实验四 防火墙基本配置实验
- 格式:doc
- 大小:164.00 KB
- 文档页数:8
防火墙配置实验报告防火墙配置实验报告概述:防火墙是网络安全的重要组成部分,它可以帮助我们保护网络免受未经授权的访问和恶意攻击。
本实验旨在通过配置防火墙来加强网络的安全性,并测试其效果。
实验目标:1. 理解防火墙的基本概念和原理;2. 学习如何使用防火墙配置实现网络安全;3. 测试和评估防火墙的效果。
实验环境:本实验使用了一台运行Windows操作系统的计算机,并安装了一款功能强大的防火墙软件。
实验步骤:1. 防火墙配置前的准备工作在开始配置防火墙之前,我们需要了解一些网络的基本知识,包括IP地址、端口号、协议等。
这些知识将帮助我们更好地理解和配置防火墙。
2. 防火墙的安装和配置首先,我们需要下载并安装一款可靠的防火墙软件。
在安装完成后,我们需要对防火墙进行一些基本的配置,包括启用防火墙、设置默认策略等。
此外,我们还可以根据需要添加自定义规则,以实现更精细的访问控制。
3. 防火墙规则的配置防火墙规则是防火墙的核心组成部分,它决定了哪些流量可以通过防火墙,哪些流量需要被阻止。
在配置规则时,我们可以根据需要设置源IP地址、目标IP地址、端口号、协议等条件。
此外,我们还可以设置规则的动作,如允许、拒绝或丢弃。
4. 防火墙的测试和评估防火墙配置完成后,我们需要对其进行测试和评估。
我们可以使用一些网络工具和技术,如端口扫描、漏洞扫描等,来测试防火墙的效果。
同时,我们还可以通过监控日志和统计数据来评估防火墙的性能和可靠性。
实验结果:经过实验,我们成功地配置了防火墙,并测试了其效果。
防火墙能够有效地过滤和阻止未经授权的访问和恶意攻击,提高了网络的安全性。
同时,防火墙还能够帮助我们实现网络流量的控制和管理,提高网络的性能和可靠性。
结论:通过本次实验,我们深入了解了防火墙的基本原理和配置方法,并通过实际操作和测试验证了其效果。
防火墙是网络安全的重要手段之一,它能够帮助我们保护网络免受未经授权的访问和恶意攻击。
在今后的网络安全工作中,我们应该继续加强对防火墙的学习和应用,以确保网络的安全和稳定。
防火墙配置的实验报告防火墙配置的实验报告一、引言随着互联网的飞速发展,网络安全问题日益突出。
为了保障网络的安全性,防火墙作为一种重要的网络安全设备被广泛应用。
本实验旨在通过配置防火墙,探索其在网络安全中的作用和效果。
二、实验目的1. 了解防火墙的基本原理和工作机制;2. 学习防火墙的配置方法和技巧;3. 掌握防火墙的常见功能和策略。
三、实验环境1. 操作系统:Windows 10;2. 软件:VirtualBox虚拟机、Wireshark网络抓包工具;3. 网络拓扑:本地主机与虚拟机之间的局域网。
四、实验步骤1. 配置虚拟网络环境:在VirtualBox中创建两个虚拟机,分别作为内网主机和外网主机;2. 安装防火墙软件:在内网主机上安装并配置防火墙软件,如iptables;3. 配置防火墙规则:根据实际需求,设置防火墙的入站和出站规则;4. 测试防火墙效果:利用Wireshark工具进行网络抓包,观察防火墙对数据包的处理情况;5. 优化防火墙配置:根据实验结果,对防火墙规则进行调整和优化。
五、实验结果与分析通过实验,我们成功配置了防火墙,并设置了一些基本的规则。
在测试阶段,我们发现防火墙能够有效地过滤和阻止非法的网络连接请求,保护内网主机的安全。
同时,防火墙还能对数据包进行检测和修正,提高网络传输的可靠性和稳定性。
然而,在实验过程中我们也遇到了一些问题。
例如,由于防火墙的设置过于严格,导致某些合法的网络连接被误判为非法请求,造成了一定的影响。
因此,在优化防火墙配置时,我们需要根据实际情况进行细致的调整,以兼顾网络安全和正常通信的需要。
六、实验总结通过本次实验,我们深入了解了防火墙的配置和使用。
防火墙作为一种重要的网络安全设备,能够有效地保护网络免受攻击和入侵。
然而,防火墙的配置并非一蹴而就,需要根据实际需求进行不断优化和调整。
在今后的网络安全工作中,我们将进一步学习和探索防火墙的高级功能和策略,提升网络安全防护能力。
防火墙设置实验报告一、实验目的本实验旨在通过设置防火墙,了解防火墙的基本概念、原理和常见设置方法,以及掌握如何使用防火墙保护计算机网络安全。
二、实验环境1. 操作系统:Windows 102. 防火墙软件:Windows Defender Firewall3. 实验工具:Ping命令、Telnet命令、nmap扫描器三、实验步骤1. 打开Windows Defender Firewall在Windows 10中,可以通过控制面板或者设置应用程序打开Windows Defender Firewall。
在控制面板中,选择“系统和安全”-“Windows Defender Firewall”;在设置应用程序中,选择“更新和安全”-“Windows 安全中心”-“防火墙和网络保护”。
2. 配置入站规则入站规则是指限制从外部网络访问本地计算机的规则。
可以通过以下步骤配置入站规则:(1)选择“高级设置”-“入站规则”,点击“新建规则”。
(2)根据需要选择不同类型的规则。
例如,如果只允许特定IP地址访问计算机,则可以选择“自定义”类型。
(3)根据需要配置规则属性,例如名称、描述、协议等。
(4)配置允许或拒绝连接的条件。
例如,可以配置只允许特定端口的连接。
(5)配置规则的操作。
例如,可以配置允许或拒绝连接、记录日志等操作。
3. 配置出站规则出站规则是指限制从本地计算机访问外部网络的规则。
可以通过以下步骤配置出站规则:(1)选择“高级设置”-“出站规则”,点击“新建规则”。
(2)根据需要选择不同类型的规则。
例如,如果只允许特定IP地址访问计算机,则可以选择“自定义”类型。
(3)根据需要配置规则属性,例如名称、描述、协议等。
(4)配置允许或拒绝连接的条件。
例如,可以配置只允许特定端口的连接。
(5)配置规则的操作。
例如,可以配置允许或拒绝连接、记录日志等操作。
4. 测试防火墙设置为了测试防火墙设置是否有效,可以使用Ping命令、Telnet命令或nmap扫描器进行测试。
实验四软件防火墙的配置和使用一、试验目的:学习使用Windows ICF和linux iptables为代表的软件防火墙使用。
二、试验内容:通过使用Windows ICF和linux iptables,配置试验环境,观看试验结果并进行分析,理解防火墙对网络安全的重要作用。
三、试验环境:(1)已安装RED Hat Linux的服务器虚拟机。
(2)至少两台Windows2003或者xp的客户机和服务器虚拟机。
四、实验步骤:1、在windows 2003中使用组策略组建防火墙(1)预防远程入侵连接。
a、点击“开始”-“运行”-输入“gpedit.msc”。
单击“确定”。
如图所示:b、展开“本地计算机”-“用户配置”-“管理模板”-“网络”-“网络连接”。
在“网络连接”分支选项中,找到“删除所有用户远程访问连接”,单击“已启用”,然后单击“确定”按钮。
如图所示:(2)为资源访问设立关卡a、在打开的本地系统的组策略编辑窗口中,选择“计算机配置”-“windows设置”-“安全设置”-“本地策略”-“用户权利指派”,在“用户权利指派”的右侧显示区域中,双击“拒绝从网络访问这台计算机”。
如图所示:b、单击“添加用户或组”按钮,将“Guest”账户添加到对话框中,然后单击“确定”。
这样的目的就是,以后任何一个来宾用户都无法直接访问到本地工作站的共享资源了。
如图所示:(3)预防暴力破解密码a、在本地组策略中,单击“本地计算机策略”-“计算机配置”-“windows 配置”-“安全设置”-“本地策略”-“安全选项”,在“安全选项”中的右侧窗格中,找到“网络访问:不允许SAM账户和共享的匿名枚举”。
如图所示:b、单击“已启用”,然后单击“确定”。
这样的话,本地工作站的共享资源访问密码就不大容易被暴力破解了。
如图所示:(4)限制运行特定程序a、在本地组策略中,单击“计算机配置”-“windows设置”-“安全设置”-“软件限制策略”-“其他规则”选项。
实验四防火墙的使用与安全配置【实验目的】1.掌握防火墙IP规则设置原理和方法;2.掌握防火墙应用程序规则设置原理和方法。
【实验内容】1.了解个人防火墙的基本工作原理2.安装和运行天网防火墙3.设置和使用天网防火墙【预备知识】(一)防火墙简介防火墙是一类防范措施的总称,它使得内部网络与Internet 之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。
防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。
设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有:(1)过滤掉不安全服务和非法用户(2)控制对特殊站点的访问(3)提供监视Internet 安全和预警的方便端点(二)个人防火墙简介目前,互联网上的受攻击案件数量直线上升,用户随时都可能遭到各种恶意攻击,造成用户的上网账号被窃取、冒用、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密档案丢失、隐私曝光等等,甚至黑客(Hacker)通过远程控制删除了用户硬盘上所有的资料数据,整个计算机系统架构全面崩溃。
为了抵御黑客的攻击,建议互联网用户计算机上安装一套个人防火墙软件,以拦截一些来历不明、有害敌意访问或攻击行为。
个人防火墙把用户的计算机和公共网络(如互联网)分隔开,它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行,是保护个人计算机接入互联网的安全有效措施。
常见的个人防火墙有:天网防火墙个人版、瑞星个人防火墙、费尔个人防火墙、江民黑客防火墙和金山网镖等。
(三)天网防火墙个人版天网防火墙个人版SkyNet FireWall(简称天网防火墙)是由天网安全实验室研发制作给个人计算机使用的网络安全程序工具。
天网防火墙根据系统管理者设定的安全规则(Security Rules)守护网络,提供强大的访问控制、身份认证、信息过滤功能,可以抵挡网络攻击和入侵,防止信息泄露。
防火墙实验实验报告1:防火墙基本配置和过滤规则实验实验目的:了解防火墙的基本配置和过滤规则的设置,掌握防火墙的基本工作原理和功能。
实验材料和设备:一台计算机作为实验主机一台路由器作为网络连接设备一台防火墙设备实验步骤:搭建网络拓扑:将实验主机、路由器和防火墙按照正确的网络连接方式进行连接。
配置防火墙设备:进入防火墙设备的管理界面,进行基本设置和网络配置。
包括设置管理员账号和密码,配置内外网接口的IP地址和子网掩码,配置默认网关和DNS服务器地址。
配置防火墙策略:根据实际需求,配置防火墙的入站和出站规则。
可以设置允许或拒绝特定IP地址、端口或协议的流量通过防火墙。
启用防火墙并测试:保存配置并启用防火墙,然后通过实验主机进行网络连接和通信测试,观察防火墙是否按照预期进行流量过滤和管理。
实验结果和分析:通过正确配置和启用防火墙,实验主机的网络连接和通信应该受到防火墙的限制和管理。
只有符合防火墙策略的网络流量才能通过,不符合策略的流量将被防火墙拦截或丢弃。
通过观察实验主机的网络连接和通信情况,可以评估防火墙的工作效果和安全性能。
实验总结:本次实验通过配置防火墙的基本设置和过滤规则,掌握了防火墙的基本工作原理和功能。
实验结果表明,正确配置和启用防火墙可以提高网络的安全性和稳定性。
实验报告2:防火墙日志分析实验实验目的:了解防火墙日志的产生和分析方法,掌握通过分析防火墙日志来识别潜在的安全威胁和攻击。
实验材料和设备:一台计算机作为实验主机一台路由器作为网络连接设备一台防火墙设备实验步骤:搭建网络拓扑:将实验主机、路由器和防火墙按照正确的网络连接方式进行连接。
配置防火墙设备:进入防火墙设备的管理界面,进行基本设置和网络配置。
包括设置管理员账号和密码,配置内外接口的IP地址和子网掩码,配置默认网关和DNS服务器地址。
配置防火墙日志:在防火墙设备中启用日志记录功能,并设置日志记录级别和存储位置。
进行网络活动:通过实验主机进行各种网络活动,包括浏览网页、发送邮件、进行文件传输等。
实验四防火墙技术实验4-1 防火墙实验一实验目的通过实验深入理解防火墙的功能和工作原理,熟悉天网防火墙个人版的配置和使用。
二实验环境实验室所有机器安装了Windows X P 操作系统,组成了局域网,并安装了天网防火墙。
三实验原理防火墙的工作原理:防火墙能增强机构内部网络的安全性。
防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。
防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。
两种防火墙技术的对比包过滤防火墙:将防火墙放置于内外网络的边界;价格较低,性能开销小,处理速度较快;定义复杂,容易出现因配置不当带来问题,允许数据包直接通过,容易造成数据驱动式攻击的潜在危险。
应用级网关:内置了专门为了提高安全性而编制的Proxy应用程序,能够透彻地理解相关服务的命令,对来往的数据包进行安全化处理,速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用。
防火墙体系结构屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与 Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为 Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
双重宿主主机体系结构:围绕双重宿主主机构筑。
双重宿主主机至少有两个网络接口。
这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。
但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。
被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。
被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。
一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。
一、实训目的本次实训旨在使学生掌握企业防火墙的基本配置与调试方法,熟悉防火墙在企业网络安全中的重要作用,提高学生在实际工作中解决网络问题的能力。
二、实训环境1. 软件环境:使用华为防火墙设备,模拟企业网络环境。
2. 硬件环境:两台服务器、两台路由器、一台防火墙、若干交换机、若干PC。
三、实训内容1. 防火墙基本配置2. 防火墙安全策略配置3. 防火墙NAT配置4. 防火墙VPN配置5. 防火墙故障排除四、实训步骤1. 防火墙基本配置(1)登录防火墙设备,进入系统视图。
(2)配置设备名称、设备时间、设备密码等信息。
(3)配置接口IP地址,确保设备与其他设备互联互通。
(4)配置VLAN,实现网络隔离。
2. 防火墙安全策略配置(1)创建安全区域,如内部网络、DMZ区、外部网络等。
(2)配置访问控制策略,如允许、拒绝、告警等。
(3)配置入侵检测、防病毒、防木马等安全功能。
3. 防火墙NAT配置(1)配置内部网络IP地址池,为内部设备分配公网IP地址。
(2)配置NAT转换规则,实现内部设备访问外部网络。
(3)配置静态NAT,将特定内部设备映射到公网IP地址。
4. 防火墙VPN配置(1)配置VPN设备,建立VPN隧道。
(2)配置VPN用户,为用户分配VPN访问权限。
(3)配置VPN策略,实现安全访问远程网络。
5. 防火墙故障排除(1)检查设备配置,确保配置正确。
(2)检查网络连通性,排除网络故障。
(3)检查防火墙日志,定位故障原因。
五、实训结果1. 成功配置防火墙基本功能,实现网络隔离、安全防护。
2. 配置防火墙安全策略,有效控制网络访问。
3. 实现NAT转换,使内部设备访问外部网络。
4. 建立VPN隧道,实现远程访问。
5. 排除防火墙故障,确保网络稳定运行。
六、实训心得通过本次实训,我对企业防火墙的配置与调试有了更深入的了解。
以下是我的一些心得体会:1. 防火墙在企业网络安全中具有重要作用,可以有效防止网络攻击、病毒入侵等安全风险。
防火墙配置的实验报告
《防火墙配置的实验报告》
实验目的:通过实验,掌握防火墙的基本配置方法,了解防火墙的作用和原理,提高网络安全意识。
实验内容:
1. 防火墙的基本概念
防火墙是一种网络安全设备,用于监控和控制网络流量,以保护网络免受未经
授权的访问和攻击。
防火墙可以根据预设的规则过滤网络数据包,阻止潜在的
威胁和攻击。
2. 防火墙的配置方法
在实验中,我们使用了一台虚拟机来模拟网络环境,通过配置防火墙软件来实
现对网络流量的监控和控制。
首先,我们需要了解防火墙软件的基本功能和配
置界面,然后根据网络安全需求设置相应的规则和策略,最后测试配置的有效性。
3. 防火墙的作用和原理
防火墙可以通过不同的方式来实现对网络流量的控制,包括基于端口、IP地址、协议和应用程序的过滤规则。
其原理是通过检查网络数据包的源地址、目的地址、端口等信息,判断是否符合预设的规则,然后决定是否允许通过或阻止。
实验结果:
经过实验,我们成功配置了防火墙软件,并设置了一些基本的过滤规则,包括
禁止某些端口的访问、限制特定IP地址的访问等。
在测试阶段,我们发现配置
的规则能够有效地过滤网络流量,达到了预期的安全效果。
结论:
通过本次实验,我们深入了解了防火墙的基本概念、配置方法和作用原理,提高了网络安全意识和技能。
防火墙在网络安全中起着至关重要的作用,能够有效地保护网络免受未经授权的访问和攻击,是网络安全的重要组成部分。
我们将继续学习和实践,不断提升网络安全防护能力。
实验四防火墙基本配置实验【实验目的】1.了解防火墙的基本原理;2.掌握防火墙的基本配置方法。
【实验环境】1.实验3-4人一组。
2.Cisco PIX防火墙一台。
3.PC机4台,其中一台PC机上安装FTP服务器端软件,并连接在内部网络。
4.RJ-45连接电缆若干。
5.Console配置线一根。
【实验内容】1.按图1-1搭建本地配置环境通过PC机用Console配置线连接到防火墙Console口对防火墙进行配置。
2.按图1-2拓扑结构组网。
3.配置要求:(如有已保存的配置,先使用write erase清除闪存中的配置信息)(1)所有的口令都设置为“cisco”(实际上,除了“cisco”之外,你可设置为任意的口令,但实验中统一用“cisco”以避免口令杂乱带来的问题)。
(2)内部网络是10.0.0.0,子网掩码为255.0.0.0。
PIX防火墙的内部IP地址是10.1.1.1。
(3)外部网络是1.1.1.0,子网掩码为255.0.0.0,PIX防火墙的外部IP地址是1.1.1.1。
(4)在防火墙上配置地址转换,使内部PC机使用IP地址1.1.1.3访问外部网络。
(5)用于外部网络的默认路由是1.1.1.254。
(6)外部网络上的计算机只能访问内部网络FTP服务。
(7)允许10.1.1.0网段的电脑telnet到防火墙上。
4.将配置文件以附件方式用电子邮件发送到lws@。
附件名为:实验四配置文件-学号姓名。
【实验参考步骤】注意:实验中用到的IP地址等内容以实验要求中的内容为准,以下内容中的配置举例仅为说明命令的用法。
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。
防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。
它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网):外部区域通常指Internet或者非企业内部网络。
它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
停火区(DMZ):停火区是一个隔离的网络,或几个网络。
位于停火区中的主机或服务器被称为堡垒主机。
一般在停火区内可以放置Web服务器,Mail服务器等。
停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。
注意:2个接口的防火墙是没有停火区的。
当第一次启动PIX防火墙的时候,可以看到一个这样的屏幕显示:可以根据提示回答“是”或者“否”来决定是否根据这个互动提示来设置PIX防火墙。
对这个问题一般回答“否”。
(因为要学习如何真正地设置防火墙,不是仅仅回答一系列问题就可以学会的。
)然后,出现提示符:pixfirewall>在提示符的后面有一个大于号“>”,表明现在处于PIX用户模式。
PIX防火墙提供4种管理访问模式:非特权模式:PIX防火墙开机自检后,就是处于这种模式。
系统显示为pixfirewall> 特权模式:输入enable进入特权模式,可以改变当前配置。
显示为pixfirewall#配置模式:输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。
显示为pixfirewall(config)#监视模式:PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。
这里可以更新*作系统映象和口令恢复。
显示为monitor>配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route。
这些命令在配置PIX时是必须的。
以下是配置的基本步骤:1.配置防火墙接口的名字,并指定安全级别(nameif)。
pixfirewall (config)#nameif ethernet0 outside security0pixfirewall (config)#nameif ethernet1 inside security100pixfirewall (config)#nameif dmz security50提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。
若添加新的接口,语句可以这样写:pixfirewall (config)#nameif pix/intf3 security40 (安全级别任取)2.配置以太口参数(interface)pixfirewall (config)#interface ethernet0 auto (auto选项表明系统自适应网卡类型)pixfirewall (config)#interface ethernet1 100full (100full选项表示100Mbit/s以太网全双工通信)pixfirewall (config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown)3.配置内外网卡的IP地址(ip address)pixfirewall (config)#ip address outside 1.1.1.1 255.0.0.0pixfirewall (config)#ip address inside 10.1.1.1 255.0.0.0Pix防火墙在外网的IP地址是1.1.1.1,内网IP地址是10.1.1.14.指定要进行转换的内部地址(nat)网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有IP。
nat命令总是与global 命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]其中(if_name)表示内网接口名字,例如inside。
nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的IP地址。
例如0.0.0.0表示内网所有主机可以对外访问。
[netmark]表示内网ip地址的子网掩码。
例1.Pixfirewall(config)#nat (inside) 1 0 0表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0例2.Pixfirewall(config)#nat (inside) 1 172.16.5.0 255.255.0.0表示只有172.16.5.0这个网段内的主机可以访问外网。
5.指定外部地址范围(global)global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中(if_name)表示外网接口名字,例如outside.。
nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。
[netmark global_mask]表示全局ip地址的网络掩码。
例1.Pixfirewall(config)#global (outside) 1 61.144.51.42-61.144.51.48表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2.Pixfirewall(config)#global (outside) 1 61.144.51.42 表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。
例3. Pixfirewall(config)#no global (outside) 1 61.144.51.42 表示删除这个全局表项。
6.设置指向内网和外网的静态路由(route)定义一条静态路由。
route命令配置语法:route (if_name) 0 0 gateway_ip [metric]其中(if_name)表示接口名字,例如inside,outside。
Gateway_ip表示网关路由器的ip 地址。
[metric]表示到gateway_ip的跳数。
通常缺省是1。
例1.Pixfirewall(config)#route outside 0 0 61.144.51.168 1表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
例2.Pixfirewall(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1Pixfirewall(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。
上面那条命令表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一条路由器ip地址是172.16.0.1。
这6个基本命令若理解了,就可以进入到pix防火墙的一些高级配置了。
1.配置静态IP地址翻译(static)如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name 为外部网络接口,安全级别较低,如outside等。
outside_ip_address为正在访问的较低安全级别的接口上的ip地址。
inside_ ip_address为内部网络的本地ip地址。
例1.Pixfirewall(config)#static (inside, outside) 61.144.51.62 192.168.0.8表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。