PIX 防火墙应用举例

xuchuanai

PIX 防火墙应用举例
设：
  ethernet0命名为外部接口outside，安全级别是0。
  ethernet1被命名为内部接口inside，安全级别100。
  ethernet2被命名为中间接口dmz，安全级别50。
参考配置：
PIX525#conf t                                               ;进入配置模式
PIX525(config)#nameif ethernet0 outside security0                 ;设置定全级0
PIX525(config)#nameif ethernet1 inside security100                ;设置定全级100
PIX525(config)#nameif ethernet2 dmz security50                    ;设置定全级50
PIX525(config)#interface ethernet0 auto                           ;设置自动方式
PIX525(config)#interface ethernet1 100full                        ;设置全双工方式
PIX525(config)#interface ethernet2 100full                        ;设置全双工方式
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252       ;设置接口IP
PIX525(config)#ip address inside 10.66.1.200 255.255.0.0          ;设置接口IP
PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0             ;设置接口IP
PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14            ;定义的地址池
PIX525(config)#nat (inside) 1 0 0                                 ;0 0表示所有

PIX525(config)#route outside 0 0 133.0.0.2                        ;设置默认路由
PIX525(config)#static (dmz，outside) 133.1.0.1 10.65.1.101        ;静态NAT
PIX525(config)#static (dmz，outside) 133.1.0.2 10.65.1.102        ;静态NAT
PIX525(config)#static (inside，dmz) 10.66.1.200 10.66.1.200       ;静态NAT
PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL
PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
PIX525(config)#access-list 101 deny ip any any                    ;设置ACL
PIX525(config)#access-group 101 in interface outside     ;将ACL应用在outside端口

    当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。
    当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会
映射成地址池的IP，到外部去找。
    当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101， static是双向的。
    PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。
    静态路由指示内部的主机和dmz的数据包从outside口出去。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/60772/showart_474508.html