思科PIX防火墙的基础
思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中,我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。
PIX防火墙有内部和外部接口的概念。内部接口是内部的,通常是专用的网络。外部接口是外部的,通常是公共的网络。你要设法保护内部网络不受外部网络的影响。
PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。
下面是显示“nameif”命令的输出情况:
pixfirewall# show nameif
nameif ethernet0 outside security0
nameif ethernet1 inside security100
pixfirewall#
请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0.另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100.
指南
在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是:
· 所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。
· 内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1.
· 外部网络是1.1.1.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的外部IP地址应该是1.1.1.1.
· 你要创建一个规则允许所有在10.0.0.0网络上的客户做端口地址解析并且连接到外部网络。他们将全部共享全球IP地址1.1.1.2.