防火墙的安装和配置

第8章防火墙安装与配置《网络设备的安装与管理》本章内容●防火墙安装●防火墙配置●配置CiscoPIX防火墙●恢复PIX的口令●升级PIX版本8.1防火墙安装8.1.1PIX防火墙安装定制在开始考虑安装PIX之前，必须决定哪种PIX模式能够满足你的业务需要。PIX系列产品中有许多相同的特征和功能；每个PIX模式中接口和连接数量是不同的。下面的问题将帮助理解你的网络需求，并把你的注意力集中到防火墙必须包含的服务和性能上。有多少用户（连接）将会通过防火墙？防火墙支持语音和多媒体应用吗？本单位需要多少接口？本单位需要VPN服务吗？若需要，安全级别是什么：56位DES、168位3DES还是两者都要？防火墙需要如VPN加速卡等附件设备吗？本单位希望使用PIX设备管理器吗？本单位需要用容错性吗？回答这些问题不仅能帮助你为单位选择适当的PIX模型，还能帮助你购买正确的许可证。8.1.2安装前部署中的安装前阶段是确定PIX型号、许可证、特性和物理位置的阶段。选择许可证选择PIX型号1.选择许可证无限制（Unrestricted）当防火墙使用无限制（UR）许可证时允许安装和使用最大数量的接口和RAM。无限制许可证支持故障倒换功能。受限（Restricted）当防火墙使用受限制（R）许可证时，其支持的接口数量受到限制，另外，系统中的RAM的可用数量也受到限制。一个使用受限制许可证的防火墙不能通过配置故障倒换功能来实现冗余。故障倒换（Failover）当使用故障倒换（FO）软件许可证的PIX防火墙与使用无限制许可证的PIX防火墙协同工作时，将被置于故障倒换模式。2．选择PIX型号防火墙型号许可证选项受限无限制故障倒换（Failover）加密PIX50110位用户许可证50位用户许可证N/A56位DES和/或168位3DESPIX50656位DES168位3DESN/A56位DES和/或168位3DESPIX515515-R（5000条并发连接和2个接口）与515-R-BUN（10000条并发连接和3个接口）515-UR（10000条并发连接，Failover功能和6个接口）515-Failover束（提供备用Failover防火墙）56位DES和/或168位3DESPIX525525-R（6个接口，多达280，000条并发连接）525-UR（8个接口，Failover支持，多达280，000条并发连接）525-Failover束（提供备用Failover防火墙）56位DES和/或168位3DESPIX535535-R（6个接口，多达500，000条并发连接）535-UR（8个接口，Failover支持，多达500，000条并发连接）535-Failover束（提供备用Failover防火墙）56位DES和/或168位3DES型号选择主要基于两个方面：性能和容错性。性能被分为两类：吞吐量和并发连接。容错性是在PIX515平台中第一次被引入。8.1.3安装1.接口配置2.电缆连接3.初始PIX输入1.接口配置在PIX上对安全策略进行配置的第一步是确定要使用的接口并收集他的基本配置信息。每一个PIX都至少有两个接口：内部接口（较安全）和外部接口（较不安全）。使用表8-2可以帮组你简化配置PIX接口的过程，记录每个接口的基本信息是有用的。防火墙配置外部网内部网接口1接口2接口3接口接口速度IP地址和掩码接口名：HW接口名：SW安全级别MTU大小2.电缆连接在启动PIX之前，把控制端口（Console）电缆连接到PC机（通常是便于移动的笔记本电脑）的COM端口，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，如图8-1所示。3.初始PIX输入当PIX515通电后，会看到前置面板上的3个LED灯，如图8-2所示，分别标有POWER，NETWORK和ACT。当防火墙部件是活动的failover时，ACTLED会亮。如果没有配置Failover，ACTLED将总是亮着。当至少一个接口通过流量时，NETWORKLED会亮。当你第一次启动PIX防火墙的时候，你应该看到如图8-3所示的以下输出：8.2防火墙配置8.2.1防火墙的基本配置原则拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：1．简单实用：2．全面深入：3．内外兼顾：8.2.2防火墙的初始配置像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以CiscoPIX防火墙为例进行介绍。防火墙与路由器一样也有四种用户配置模式，即：非特权模式（Unprivilegedmode）、特权模式（PrivilegedMode）、配置模式（ConfigurationMode）和端口模式（InterfaceMode），进入这四种用户模式的命令也与路由器一样：防火墙的具体配置步骤如下：1．将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，如图8-1。2．打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。3．运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。4．当PIX防火墙进入系统后即显示“pixfirewall”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。5．输入命令：enable，进入特权用户模式，此时系统提示为：pixfirewall#。6．输入命令：configureterminal，进入全局配置模式，对系统进行初始化设置。7.配置保存：writememory8.退出当前模式：exit9.查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。10.查看端口状态：showinterface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。11.查看静态地址映射：showstatic，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。8.3配置CiscoPIX防火墙这里我们选用第三种方式配置CiscoPIX525防火墙。1．同样是用一条串行电缆从电脑的COM口连到CiscoPIX525防火墙的console口；2．开启所连电脑和防火墙的电源，进入Windows系统自带的“超级终端”，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、insideipaddress(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pixfirewall。3．输入enable命令，进入Pix525特权用户模式，默然密码为空。缺省情况下，enable命令假定用户尝试接入的特权级别是15（最高特权级别）。在配置PIX的基本网络接入的时候，有一些必须实施；为防火墙接口分配IP地址；配置防火墙名称、域名和密码；设置防火墙路由；配置防火墙的远程管理接入功能；为出站流量设置地址转换；配置ACL；配置防火墙日志。8.3.1在防火墙接口上分配IP地址要在网络中通信，防火墙需要在其接口上指定IP地址。这项工作在PIX的6.x和7.x版本中的实施有区别，但是基本步骤是一样的：启用接口、配置接口参数、为该接口指定IP地址。在PIX的6.x版本中分配IP地址firewall#configureterminalfirewall(config)#firewall(config)#interfaceethernet0autofirewall(config)#interfaceethernet1autofirewall(config)#nameifethernet0outsidesecurity0firewall(config)#nameifethernet1insidesecurity100firewall(config)#ipaddressoutside10.19.24.1255.255.255.0firewall(config)#ipaddressinside192.168.122.1255.255.255.0在PIX的7.x版本中分配IP地址firewall(config)#interfaceethernet2firewall(config-if)#firewall(config-if)#noshutdownfirewall(config-if)#nameifdmz01firewall(config-if)#security-level50firewall(config-if)#speedautofirewall(config-if)#duplexautofirewall(config-if)#ipaddress10.21.67.17255.255.255.2408.3.2配置防火墙名称、域名和密码firewall(config)#hostnamepixpix(config)#domain-namepix.labpix(config)#passwdciscopix(config)#enablepasswordcisco8.3.3配置防火墙路由设置pix(config)#routeoutside0.0.0.00.0.0.010.21.67.21该route命令中末尾的1指明了下一跳的度量值，这是可选的。通常缺省路由将会指向防火墙连接到Internet的下一跳路由，如Internet服务商网络中的路由器。8.3.4配置防火墙管理远程接入PIX防火墙支持三种主要的远程管理接入方式：1.Telnet;2.SSH;3.ASDM/PDM。其中Telnet和SSH都是用来提供对防火墙的命令行界面（CLI）方式接入，而ASDM/PDM提供的则是一种基于HTTPS的图形化界面（GUI）管理控制台。1.配置Telnet接入pix(config)#telnet10.21.120.15255.255.255.255inside2.配置SSH接入步骤1给防火墙分配一个主机名和域名；步骤2生产并保存RSA密钥对；步骤3配置防火墙允许SSH接入。pix(config)#cageneratersakey1024pix(config)#casaveallpix(config)#cryptokeygeneratersamodulus1024pix(config)#ssh10.21.120.15255.255.255.255inside3.配置ASDM/PDM接入除了使用CLI的管理方式之外，PIX防火墙还支持一种GUI远程管理方式。在PIX6.x中，这种管理接口被称为PIX设备管理器（PDM）。而在PIX的7.x，该管理接口被称为自适应安全设备管理器（ASDM）。pix(config)#httpserverenablepix(config)#http10.0.0.0255.0.0.0insideASDM/PDM的接入是通过Web浏览器连接到Web服务器的方式来实现的。ASDM还可以通过一种基于java的应用来使用ASDM，而不用代开Web浏览器，如图8-4所示：CiscoASDM简介作为自适应安全设备管理