防火墙-路由器学习(1)

上课笔记,先放博客,继续更.

模拟软件: GNS3
路由器: C3640-JK122.bin
防火墙: pix802.bin

防火墙

防火墙分为三种: 数据包过滤器、代理过滤器和状态型数据包过滤器
1、数据包过滤器: 采用TCP/IP数据包过滤器的防火墙通常在传送层 或TCP/IP协议栈的Internet层分析网络数据流
2、代理过滤器: 它在开放 系统互联(OSI)模型中较高的层次(通常 是OSI模型的4到7层)上检查数据包
3、状态型数据包过滤器: 综合了前两者的优点,为每个穿过防火墙建立的会话保持完整地会话状态信息

PIX有四种管理访问模式
1、非特权模式,刚开始访问pix就是这种,通常也被称为用户可执行模式,显示的提示符是>
2、特权模式,这种模式可以修改配置,显示的提示符是#

基本命令

非特权命令:

  clear       Reset functions
  enable      Turn on privileged commands
  exit        Exit from the EXEC
  help        Interactive help for commands
  login       Log in as a particular user
  logout      Exit from the EXEC
  ping        Send echo messages
  quit        Exit from the EXEC
  show        Show running system information
  traceroute  Trace route to destination

show命令

pixfirewall> show ?

  checksum  Display configuration information cryptochecksum
  curpriv   Display current privilege level
  flash:    Display information about flash: file system
  history   Display the session command history
  version   Display system software version
  |         Output modifiers
  <cr>

特权模式命令:
1、设置口令
enable password password

2、让用户可以查看关于接口的信息
show interface

—line protocol up(线路协议可用)——说明已将一条工作电
缆插入到了网络接口中(第一层连通性)。
—line protocol down(线路协议不可用)——说明被插入到网 络接口中的电缆不正确,或者没有将电缆插入到接口中。
—MAC address(MAC地址)——在输出中显示MAC地址。 MAC出现在显示“地址是(address is)”之后。
—IP address(IP地址)——显示分配的IP地址。
—subnet mask(子网掩码)——显示子网掩码。
—MTU(最大传输单元)——数据包可以通过网络被传送的最 大尺寸,以字节为单位。
—lost carrier——在传送期间,载波信号丢失的次数。

3、内存查看
show memory，该命令显示PIX防火墙的最大物理存储器 和当前可用存储器的汇总信息。

4、版本信息查看
show version

5、显示翻译槽位信息
show xlate，该命令显示了翻译槽位信息。这些信息是为 通过PIX防火墙建立的会话进行地址翻译所分配的IP地址。

进入配置模式的命令:
进入特权后还需要执行config t或者configure terminal
1、修改配置
configure terminal
如果我们想交互式地改变PIX防火墙 的配置,应采用命令configure terminal。任何添加的配置参 数都将被归并到当前运行的配置当中。当对PIX防火墙进行 配置修改时,修改会立刻生效,并被保存到RAM里正在运行 的配置当中。

2、设置口令
enable password test123

3、展示配置
show configure(或者是show config),这条命令在终端上显示存储在Flash存 储器中的配置文件(有时被称为“启动配置(start configuration)”)。因为Flash是非易失性的,所以如果PIX 发生掉电或重启动,存储在那里的配置不会被丢失。启动配 置是在系统启动期间,PIX防火墙将装载到RAM中的配置

4、配置文件操作
write terminal，显示当前运行的配置
write net，将当前运行的配置文件存储到TFTP服务器上
write erase，这条命令清除位于Flash存储器中的配置文件
write floppy，这条命令将运行配置存储到磁盘上。

升级防火墙

步骤1:执行copy tftp flash命令,并在被提示 时,输入适当的信息。
步骤2:输入TFTP服务器的IP地址。
步骤3:输入源文件名称(PIX OS.bin文件)。
步骤4:输入yes以继续。

配置防火墙

ASA安全级别，100是最高级，0是最低。
这些安全级别可以被分配给连接PIX防火墙的边界接口。通常,将这些边界接口中的一个连接到作为 停火区(DMZ)的一个网络。DMZ是一台设备或网络,对 于来自不被信任环境中的用户来说,DMZ通常是可以被访问 的。DMZ是一个隔离的区域,是从内部被信任的环境中隔离出来的

nameif、interface、ip address、nat、global、route
基本命令：
1、nameif
为PIX防火墙上的每个接口分配一个 名字,并指定它的安全级别
语法:nameif hardware_id if_name security_level
hardware_id:指定一个边界接口,以及它在 PIX防火墙上的物理位置
if_name:为物理边界接口指定一个名字,缺省情况下,借口e1的名字是inside(内部接口),接口e0的名字是outside(外部接口)
security_level:为边界接口指定安全级别。输入取值范围为1~99的安全级别

2、interface命令
用以确定硬件类型,设置硬件速度,并启用接口
语法:interface hardware_id hardware_speed [shutdown]
例如:

interface ethernet0 10baset shutdown
interface ethernet1 10baset shutdown
interface ethernet0 10baset
interface ethernet1 10baset

3、ip address命令
PIX防火墙上的每个接口都必须用一个IP地址进行配置。
语法:ip address ip_name ip_address [netmask]
ip_name:描述了这个接口。这个名字是由用户指定的,而且必须被用于所有未来的配置中,以提供对这个接口的引用。
ip_address:为接口分配的IP地址。
netmask:如果没有指定网络掩码,将采用“有类别(classful)”的网络掩码——A类255.0.0.0 B类255.255.0.0 C类255.255.255.0

4、nat命令
网络地址翻译(NAT)让用户能够保持内部IP地址对于外部网络是未知的。nat命令需要完成的工作是,在数据包被转发到外部网络之前,将内部未经 注册的IP地址(这些地址不具有全球唯一性)翻译 成经过注册的、全球接受的IP地址。除了nat 0以 外,nat命令总是与global命令一起使用。
语法:nat (if_name) nat_id local_ip [netmask]
例如:
nat 1 0.0.0.0 0.0.0.0命令,允许所有的内部
(if_name):描述将使用全局地址的内部网络接 口名字。数据将通过在global命令中指定的接口, 离开PIX。
nat_id :标识全局地址池,并使它与其相应 global命令相匹配。
local_ip:在内部网络上,分配给设备的IP地址。可以 使用0.0.0.0,来允许所有的向外连接使用来自全局 池中IP地址进行翻译。
netmask:本地IP地址的网络掩码。
小技巧: 在配置改命令的时候，可以用0来代替0.0.0.0

5、global命令(使用nat就必须要设置它来定义翻译ip地址池)
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
(if_name)：表示外网接口名称，一般为outside。
nat_id：建立的地址池标识(nat要引用)。
ip_address-ip_address：表示一段ip地址范围。
[netmarkglobal_mask]：表示全局ip地址的网络掩码。

删除全局表项：no global [outside] 1 192.168.1.10-192.168.1.254 netmask 255.255.0.0

6、route命令
route命令为接口定义一条静态路由。route命令语句可以具有
一个具有的目的地,或者可以产生一条缺省的静态路由。 语法:route if_name ip_addr ess netmask gateway_ip [metric]
其中,if_name:描述内部或外部网络接口的名字。数据将通 过这个接口离开PIX。
ip_address:描述目的地(内部或外部)网络IP地址。用 0.0.0.0指定缺省路由(所有的目标网络)。可以将IP地址 0.0.0.0简写为0。
netmask:指定应用于ip_address的网络掩码。用0.0.0.0指定 一条缺省路由。可以将网络掩码0.0.0.0简写为0。设置一条 路由是一种比较常见的情况。
gateway_ip:指定网关路由器的IP地址(这条路由的下一跳地 址)。
metric:制定到gateway_ip的跳数。如果我们不能确定,就输 入1。我们的WAN管理员可以提供这项信息,或者我们可以 用traceroute命令得到跳数。如果不指定度量值(metric), 缺省是1。