaz con un nivel de seguridad más bajo a una interfaz con un nivel de seguridad más alto, como permitir. desde el exterior a dmz o Sessions en la dirección entrante de la interfaz interna. Para las conexiones a la interfaz interna, los comandos estático y de conducto se utilizarán juntos para especificar el establecimiento de la sesión.
Sintaxis de configuración del comando de conducto:
permiso de conducto | denegar puerto_ip global[-puerto] protocolo IP_extranjero [máscara de red]
permitir permitir | p>
p>
global_ip se refiere a la dirección IP global previamente definida por el comando global o estático. Si global_ip es 0, use any en lugar de 0; si global_ip es un host, use el parámetro del comando host.
Puerto se refiere al puerto utilizado por el servicio, como www usando 80, smtp usando 25, etc. Podemos especificar el puerto a través del nombre del servicio o el número de puerto.
Protocolo se refiere al protocolo de conexión, como: tcp, udp, icmp, etc.
foreign_ip indica la IP externa que puede acceder a global_ip. Para cualquier host, se puede expresar como cualquiera. Si Foreign_ip es un host, utilice el parámetro de comando host.
Ejemplo 1. pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
Este ejemplo indica que cualquier host externo puede realizar operaciones en el host con el global dirección 192.168.0.8 e al firewall pix
escriba ayuda o '?' para obtener una lista de comandos disponibles
pix525gt en
contraseña:
p>
pix525#sh config
: guardado
:
pix versión 6.0(1) ------ La versión actual del sistema operativo de pix es 6.0
nombre si ethernet0 fuera de seguridad0
nombre si ethernet1 dentro de seguridad100 ------ Muestra que la foto actualmente tiene solo 2 interfaces
habilitar contraseña 7y051hhccoirtsqz cifrada
aprobada 7y051hhccoirtsqz cifrada ------ La contraseña del firewall pix se ha cifrado de forma predeterminada y no se mostrará en texto sin cifrar en el archivo de configuración. La contraseña de telnet predeterminada es cisco
nombre de host pix525 --- --- El nombre de host es pix525
nombre de dominio 123.com ------ Un servidor de nombres de dominio local 123.com, generalmente usado para acceso externo
protocolo de reparación ftp 21
protocolo de reparación munity public ------ Dado que la estación de trabajo snmp no está configurada, no hay una ubicación ni una persona de contacto para la estación de trabajo snmp
no hay trampas de habilitación de servidor SNMP --- --- Enviar trampa SNMP
habilitación de Floodguard ------ Evite que alguien falsifique una gran cantidad de solicitudes de autenticación y use las fotos AAA recursos
sin ruta sysopt dnat
tiempo de espera de telnet 5
tiempo de espera de ssh 5 ------ tiempo de espera para acceder a pix usando ssh
ancho terminal 80
cryptochecksum: a9f03ba4ddb72e1ae6a543292dd4f5e7
pix525#
pix525#write memoria ------ Guardar la configuración
Es necesario explicar el ejemplo de configuración anterior. El firewall pix está directamente relacionado con En la interfaz de Internet, hay más de una docena de IP públicas en el entorno de red. Algunos amigos pueden preguntar qué pasa si mis IP públicas son muy limitadas. Puede agregar un enrutador delante de la imagen o usar globalmente una única dirección IP, que es la misma que la dirección IP de la interfaz externa. También hay varios comandos de mantenimiento que también son útiles: show interface verifica el estado del puerto, show static verifica la asignación de direcciones estáticas, show ip verifica la dirección IP de la interfaz y ping outside | ip_address determina la conectividad.