某公司PIX520防火墻系統和NAT的實施

領測軟件測試網

　　 
　　背景：
　　　　　某油田公司的辦公網絡以前是和中國石油總公司的全國網絡連在一起的，用的是保留IP（10.*.*.*），對INTERNET的訪問則是走的石油總公司的統一出口。

隨著業務的開展和網絡技術的發展，公司決定在本地申請一條DDN線路，這樣公司的INTERNET訪問不再通過總公司，而是直接從本地電信局接入。由于油田數據的敏感性，所以有必要做一套防火墻系統。經過研究，決定上一套Cisco的PIX520防火墻系統。另外，公司有一臺舊的Cisco 2501路由器，我們決定用它作為公司接入電信局的路由器。
　　公司申請了2M 專線后，電信局贈送了16個公共IP地址：200.100.50.32/28，即200.100.50.32~200.100.50.47；由于200.100.50.32是網絡地址，200.100.50.47是廣播地址，故實際可用地址只有14個（安全起見，這里IP的網絡標識部分用虛假數字）。這顯然不能滿足公司辦公需要，所以需要做NAT（Network Address Translation：網絡地址翻譯）。
　　　　考慮到這臺Cisco 2501的IOS版本為11.2，不支持NAT，而flash ram（內存）只有8M，要升級IOS必須升級內存，麻煩多多。所以不如將NAT做在PIX 520上。
　　工作內容主要是兩個方面：
　�。�1） 部署防火墻；
　�。�2） 配置NAT。
　　配置過程：
　　　　以下為實際安裝中部分配置過程，其中IP地址做過修改。
　　　1、 連接PIX 520，加電；
　　　2、 將計算機的串口于PIX 520的控制口相連，運行超級終端：
　　pixfirewall>
　　　3、 先后輸入enable命令和configure terminal命令，依次進入特權模式和全局配置模式：
　　pixfirewall(config)#
　　　4、 指定內外網卡及安全級別：
　　pixfirewall(config)# nameif ethernet0 outside security0
　　pixfirewall(config)# nameif ethernet1 inside security100
　　釋：ethernet0為外網卡，安全級別最低；ethernet1為內網卡，安全級別最高。
　　　5、 配置外網卡：
　　pixfirewall(config)# interface ethernet0 auto
　　pixfirewall(config)# ip address outside 200.100.50.34 255.255.255.240
　　釋：外網卡地址是200.100.50.34，掩碼是255.255.255.240；網卡為自適應。
　　　6、 配置內網卡：
　　pixfirewall(config)# interface ethernet1 auto
　　pixfirewall(config)# ip address inside 10.70.130.254 255.255.255.0
　　釋：內網卡地址是10.70.130.254，掩碼是255.255.255.0；網卡為自適應。
　　　7、 配置全局地址池：
　　pixfirewall(config)# global (outside) 1 200.100.50.35-200.100.50.46
　　釋：這12個地址用以內網做NAT。
　　　、 配置使用上述全局地址池的內網地址范圍：
　　pixfirewall(config)# nat (inside) 1 10.70.130.0 255.255.255.0 0 0
　　釋：內網10.70.130.0/24網段可以使用上述全局地址池出去（連接INTERNET）。
　　　9、 設置指向內部網和外部網的缺省路由
　　pixfirewall(config)# route outside 0.0.0.0 0.0.0.0 200.100.50.33 1
　　pixfirewall(config)# route inside 10.70.130.0 255.255.255.0 10.70.130.253 1
　　釋：缺省路由指向Cisco 2501，其IP地址為：200.100.50.33。10.70.130.253是內網網關（本例中為公司內部第三層交換機的路由模塊的IP）。
　　　10、 設置telnet選項：
　　pixfirewall(config)# telnet 10.70.130.0 255.255.255.0
　　釋：只允許內部網絡10.70.130.0/24遠程登陸到防火墻。
　　以上是對PIX 520的初步配置，當然還可以進行更復雜的設置，這里不再累述。
　　附錄：
　　下面是這臺PIX 520的配置內容，供參考。
　　: Saved
　　:
　　PIX Version 4.4(5)
　　nameif ethernet0 outside security0
　　nameif ethernet1 inside security100
　　enable password oMCmcbd1jkjYHinD encrypted
　　passwd dc.0Bh12lvH98fKM encrypted
　　hostname kfc
　　fixup protocol ftp 21
　　fixup protocol http 80
　　fixup protocol h323 1720
　　fixup protocol rsh 514
　　fixup protocol smtp 25
　　fixup protocol sqlnet 1521
　　names
　　pager lines 24
　　logging on
　　no logging timestamp
　　no logging console
　　no logging monitor
　　no logging buffered
　　no logging trap
　　logging facility 20
　　logging queue 512
　　interface ethernet0 auto
　　interface ethernet1 auto
　　mtu outside 1500
　　mtu inside 1500
　　ip address outside 200.100.50.34 255.255.255.240
　　ip address inside 10.70.130.254 255.255.255.0
　　no failover
　　failover timeout 0:00:00
　　failover ip address outside 0.0.0.0
　　failover ip address inside 0.0.0.0
　　arp timeout 14400
　　global (outside) 1 200.100.50.35
　　global (outside) 1 200.100.50.36-200.100.50.37
　　nat (inside) 1 10.70.130.0 255.255.255.0 0 0
　　conduit permit icmp any any
　　no rip outside passive
　　no rip outside default
　　no rip inside passive
　　no rip inside default
　　route outside 0.0.0.0 0.0.0.0 200.100.50.33 1
　　route inside 10.70.130.0 255.255.255.0 10.80.130.253 1
　　timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
　　timeout rpc 0:10:00 h323 0:05:00
　　timeout uauth 0:05:00 absolute
　　aaa-server TACACS+ protocol tacacs+
　　aaa-server RADIUS protocol radius
　　no snmp-server location
　　no snmp-server contact
　　snmp-server community public
　　no snmp-server enable traps
　　telnet 10.70.130.0 255.255.255.0
　　telnet timeout 5
　　terminal width 80
　　Cryptochecksum:5277c997c2054fde9044a7a29f240265

文章來源于領測軟件測試網 http://www.kjueaiud.com/