XXXXXXXXX 学院PIX防火墙实验指导手册
编者:
适用班级:网络班
前言
一、Firewall Overview
防火墙技术分为三种:包过滤防火墙、代理服务器和状态包过滤防火墙;
包过滤防火墙,使用ACL 控制进入或离开网络的流量,ACL 可以根据匹配包的类型或其他参数(如:源IP地址、目的IP 地址、端口号等)来制定;
该类防火墙有以下不足,ACL 制定的维护比较困难;可以使用IP 欺骗很容易的绕过ACL;代理防火墙,也叫做代理服务器。它在OSI 的高层检查数据包,然后和制定的规则相比较,如果数据包的内容符合规则并且被允许,那么代理服务器就代替源主机向目的地址发送请求,从外部主机收到请求后,再转发给被保护的源请求主机。
代理防火墙的主要缺点就是性能问题,由于代理防火墙会对每个经过它的包都会深度检查,即使这个包以前检查过,所以说对系统和网络的性能都有很大的影响。
状态包过滤防火墙,Cisco ASA 就是使用状态包过滤的防火墙,该防火墙会维护每个会话的状态信息,这些状态信息写在状态表里,状态表的条目有:源地址、目的地址、端口号、TCP 序列号信息以及每个TCP 或UDP 的额外的标签信息。所有进入或外出的流量都会和状态表中的连接状态进行比较,只有状态表中的条目匹配的时候才允许流量通过。
防火墙收到一个流量后,首先查看是否已经存在于连接表中,如果没有存在,则看这个连接是否符合安全策略,如果符合,则处理后将该连接写入状态表;如果不符合安全策略,那么就将包丢弃。
状态表,也叫Fast Path,防火墙只处理第一个包,后续的属于该连接的包都会直接按照Fast Path 转发,因此性能就有很高的提升。
因此本实验手册实验内容主要是学习PIX防火墙的相关配置实验。
为有效的利用实验设备,让学生参与实验全过程,本实验手册的实验将由GNS3和虚拟机配合完成。实验中所采用的软件版本不是最新版,并且每个实验均还有很多的后续实验内容,希望同学们能够在现有实验的基础上进一步深入学习。
目录
实验一:GNS3工具的熟悉及掌握 (4)
实验二:基本设置:配置pix接口ip、连通性。 (7)
实验三:PIX的基本使用 (12)
实验四:telnet到PIX防火墙 (15)
实验五:保存基本配置到tftp服务器 (18)
实验六:ICMP (20)
实验七:配置PIX防火墙为DHCP服务器、DHCP中继 (22)
实验八:命令授权 (24)
实验九:防火墙透明模式 (28)
实验十:基本Failover (30)
实验十一:远程访问VPN (32)
实验十二:PPPoE (36)
实验十三:OSPF路由协议 (40)
实验十四:综合实验----防火墙篇 (44)
实验一:GNS3工具的熟悉及掌握
GNS3是一种可以仿真复杂网络的图形化网络模拟器。你可能熟悉用来仿真不同操作系统的VMware或Virtual PC等软件。利用这些软件,可以在自己计算机的虚拟环境中运行诸如Windows XP专业版、Ubuntu Linux等操作系统。GNS3允许在计算机中运行Cisco的IOS(Internet Operating Systems)。GNS3其实是Dynagen 的图形化前端环境工具软件,而Dynamips是仿真IOS的核心程序。Dynagen运行在Dynamips之上,目的是提供更友好的、基于文本的用户界面。用户利用Dynagen 可以创建类似于Windows的ini类型文件所描述的网络拓扑,GNS3是这一步工作的图形化
GNS3允许在Windows、Linux系统上仿真IOSs,其支持的路由器平台、防火墙平台(PIX)的类型非常丰富。通过在路由器插槽中配置上EtherSwitch卡,也可以仿真该卡所支持的交换机平台。因此,GNS3是一种用于准备CCNA、CCNP
证书考试的无与伦比的优秀实验工具。当前市面上有不同类型的多种路由器模拟器,但他们支持的路由器命令较少,在进行相关实验时常常发现这些模拟器不支持某些命令或参数。用户使用这些模拟器通常只能看到所模拟路由器的输出结果。在GNS3中,所运行的是实际的IOS,能够使用IOS所支持的所有命令和参数。另外,GNS3是一种开源软件,不同付费就可使用。但是,Cisco的IOS的使用需要符合Cisco的版权规定,因此,GNS3安装程序中不包含IOS映像文件,这需要你自己想办法获取。如,你可以将某Cisco路由器的IOS映像通过TFTP导出。
GNS3主要由Jeremy Grossman开发,其他的开发人员包括David Ruiz,Romain Lamaison, Aurelien Levesque和Xavier Alt。Dynamips由Christophe Fillot开发。Dynagen的主要开发人是Greg Anuzelli。另外,有许许多多的人在上述软件系统的开发过程中提供了不同形式的帮助。
一、实验目的
1.熟悉GNS3工具界面;
2.掌握GNS3的操作方式;
3.掌握GNS3的各操作选项;
二、实验环境
1.Windows XP 操作系统
2.Windows XP 虚拟机
3.GNS3-0.7.2-win32-all-in-one.exe
三、实验任务
1.安装GNS3;
2.启动并认识GNS3;
3.用GNS3完成各种网络拓扑;
4.运行并分析各种网络实验;
四、实验原理及步骤
一)在XP系统上安装GNS3工具
1.双击所下载的GNS3-0.5-win32-all-in-one.exe开始安装GNS3,点击Next 按钮,并选择“I Agree”按钮以继续安装。允许GNS3创建Start菜单文件夹,点击Next按钮。
GNS3需要其他软件的支持以正常运行,包括WinPCAP,Dynamips和Pemuwrapper。默认情况下,这些软件将被选中,因此,点击Next继续安装。如上图所示。
选择GNS3的安装路径后点击Install按钮,开始实际的安装过程。
GNS3所需的第一个支持环境是WinPcap,选择Next按钮开始WinPcap的安装过程,如下图所示。如果计算机用已经安装有某个版本的WinPcap,安装程序将提醒你是否需要移除原来已经安装的WinPcap。如下图所示。
安装完WinPcap后,安装程序继续安装GNS3。GNS3安装结束后,可以通过开始菜单启动GNS3。第一次启动GNS3后,首先需要做的工作是配置IOS映像。(详见GNS3配置手册)
实验二:基本设置:配置pix接口ip、连通性。
一.实验目的:
1. 掌握手工对PIX防火墙进行初始配置的步骤和方法
二.实验要点:
1. 通过运行GNS3中,利用超级终端软件对PIX防火墙进行手工初始配置。
三.实验设备:
1. GNS3工具,路由器Cisco 3600三台,Cisco PIX804 一台
2. Real PC 一台,虚拟机一台
四、实验环境
说明:PIX防火墙采用804版本IOS,接口、ip设置如图所示。实验采用PIX804模拟器,LAN、DMZ、WAN 分别为三台3600 路由器,其中路由器LAN 和本机(真实PC)连到一起,路由器WAN 和虚拟机连到一起。
五.实验步骤:
1.查看防火墙功能和许可证
防火墙出厂的时候自带有一些基本的功能,如果需要增加一些额外的功能,那么就需要购买许可证(license)激活 key。可以使用 show vsersion 命令查看目前防火墙所拥有的功能的列表:
pixfirewall# show version
……
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Disabled
VPN-DES : Disabled
VPN-3DES-AES : Disabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 0
GTP/GPRS : Disabled
VPN Peers : Unlimited
This platform has a Restricted (R) license.
……
从上图中可以看出,该防火墙运行的许可证类型为限制版。防火墙的许可证类型有:
?Unrestricted (UR)——无限制的许可证使得该防火墙所能支持的所有特性全部打开,比如:无限制的活动连接数、打开防火墙支持的所有的接口、支持 Failover 等;
?Restricted (R)——限制版,限制防火墙开启的特性,比如限制活动连接数、使防火墙不支持 Failover、限制防火墙支持的最大接口数等;
?Failover (FO)——该版本使得防火墙可以作为 Secondary 设备参与 Failover;
?Failover-Active/Active (FO-AA)——该版本使得防火墙可以作为Secondary 设备参与 active/activeFailover,同时,还要求另一个防火墙使用 UR 版;
2.配置防火墙
pixfirewall> en
Password:
pixfirewall# write erase/清除防火墙上的配置
Erase configuration in flash memory? [confirm]
[OK]/重启防火墙
pixfirewall> en
Password:
pixfirewall# conf t
pixfirewall(config)# hostname PIX
PIX(config)# interface e0
PIX(config-if)# nameif outside//将E0口配置为外口
INFO: Security level for "outside" set to 0 by default.
PIX(config-if)# security-level 0//将E0口安全级别设置为0
PIX(config-if)# ip address 220.171.1.2 255.255.255.0
PIX(config-if)#no shutdown
PIX(config-if)# exit
PIX(config)# interface e1
PIX(config-if)# nameif inside//将E1口配置为内口
INFO: Security level for "inside" set to 100 by default.
PIX(config-if)# security-level 100//将E1口安全级别设置为100
PIX(config-if)# ip address 10.0.1.1 255.255.255.0
PIX(config-if)#no shutdown
PIX(config-if)# exit
PIX(config)# interface e2
PIX(config-if)# nameif dmz//将E2口配置为DMZ
INFO: Security level for "dmz" set to 0 by default.
PIX(config-if)# security-level 50//将E2口安全级别设置为50
PIX(config-if)# ip address 172.16.1.1 255.255.255.0
PIX(config-if)#no shutdown
PIX(config-if)# exit
pixfirewall(config)# show nameif
Interface Name Security
Ethernet0 outside 0
Ethernet1 inside 100
Ethernet2 dmz 50
PIX(config)# show interface/pix 防火墙outside、inside、dmz已开启,ip 地址也已配置,与对端协商为全双工,带宽100Mbps
Interface Ethernet0 "outside", is administratively down, line protocol is up
Hardware is i82559, BW 100 Mbps, DLY 100 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 0000.abf0.1e00, MTU 1500
IP address 220.171.1.2, subnet mask 255.255.255.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max packets): hardware (0/0) software (0/0)
output queue (curr/max packets): hardware (1/0) software (0/0)
Interface Ethernet1 "inside", is administratively down, line protocol is up
Hardware is i82559, BW 100 Mbps, DLY 100 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 0000.abf2.d101, MTU 1500
IP address 10.0.1.1, subnet mask 255.255.255.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max packets): hardware (0/0) software (0/0)
output queue (curr/max packets): hardware (1/0) software (0/0)
Interface Ethernet2 "dmz", is administratively down, line protocol is up
Hardware is i82559, BW 100 Mbps, DLY 100 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 0000.ab4b.ae02, MTU 1500
IP address 172.16.1.1, subnet mask 255.255.255.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max packets): hardware (0/0) software (0/0)
output queue (curr/max packets): hardware (1/0) software (0/0)
PIX (config)# ping 10.0.1.2 /测试到LAN路由器接口的连通性
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/10/10 ms
PIX (config)# ping 172.16.1.2/测试到DMZ 路由器接口的连通性
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/14/30 ms
PIX (config)# ping 220.171.1.1/测试到WAN路由器接口的连通性
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 220.171.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/14/30 ms
PIX(config)#
PIX(config)# show running-config/查看内存中的配置文件,同write terminal PIX(config)# show startup-config/查看闪存中的配置文件
PIX(config)# show memory /查看内存使用
PIX(config)# show version/查看设备、授权、版本等等
PIX(config)# show history/查看历史输入命令
PIX(config)# show ip address/查看接口ip 地址
PIX(config)# show interface/查看接口信息
PIX(config)#show logging /查看日志
PIX(config)# show cpu usage/查看cpu占用
PIX(config)# show clock/查看设备时钟
PIX(config)#show conn/查看当前处于活跃的连接
PIX(config)# write erase/清除闪存中配置文件
PIX(config)# write memory/保存内存中的配置文件到闪存中
PIX(config)# write net/把当前内存中的配置文件copy到tftp服务器上PIX(config)# configure net/把tftp 服务器上的配置文件copy 到内存中PIX(config)# names/启用命名功能
PIX(config)# name/给某个ip和字符建立对应,必须先启用names
PIX(config)# reload/重启设备
实验三:PIX的基本使用
一.实验目的:
1. 掌握常用PIX防火墙的高级配置命令的用法。
2. 设置内部网络inside到外部网络outside的访问
二.实验要点:
1.通过使用GNS3,练习常用PIX防火期的高级配置命令的用法。
2.利用Telnet实用程序对外部路由器配置文件进行管理。
三.实验设备:
1. GNS3工具,路由器Cisco 3600二台,Cisco PIX804 一台
2. Real PC 一台,虚拟机一台
四、实验环境
需求
完成网络中设备的基本配置,测试网络的连通性,并且完成用PC远程配置WAN路由器。
五.实验步骤:
配置
pixfirewall> en
Password:
pixfirewall# write erase/清除防火墙上的配置
Erase configuration in flash memory? [confirm]
[OK]/重启防火墙
pixfirewall> en
Password:
pixfirewall# conf t
pixfirewall(config)# hostname PIX
PIX(config)# interface e0
PIX(config-if)# nameif outside//将E0口配置为外口
INFO: Security level for "outside" set to 0 by default.
PIX(config-if)# security-level 0//将E0口安全级别设置为0
PIX(config-if)# ip address 220.171.1.2 255.255.255.0
PIX(config-if)#no shutdown
PIX(config-if)# exit
PIX(config)# interface e1
PIX(config-if)# nameif inside//将E1口配置为内口
INFO: Security level for "inside" set to 100 by default.
PIX(config-if)# security-level 100//将E1口安全级别设置为100
PIX(config-if)# ip address 10.0.1.1 255.255.255.0
PIX(config-if)#no shutdown
PIX(config-if)# exit
PIX(config)# interface e2
PIX(config-if)# nameif dmz//将E2口配置为DMZ
INFO: Security level for "dmz" set to 0 by default.
PIX(config-if)# security-level 50//将E2口安全级别设置为50
PIX(config-if)# ip address 172.16.1.1 255.255.255.0
PIX(config-if)#no shutdown
PIX(config-if)# exit
如果PIX 不做设置,则从LAN 到WAN 的流量是无法出去的。
例如:LAN路由器telnet WAN路由器(WAN路由器的telnet已启用)
配置前测试:
LAN#telnet 220.171.1.1
Trying 220.171.1.1 ...
% Connection timed out; remote host not responding
LAN#
PIX(config)# nat (inside) 1 0 0/内部流量过滤,允许内部任何流量(注:ICMP 包可出但不可回)
PIX(config)# global (outside) 1 interface/使用outside接口ip实现端口地址转换outside interface address added to PAT pool
PIX(config)#
说明:由inside 发出的数据包,标签nat1,到外部时源地址会被outside 接口地址替换。由内向外的ping包,源地址也会被替换,但ping包默认可出,但返回时被outside接口阻挡。此实验如果扩展开来,pix还得配置到外部的路由。
扩展实验:由内部inside到外部outside特定ip 流量的实验
PIX(config)# clear nat counters/清除以前nat配置和global配置
PIX(config)# nat (inside) 1 10.0.2.0 255.255.255.0/只允许内部pc的10.0.2.0/24网络流量
PIX(config)# global (outside) 1 220.171.1.3-220.171.1.4 netmask 255.255.255.0/使用地址池或PAT
PIX(config)# route inside 10.0.2.0 255.255.255.0 10.0.1.2/实现到内部网络的路由,下一跳10.0.1.2,否则pix不知如何返回数据包
实验结果:
LAN#telnet 220.171.1.1
Trying 220.171.1.1 ...
% Connection timed out; remote host not responding
LAN#
Lan(10.0.1.2/24)被拒绝
C:\>telnet 220.171.1.1/使用真实电脑(10.0.2.2/24)成功
pix防火墙对于内部到外部的流量默认不能做ping,做其它服务必须使用NAT功能,对到未知网络还需配置路由。而且pix防火墙可以通过由内部向外发出的返回数据包,而且默认拒绝由外部向内部发出的主动连接数据包。为了防止前次的实验干扰,在实验之前建议使用clear xlate来清除pix的内存连接
实验四:telnet到PIX防火墙
一.实验目的:
1. 掌握常用telnet到PIX防火墙的高级配置命令的用法。
二.实验要点:
1.通过使用GNS3,练习常用PIX防火墙的高级配置命令的用法。
2.利用Telnet实用程序对PIX防火期配置文件进行管理。
三.实验设备:
1. GNS3工具,路由器Cisco 3600三台,Cisco PIX804 一台
2. Real PC 一台,虚拟机一台
四、实验环境
需求
防火墙可以通过console线、telnet、ssh、asdm来管理,请分别实现各种方式的配置。配置
Console:
console timeout 0//设置通过Console线访问防火墙时的超时时间,0为永不超时
enable password cisco//设置进入特权模式时的特权密码
telnet:
passwd 123qwe!//配置telnet/ssh登录密码
enable password cisco//配置特权密码
telnet timeout 15//设置telnet登陆超时时间为15分钟
telnet 192.168.1.100 255.255.255.255 inside//设置只有inside区域中的192.168.1.100客户端才可以进行telnet登陆
ssh:
hostname mypix//设置pix主机名
domain-name https://www.doczj.com/doc/5710063238.html,//设置域名为https://www.doczj.com/doc/5710063238.html,
crypto key generate rsa//由rsa算法产生一对密钥,用于ssh加密
passwd 123qwe!//设置ssh,telnet登陆密码,当ssh时,用户名为pix
enable password cisco//配置特权密码
ssh timeout 5//设置ssh空闲超时时间为5分钟
ssh 192.168.1.100 255.255.255.255 inside//设置192.168.1.100可以在inside区域进行ssh登陆
五.实验步骤:
PIX(config)# clear nat counters
PIX(config)# clear route/清除全部手动输入的路由表,不能清除直连路由PIX(config)# passwd cisco /给pix设置telnet密码,可以使用encrypted参数,密码必须16位。
PIX(config)# route inside 10.0.0.0 255.0.0.0 10.0.1.2
PIX(config)# telnet 10.0.2.2 255.255.255.255 inside /设置内部网络的一个ip或网络可以telet
PIX(config)# telnet timeout 15/telnet空闲会话超过15分钟则关闭会话,默认缺省值5分钟
PIX(config)# banner motd this is my PIX /设置motd banner显示
实验结果:
C:\>telnet 10.0.1.1/使用真实电脑(10.0.2.2/24)成功
PIX(config)# who/查看那个ip正在连接pix控制台
0: 10.0.2.2
PIX(config)# kill 0 /kill掉连接到pix控制台的会话
pix 内部接口可以实现telnet 连接,默认不能外部接口telnet 连接PIX。如果想从外部网络telnet 到pix的外部接口,方法如下:
PIX(config)#nameif e0 out security5 /必须把outside名改为其他名,安全级别在
5以上
实验五:保存基本配置到tftp服务器
一.实验目的:
1. 掌握通过tftp服务器保存基本配置。
二.实验要点:
1.通过使用GNS3,练习常用PIX防火墙的高级配置命令的用法。
2.利用tftp服务器通过PIX防火期将配置文件保存到PC机上。三.实验设备:
1. GNS3工具,路由器Cisco 3600一台,Cisco PIX804 一台
2. Real PC 一台,3CDaemon软件工具
四、实验环境
3CDaemon 是一款集成TFTP server、FTPserver、Syslog server、FTP client为一体的工具软件。安装后运行在内部网络的本机上,管理目录为c:\123
五.实验步骤:
PIX基本配置:
pixfirewall> en
Password:
pixfirewall# conf t
pixfirewall(config)# hostname PIX
PIX(config)# interface e0
PIX(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
PIX(config-if)# ip address 220.171.1.2 255.255.255.0
PIX(config-if)#no shutdown
PIX(config-if)# exit
PIX(config)# interface e1
PIX(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
PIX(config-if)# ip address 10.0.1.1 255.255.255.0
PIX(config-if)#no shutdown
PIX(config-if)# exit
PIX(config)# interface e2
PIX(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default.
PIX(config-if)# security-level 50
PIX(config-if)# ip address 172.16.1.1 255.255.255.0
PIX(config-if)#no shutdown
PIX(config-if)# exit
PIX(config)# names /命名
PIX(config)# name 220.171.1.1 wan
PIX(config)# name 10.0.1.2 lan
PIX(config)# name 172.16.1.2 dmz
PIX(config)# route inside 10.0.0.0 255.0.0.0 10.0.1.2
PIX(config)# route outside 0 0 220.171.1.1
PIX(config)# logging on /启用日志功能
PIX(config)# logging host inside 10.0.2.2 /指定syslog服务器地址10.0.2.2
PIX(config)# logging trap debugging /指定陷阱为debugging
PIX(config)# tftp-server inside 10.0.2.2 pix /指定内部tftp服务器10.0.2.2地址,存放目录为pix
PIX(config)# write net :pix1 /保存内存配置到tftp服务器的pix目录下,文件名为pix1 Building configuration...
Cryptochecksum: 1c69ee49 85b9a073 da2714de 2a0226b9
!
[OK]
实验六:ICMP
一.实验目的
1. 掌握理解ICMP原理
2. 完成ICMP的流量控制。
二.实验要点
1.掌握PIX防火墙针对控制对pix接口的icmp流量。
2.icmp 穿越pix实验,由外到内和又内到外。
三.实验设备
1. GNS3工具,路由器Cisco 3600二台
2. Cisco PIX804 一台,Real PC 二台
四、实验环境
默认情况下pix的接口默认可以被网络ping通的。但对于穿越pix的icmp的流量可以通过nat 加ACL来控制,对于接口的icmp流量通过icmp命令来控制。
五. 实验步骤
1;本次实验不是针对穿越pix的icmp 的流量,而是针对控制对pix接口的icmp流量。
PIX(config)# icmp deny 0 0 outside 或则icmp deny any outsie
PIX(config)# icmp deny 0 0 inside /外部主机、内部主机都不能ping通pix,pix也ping 它们
寿命
或:
PIX(config)# icmp deny 0 0 echo inside /阻止内部主机发出的echo包
PIX(config)# icmp deny 0 0 echo outside /阻止外部主机发出的echo包