第八章 网络防火墙
         防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。即位于不同网络安全域之间的软件和硬件设备的一系列部件的组合。

     防火墙是隔离本地和外部网络的一道防御系统。早期低端的路由器大多没有内置防火墙功能，而现在的路由器几乎普遍支持防火墙功能，有效的提高网络的安全性，只是路由器内置的防火墙在功能上要比专业防火墙产品相对弱些。
防火墙基本特性
1、内部网络和外部网络之间的所有网络数据流都必须经过防火墙
2、只有符合安全策略的数据流才能通过防火墙
3、防火墙自身应具有非常强的抗攻击xxx
防火墙的功能
1）限定内部用户访问特殊站点。
2）防止未授权用户访问内部网络。
3）允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。
4）记录通过防火墙的信息内容和活动。
5）对网络攻击进行监测和报警。
6）NAT

NAT
NAT——网络地址转换，是通过将私有IP地址（如企业内部网Intranet）转换为公用IP地址（如互联网Internet），从而对外隐藏了内部管理的 IP 地址。
这样，通过将私有IP地址转换为公用IP地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。

NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。
其中静态NAT将内部网络中的每个主机都被{yj}映射成外部网络中的某个合法的地址，而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络，端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。

防火墙的局限性
不能防范内部人员的攻击
不能防范绕过它的连接
不能防备全部的威胁

防火墙的分类
1、从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙。

2、根据防火墙的技术原理分类，有包过滤防火墙，应用代理型防火墙。
包过滤防火墙的工作原理
    包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。
数据包过滤技术分为：

1、静态包过滤

2、动态包过滤。

静态包过滤类型防火墙
      这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。

动态包过滤类型防火墙
        这类防火墙采用动态设置包过滤规则的方法。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。

包过滤防火墙的优点
        不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。
包过滤方式的弱点
     1、过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；
    2、大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。
应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的{zg}层，即应用层。通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。
在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：{dy}代应用网关型代理防火墙和第二代自适应代理防火墙 。
{dy}代应用网关(Application Gateway)型防火墙
这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是xxx的防火墙。它的核心技术就是代理服务器技术。

代理服务器
   所谓代理服务器，是指代表客户处理与服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，并经过特定的安全化的Proxy应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用 .

          由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会。包过滤类型的防火墙是很难彻底避免这一漏洞的。

       代理防火墙的{zd0}缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。
      目前用户接入Internet的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位以太网等）之间的防火墙。
第二代自适应代理(Adaptive proxy)型防火墙
它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。

在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy 的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。
代理类型防火墙的最突出的优点就是安全。由于它工作于{zg}层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。

另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的{zd0}缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。
从防火墙结构分为

1、单一主机防火墙

2、路由器集成式防火墙

3、分布式防火墙
单一主机防火墙
单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。

这种防火墙其实与一台计算机结构差不多，同样包括CPU、内存、硬盘等基本组件，当然主板更是不能少了，且主板上也有南、北桥芯片。
它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序，如包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。看似与PC机差不多的配置，价格甚远。

分布式防火墙
防火墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统，这种防火墙，俗称“分布式防火墙”。
路由器集成式防火墙
原来单一主机的防火墙由于价格非常昂贵，仅有少数大型企业才能承受得起，为了降低企业网络投资，现在许多中、xx路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。
按防火墙的应用部署位置分为
1、边界防火墙

2、个人防火墙

3、混合防火墙
边界防火墙
                边界防火墙是最为传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。
个人防火墙
  个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格{zpy}，性能也最差。
混合式防火墙
  混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于{zx1}的防火墙技术之一，性能{zh0}，价格也最贵。
边界防火墙的应用 　
　　     传统边界防火墙主要有以下四种典型的应用环境，它们分别是：
　控制来自互联网对内部网络的访问　 控制来自第三方局域网对内部网络的访问 控制局域网内部不同部门网络之间的访问 控制对服务器中心的网络访问　
　1、 控制来自互联网对内部网络的访问
一般情况下防火墙网络可划分为三个不同级别的安全区域：
　　     1、 内部网络：这是防火墙要保护的对象，包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。
　　     2、外部网络：这是防火墙要防护的对象，包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。 　

               3、DMZ(非军事区)：DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是从企业内部网络中划分的一个小区域，其中就包括内部网络中用于公众服务的外部服务器，如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等，它们都是为互联网提供某种信息服务。
DMZ网络访问控制策略
    　　    当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。 　　1.内网可以访问外网　　内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。 　　2.内网可以访问DMZ　　此策略是为了方便内网用户使用和管理DMZ中的服务器。

                    3.外网不能访问内网　　很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。 　　4.外网可以访问DMZ　　DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

　                                  5.DMZ不能访问内网　　很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。 　　6.DMZ不能访问外网　　其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。

　         通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样有两个好处：
     1、可以对外屏蔽内部网络构和IP地址，保护内部网络的安全；
     2、同时因为是公网IP地址共享，所以可以大大节省公网IP地址的使用，节省了企业投资成本。

    网络拓扑结构上可有两种选择：   
    1、如果企业原来已有边界路由器，则此可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器，则可直接与边界路由器相连，不用经过防火墙。它可只经过路由器的简单防护。边界路由器与防火墙就一起组成了两道安全防线，并且在这两者之间可以设置一个DMZ区。

     2、如果企业原来没有边界路由器，此时也可不再添加边界路由器，仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口，防火墙一定要有两个以上的LAN网络接口。因此需要对这两部分网络设置不同的安全策略。这种拓扑结构虽然只有一道安全防线，但对于大多数中、小企业来说是xx可以满足的。

2、 控制来自第三方网络对内部网络的访问
    在这种应用环境下，防火墙主要限制第三方网络(其它单位局域网或本单位子网)对内部网络的非授权访问。
     根据企业是否需要非军事区(放置一些供第三方网络用户访问的server)可以有两种具体的网络配置方案：

(1)需要DMZ区。
     这种情况是企业需要为第三方网络提供一些公用server，供日常访问。整个网络同样可分为三个区域：
　　内部网络：这是防火墙要保护的对象，包括全部企业内部网络中需要保护的设备和用户主机。为防火墙的可信网络区域。
　　外部网络：防火墙要限制访问的对象，包括第三方网络主机和设备。为防火墙的非可信网络区域。

       DMZ(非军事区)：由企业内部网络中一些外部服务器组成，包括公众Web服务器、邮件服务器、FTP服务器、外部DNS服务器等。这些公众服务器为第三方网络提供相应的网络信息服务。
　　 　同样必要时可通过NAT(网络地址转换)对外屏蔽内部网络结构，保护内网安全。
　　

*企业有边界路由器设备，通过配置后它同样可以担当包过滤防火墙角色。这时的DMZ区就可直接连接边界路由器的一个LAN接口上，而无需经过防火墙。而保护内部网络通过防火墙与边界路由器连接。
   *如果企业没有边界路由器，则DMZ区和内部网络分别接在防火墙的两个不同的LAN接口上，构成多宿主机模式。

(2)、 没有DMZ区：此应用环境下整个网络就只包括内部网络和外部网络两个区域。某些需要向第三方网络提供特殊服务的服务器或主机与需要保护的内部网络通过防火墙的同一LAN接口连接。 　　
3、 控制内部网络不同部门之间的访问
　　这种应用环境通过防火墙保护内部网络中敏感部门的资源不被非法访问。一种有效的方法就是采用防火墙进行隔离，在防火墙上进行相关的配置(比起VLAN来简单许多)。

4、 控制对服务器中心的网络访问
　　     对于一个服务器中心，其众多服务器需要对第三方开放，但是所有这些服务器分别属于不同用户所有，其安全策略也各不相同。要按不同安全策略保护这些服务器，可以有两种方法：

(1)、为每个服务器单独配置一个独立的防火墙。这种方案配置方法也最容易，需要购买与托管理服务器数一样多的防火墙，对托管中心来说投资非常之大；而且托管中心管理员面对这么多防火墙，其管理难度可想而知。

(2)、采用虚拟防火墙方式。这主要是利用三层交换机的VLAN(虚拟局域网)功能，先为每一台连接在三层交换机上的用户服务器所连接的网络配置成一个单独的VLAN子网，然后通过对高性能防火墙对VLAN子网配置，就相当于将一个高性能防火墙划分为多个虚拟防火墙。
防火墙的应用配置
                  在传统边界防火墙应用配置中，最主要体现在DMZ(非军事区)、VPN(虚拟专用网)、DNS(域名服务器)和入侵检测配置等几个方面。　　
1、 DMZ(非军事区)应用配置
    　　内外网都可以访问DMZ ，这些系统和资源都不能放置在内部保护网络内，否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间。

把DMZ区放在边界路由器与防火墙之间的原因：
    因为边界路由器作为网络安全的{dy}防线，可以起到一定的安全过滤作用。而防火墙作为网络的第二道，它的安全级别肯定要比边界路由器上设置的要高许多。如果把用于公共服务的一些服务器放置在防火墙之后，显然因安全级别太高，外部用户无法访问到这些服务器，达不到公共服务的目的。

    有些企事业单位用户网络，可能需要两类DMZ，即所谓的“外部DMZ”和“内部DMZ”。
    外部DMZ放置的是内部网络和互联网用户都可以宽松访问的系统和资源，如以上所说的Web服务器等。这部分网络直接于边界路由器连接；
   内部DMZ所放置是内部网络中需要供内部网络用户共享的系统和资源(如内部邮件服务器等)，当然外部网络用户是不能访问此DMZ区资源的。内部DMZ放置在主防火墙与内部防火墙之间。

    如果企业没有边界路由器，则外部DMZ区就要单独放置在主防火墙的一个LAN端口上，这也就要求主防火墙具有2个以上LAN接口。
　防火墙策略:    主防火墙采用NAT模式，而内部防火墙采用透明模式工作。
    除远程访问和VPN访问外，来自互联网的网络访问只能限制在外部DMZ区对外开放的资源上，不可进入内部DMZ区，更不可能进入受保护的内部网络之中。
2、VPN配置
VPN(虚拟企业专网)是目前{zx1}的网络技术之一，它的主要优点通过公网，利用隧道技术进行虚拟连接，相比专线连接来说可以大幅降低企业通信成本(降低幅度在70%左右)。目前存在几个典型的VPN隧道协议，包括IPsec、PPTP、L2TP等。通过VPN技术可以实现对用户内部网络的扩展，同时为用户带来网络使用成本上的巨大节省。

在防火墙网络中对VPN服务器进行配置的方法有两种：        (1)、传统边界防火墙方式 　　因为VPN通信中数据包内容是加密过的，所以边界防火墙无法检测内外网络之间的通信内容，也就无法从中获取过滤信息，这样防火墙很难有效地实现对网络的访问控制、审计和病毒检测。所以远程攻击者很可能将VPN服务器作为攻击内部网络的跳板。为了提高网络的安全性，{zh0}再加上第二道防火墙：内部防火墙，把VPN服务器放置在外部DMZ区中。

(2)、使用VPN专用防火墙 　　针对传统边界防火墙与VPN通信的上述矛盾，网络设备开发商就特定为VPN通信开发VPN防火墙。集成VPN技术的防火墙，就可以正确识别VPN通信中的数据包，并且加密的数据包也只在外部VPN客户端与防火墙之间，有效地避免了前种方案中数据包无法识别的弊端。但不是所有厂商的防火墙都支持内置的VPN服务增值功能。

3、DNS配置
      　　DNS服务器可为互联网提供域名解析服务。　　为了安全起见，建议在防火墙网络中，对内部DNS服务器和外部DNS服务器进行分开放置。
     什么是“分割DNS”？
    将内部DNS服务器和外部DNS服务器分隔开的网络配置方案通常称之为“分割DNS”。

           内部DNS服务器专用来为内部网络系统进行名称解析，使得内部网络用户可以通过它连接到其它内部系统，其中就包括内部防火墙和内部DMZ；
           外部DNS使得外部网络能够解析出主防火墙、外部DNS服务器、外部DMZ区的主机名字，但不能解析出内部网络系统主机的名字。
4、入侵检测
     　　          安全检测是新型防火墙的一个重要功能。目前主要的安全检测技术包括入侵检测、漏洞扫描和病毒检测。 　　入侵检测系统(Intrusion Detection System，IDS)能够对网络中未经授权用户的访问进行报警。
              一旦入侵检测发现攻击行为，它可以通知防火墙修改安全规则，阻止后续的攻击。

             如果防火墙具有一定的入侵检测功能，则可以在主防火墙上打开此功能。
  可xx来自外部网络的
1、DoS(拒绝服务攻击)攻击
2、地址欺骗攻击。

            在漏洞和病毒检测方面，边界防火墙比较难以实现，而在个人防火墙和分布式防火墙中却较容易。因为它们之中软件功能非常强大，而且还可以实时自动联网升级。
            所以在个人防火墙就有好几种防火墙的叫法，如病毒防火墙、网络防火墙和邮件防火墙等。
防火墙的基本配置原则
所有的防火墙都是按以下两种情况配置的：
拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。
      大多数防火墙默认都是拒绝所有的流量作为安全选项。

                  一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收E-mail，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

防火墙的配置过程中需坚持以下三个基本原则：
（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。

（2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。

（3）. 内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%以上的威胁都来自内部，所以我们要树立防内的观念，从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念，{zh0}能部署与上述内部防护手段一起联动的机制。目前来说，要做到这一点比较困难。
　　防火墙的初始配置
              像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以Cisco PIX防火墙为例进行介绍。 　     防火墙的初始配置也是通过控制端口（Console）与PC机（通常是便于移动的笔记本电脑）的串口连接，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的路由器初始配置连接方法一样 。

              防火墙除了以上所说的通过控制端口（Console）进行初始配置外，也可以通过telnet和Tffp配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而Tffp方式需要专用的Tffp服务器软件，但配置界面比较友好。 　　防火墙与路由器一样也有四种用户配置模式，即：普通模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样：

普通用户模式无需特别命令，启动后即进入； 　　进入特权用户模式的命令为"enable"；进入配置模式的命令为"config terminal"；而进入端口模式的命令为"interface ethernet（）"。不过因为防火墙的端口没有路由器那么复杂，所以通常把端口模式归为配置模式，统称为"全局配置模式"。

防火墙的具体配置步骤如下： 　　1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。 　　2. 打开PIX防火墙电源，让系统加电初始化，然后开启与防火墙连接的主机。 　　3. 运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在"附件"程序组中）。　　4. 当PIX防火墙进入系统后即显示"pixfirewall>"的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 　　5. 输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。 　　6. 输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。

            （1）. 首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例）         Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡，“auto”选项为系统自适应网卡类型 　　Interface ethernet1 auto 　　（2）. 配置防火墙内、外部网卡的IP地址 　　IP address inside ip_address netmask # Inside代表内部网卡 　　IP address outside ip_address netmask # outside代表外部网卡 　　（3）. 指定外部网卡的IP地址范围： 　　global 1 ip_address-ip_address 　　（4）. 指定要进行转换的内部地址      　nat 1 ip_address netmask

　         （5）. 配置某些控制选项：          conduit global_ip port[-port] protocol foreign_ip [netmask]          其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是连接协议，比如：TCP、UDP等；foreign_ip：表示可访问的global_ip外部IP地址；netmask：为可选项，代表要控制的子网掩码。

　7. 配置保存：wr mem 8. 退出当前模式    　此命令为exit，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到普通模式下的操作步骤。 　　pixfirewall(config)# exit 　　pixfirewall# exit 　　pixfirewall>

             9. 查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。         10. 查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。 　　11. 查看静态地址映射:show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。
Cisco PIX防火墙的基本配置
            1. 同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口； 　　2. 开启所连电脑和防火墙的电源，进入Windows系统自带的"超级终端"，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pix255>。

               3. 输入enable命令，进入Pix 525特权用户模式,默认密码为空。 　　如果要修改此特权用户模式密码，则可用enable password命令，命令格式为：enable password *****[encrypted]，这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。

4、 定义以太端口：先必须用enable命令进入特权用户模式，然后输入configure terminal（可简称为config t）,进入全局配置模式模式。具体配置 　　pix525>enable 　　Password: 　　pix525#config t 　　pix525 (config)#interface ethernet0 auto 　　pix525 (config)#interface ethernet1 auto 　　在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被xx生效了，但是outside必须命令配置xx。

       5. clock 　　配置时钟，这也非常重要，这主要是为防火墙的日志记录而资金积累的，如果日志记录时间和日期都不准确，也就无法正确分析记录中的信息。这须在全局配置模式下进行。 　　时钟设置命令格式有两种，主要是日期格式不同，分别为： 　　clock set hh:mm:ss month day year和clock set hh:mm:ss day month year        前一种格式为：小时：分钟：秒 月 日 年；而后一种格式为：小时：分钟：秒 日 月 年，主要在日、月份的前后顺序不同。在时间上如果为0，可以为一位，如：21:0:0。

6. 指定接口的安全级别 　　指定接口安全级别的命令为nameif，分别为内、外部网络接口指定一个适当的安全级别。在此要注意，防火墙是用来保护内部网络的，外部网络是通过外部接口对内部网络构成威胁的，所以要从根本上保障内部网络的安全，需要对外部网络接口指定较高的安全级别，而内部网络接口的安全级别稍低，这主要是因为内部网络通信频繁、可信度高。

在Cisco PIX系列防火墙中，安全级别的定义是由security（）这个参数决定的，数字越小安全级别越高，所以security0是{zg}的，随后通常是以10的倍数递增，安全级别也相应降低。如下例： 　　pix525(config)#nameif ethernet0 outside security0 # outside是指外部接口 　　pix525(config)#nameif ethernet1 inside security100 # inside是指内部接口

7. 配置以太网接口IP地址 　　所用命令为：ip address，如要配置防火墙上的内部网接口IP地址为：192.168.1.0 255.255.255.0；外部网接口IP地址为：220.154.20.0 255.255.255.0。 配置方法如下： 　　pix525(config)#ip address inside 192.168.1.0 255.255.255.0 　　pix525(config)#ip address outside 220.154.20.0 255.255.255.0

8. access-group 　　这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为：
access-group acl_ID in interface interface_name，
其中的"acl_ID"是指访问控制列表名称，interface_name为网络接口名称。如： 　　access-group acl_out in interface outside，在外部网络接口上绑定名称为"acl_out"的访问控制列表。 　　clear access-group：xx所有绑定的访问控制绑定设置。 　　no access-group acl_ID in interface interface_name：xx指定的访问控制绑定设置。 　　show access-group acl_ID in interface interface_name：显示指定的访问控制绑定设置。

9．配置访问列表 　　所用配置命令为：access-list，合格格式比较复杂，如下： 　　标准规则的创建命令：access-list [ normal 　 special ] listnumber1 { permit 　 deny } source-addr [ source-mask ] 　　扩展规则的创建命令：access-list [ normal 　 special ] listnumber2 { permit 　 deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] 　 icmp-type [ icmp-code ] ] [ log ] 　　它是防火墙的主要配置部分，上述格式中带"[ ]"部分是可选项，listnumber参数是规则号，标准规则号（listnumber1）是1~99之间的整数，而扩展规则号（listnumber2）是100~199之间的整数。它主要是通过访问权限"permit"和"deny"来指定的，网络协议一般有IP　TCP　UDP　ICMP等等。如只允许访问通过防火墙对主机:220.154.20.254进行www访问，则可按以下配置： 　　pix525(config)#access-list 100 permit 220.154.20.254 eq www 　　其中的100表示访问规则号，根据当前已配置的规则条数来确定，不能与原来规则的重复，也必须是正整数。

10. 地址转换（NAT）
　　防火墙的NAT配置与路由器的NAT配置基本一样，首先也必须定义供NAT转换的内部IP地址组，接着定义内部网段。
　　定义供NAT转换的内部地址组的命令是nat，它的格式为：nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]]，其中if_name为接口名；nat_id参数代表内部地址组号；而local_ip为本地网络地址；netmask为子网掩码；max_conns为此接口上所允许的{zd0}TCP连接数，默认为"0"，表示不限制连接；em_limit为允许从此端口发出的连接数，默认也为"0"，即不限制。如：
　

　nat (inside) 1 10.1.6.0 255.255.255.0
　　表示把所有网络地址为10.1.6.0，子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。
　　随后再定义内部地址转换后可用的外部地址池，它所用的命令为global,基本命令格式为：
　　global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ，各参数解释同上。如：
　　global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0
　　将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址，其子网掩码为255.255.255.0。

11. Port Redirection with Statics
　　这是静态端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口（PAT），或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器，这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。
　　

命令格式有两种，分别适用于TCP/UDP通信和非TCP/UDP通信：
　　(1). static[(internal_if_name, external_if_name)]{global_ip　interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]
　　（2）. static [(internal_if_name, external_if_name)] {tcp　udp}{global_ip　interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]
　　此命令中的以上各参数解释如下：
　　internal_if_name：内部接口名称；external_if_name：外部接口名称；{tcp　udp}：选择通信协议类型；{global_ip　interface}：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；[netmask mask]：本地子网掩码；max_conns：允许的{zd0}TCP连接数，默认为"0"，即不限制；emb_limit：允许从此端口发起的连接数，默认也为"0"，即不限制；norandomseq：不对数据包排序，此参数通常不用选。

 现在我们举一个实例，实例要求如下　　●外部用户向172.18.124.99的主机发出Telnet请求时，重定向到10.1.1.6。　　 ●外部用户向172.18.124.99的主机发出FTP请求时，重定向到10.1.1.3。　　 ●外部用户向172.18.124.208的端口发出Telnet请求时，重定向到10.1.1.4。　　 ●外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时，重定向到10.1.1.5。　　 ●外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时，重定向到10.1.1.5。        ●外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时，重定向到10.1.1.7的80号端口。

　以上重写向过程要求如图2所示，防火墙的内部端口IP地址为10.1.1.2，外部端口地址172.18.124.216。　　以上各项重定向要求对应的配置语句如             static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0　　 static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0　　 static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0　　 static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0　　 static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0　　 static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0　　

12. 显示与保存结果　　显示结果所用命令为：show config；保存结果所用命令为：write memory。