理解Cisco PIX 防火墻的轉換和連接
本文主要描述了路由器使用過程中PIX防火墻的連接與轉化,那么要進行哪些操作步驟呢?下面文章將給予你詳細的解答。
1.ASA安全等級
默認情況下,Cisco PIX防火墻將安全等級應用到每一個接口。越安全的網絡段,
安全級別越高。安全等級的范圍從0~100,默認情況下,安全等級0適應于e0,并且它的默認名字是外部(outside),安全等級100適應于e1.并且它的默認名字是inside.
使用name if 可以配置附加的任何接口,安全等級在1~99之間
e.g:
nameif e thernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
1.1自適應安全算法(ASA)允許流量從高安全等級段流向低安全等級段,不需要在安全策略中使用特定規則來允許這些連接,而只要用一個nat
/global命令配置這些接口就行了。
1.2同時如果你想要低安全等級段流向一個高安全等級段的流量必須經過安全策略(如acl或者conduit).
1.3如果你把兩個接口的安全等級設置為一樣,那流量不能流經這些接口
請記得ASA是cisco pix防火墻上狀態連接控制的關鍵。
2.傳輸協議
2.1首先請理解一下OSI的7層模型,說實話,如果你要做IT,那么這個OSI的7層模型一定要搞懂,也就像windows 的DNS一樣,一定要花工夫在上面。其中1~7是從物理層向上數的,物理層為***層,應用層為第七層。
應用層 數據
表示層 數據
會話層 數據
傳輸層 Segment
網絡層 Packet
數據鏈路層 Frame
物理層 Bit
2.2了解一下TCP/IP
通俗的講TCP/IP包含兩個傳輸協議TCP,UDP,當然還包括其他,TCP/IP是一個協議族,是對OSI理論的一個實現,是真正應用到網絡中的一個工業協議族。TCP-它是一個基于連接的傳輸協議,負責節點間通信的可靠性和效率,通過創建virtual circuits的連接來源端和目的端擔當雙向通信來完 成這些任務,由于開銷很大,所以傳輸速度變慢。UDP-它是一個非連接的傳輸協議,用于向目的端發送數據
理解沒有PIX的節點間的TCP通信(三次握手)
理解有一個PIX的節點間TCP通信
2.3 注意默認的安全策略允許UDP分組從一個高安全等級段送到一個低安全等級段。
cisco pix 防火墻用下列的方法來處理UDP流量:
2.3.1源及其開始UDP連接,Cisco pix防火墻接收這個連接,并將它路由到目的端。Pix應用默認規則和任何需要的轉換,在狀態表中創建一個會話對象,并允許連接通過外部接口
2.3.2任何返回流量要與繪畫對象匹配,并且應用會話超時,默認的會話超時是2分鐘.如果響應不匹配會話對象,或者超時,分組就會被丟棄,如果一切匹配,就會允許響應信號傳送到發送請求的源端
2.3.3任何從一個低安全等級段到一個高安全等級段的入站的UDP會話都必須經安全策略允許,或者中斷連接.
3.網絡地址轉換
理解RFC1918的三類地址空間:
10.0.0.0~10.255.255.255
172.16.0.0~172.16.255.255
192.168.0.0~192.168.255.255 地址轉換是cisco pix防火墻為內部節點提供的使用專用IP地址訪問internet的一種方法.被轉換的地址稱為內部地址,轉換后的地址稱為全局地址.
這里有一句話要記住:將一個接口的任何地址轉換成其他任何地址接口的另外一個地址是可能的,這句話意思是如果你的網段內部地址可以轉換成outside的地址,也可以轉換成DMZ的地址,只要正確的使用了nat和global命令.
如:
global (outside) 1 interface
global (dmz) 1 xxx.xxx.xxx.xxx
nat (inside) 1 192.168.6.0 255.255.255.0 0 0
動態地址轉換涉及到NAT和PAT,靜態地址也就是我們通常所說的給DMZ接口的地址作一個靜態隱射,通常用于如web site和mail server等相對關鍵的業務.以便Internet上的用戶可以通過他們的全局地址連接這些服務器.#p#
NAT命令
pix(config)#nat inside 1 192.168.6.0 255.255.255.0
pix(config)#global (outside) 1 10.0.0.1~10.0.0.255 netmask 255.0.0.0
注意命令中的1在nat和global命令必須相同,它允許指派特定的地址進行轉換.
在這里1不能換0,你可以換其他的數,因為nat 0在pix有特定的含義,nat 0表示在pix上用于檢測不能被轉換的地址,我們通常在做acl轉換也應用到這個命令.
PAT命令:
PAT允許將本地地址轉換成一個單一的全局地址,執行NAT和PAT命令有所相似,不同的是PAT是定義一個單一的全局地址而不是像NAT一樣定義一
定范圍的地址.
pix(config)#nat (inside) 1 0.0.0.0 0.0.0.0 表示轉換網段中的所以地址
pix(config)#global (inside) 10.0.0.1 255.0.0.0
靜態地址:
通常將static和conduit命令一起使用,或者可以使用acl來代替conduit
static命令只配置地址轉換,為了允許來自一個從低安全等級接口對本地節點的訪問,我們前面講過,需要配置ACL或者建立一個通道.
pix(config)#static (inside,outside) 10.0.0.1 192.168.0.9
pix(config)#conduit permit tcp host 192.168.0.9 eq www any
(這里host表示的是指一個特定的主機host 192.168.0.9表示 192.168.0.9 255.255.255.255為什么要是255.255.255.255,別搞成為subnet mask,它是wildcard,也就是通配符,any表示任何源地址和目的地址,0.0.0.0 255.255.255.255.eq is mean the match only packets on a given port number.)
這里我們可以把conduit轉換成ACL
pix(config)#access-list 101 permit tcp any host 192.168.0.9 eq www
pix(config)#access-group 101 in interface outside
使用static命令實現端口重定向
pix(config)#static (inside,outside) tcp 192.168.0.9 ftp 10.10.10.9 2100 netmask 255.255.255.255. 0.0
其中ftp可以用21來表示,在這里的服務與前面的協議對應,是tcp 還是udp,ftp當然對應tcp.
這個命令的意思我通過在低安全等級訪問192.168.0.9的21端口,它自動轉到10.10.10.9 2100這個端口上.
在6.2版本以上支持雙向網絡地址轉換,我不知道這個是什么意思?
他說可以對外部源IP地址的NAT,以便將外部接口的分組發送到一個內部接口上兩個重要的命令:
show xlate查看轉換表
show conn查看連接狀況
有很多命令選項,大家可以在cli下show xlate ?查看一下,對你處理故障非常有用.
配置DNS支持
在默認情況下,PIX鑒別每個輸出的DNS請求,并且只允許一個對這些請求的響應.隨后所有對原始查詢的響應會被丟棄.
所以有時候我們在pix使用show conn看到有很多去DNS的響應都被丟掉,這個是合理的現象.
【編輯推薦】
