_PIX 7.0 Day 2

pix只支持ip包,带有选项字段的ip包是过不了pix的,

传输层协议

tcp

面向连接可靠的传输层协议,确认机制,序列号,pix可以对tcp维护状态表项,列表只对初始化的包有效.

udp

面向无连接,没有确认机制,高效率.

nat

1.有限公网地址

2.私网地址转换公网

3.隐藏源ip地址,增加安全性.

高安全级别到低安全级别做nat.

低安全级别到高安全级别做static.

fw1(config)#nat (inside) 1 10.0.0.0 255.255.255.0

fw1(config)#nat (dmz) 1 172.16.0.0 255.255.255.0

fw1(config)#global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0

fw1(config)#global (dmz) 1 172.16.0.20-172.16.0.254 netmask 255.255.255.0

fw1(config)#nat (dmz) 0 192.168.0.9 255.255.255.255(nat 0加列表可以低到高)

static

低级别流量访问高级别.永久的转换槽位.

fw1(config)#static(dmzj,outside) 192.168.1.3 172.16.1.9 netmask 255.255.255.255

show local-host (那个主机的连接)

clear local-host (清理某个主机的连接)

nat static

fw1(config)#static (dmz,outside) 192.168.10.0 192.168.1.0 netmast 255.255.255.0

static pat:port redirection(端口重定向)

static (dmz,outside) tcp 218.18.100.2 23 10.1.1.2 23

static (dmz,outside) tcp interface 2323 10.1.1.2 23

connection limits(连接限制)控制连接数

static (dmz,outside) 218.18.100.2 2.2.2.2 tcp 2(同一时间tcp连接数,默认是0,代表不限制,) 2(半开连接数) udp (同一时间udp连接数2)基于主机的不是基于连接的,取最小值.

static要优先于nat.

nat策略

如果是启用了nat-control,一个包必须要经过转换才有可能通过pix,除了nat0加访问控制列表,如果没有转换槽位,他会动态的建立,如果没有包将被drop.

从高级别到低级别nat

一个包抵达inside接口或者高级别接口,首先查访问控制列表,如果没有访问控制列表就放行,源地址检测,检查转换情况,如果没有转换槽位,需要建立.查nat配置.nat0加访问控制列表最优先,然后是static nat,然后插static的pat,然后再查policy nat,然后再查正常nat.如果没有任何nat就drop.

acl

时间列表

fw1(config)#time-range temp-worker

fw1(config-time-range)#ahsolute start 00:00 1 august 2004 end 00:00:30 augst 2004

fw1(config-time-range)#periodic weekdays 8:00 to 17:00

fw1(config)#static (dmz,outside) 192.168.0.6 172.16.0.6

fw1(config)#access-list aclin permit tcp host 192.168.10.2 host 192.168.0.6 eq www time-range temp-worker

acl logging

fw1(config)#access-list outside-acl permit icmp any host 192.168.1.1 log interval 600

fw1(config)#access-list deny-flow-max 1024(匹配1024个不发logging)

fw1(config)#access-list alert-intervla 120(每120秒发送一次logging)

acl line number插入

fw1(config)#access-list aclout line 4 permit tcp any host 192.168.0.9 www

icmp

fw1(config)#icmp permit any echo-reply outside

fw1(config)#icmp permit any unreachable outside

隐含icmp deny any outside

nat0加访问控制列表协议一定要是ip.

policy nat可以随便.

aaa acl

access-list 110 permit tcp any host 192.168.2.10 eq www

aaa authentication match 110 outside my_acs

java filtering(java过滤)

activex filter(插件过滤)

fw1(config)#filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

fw1(config)#filter java 80 192.168.10.0 255.255.255.0 0 0

http url filtering(url过滤)

websense-based

n2h2 http

fw1(config)#url-server (dmz) vendor h2h2 host 172.16.0.3 protocol tcp

fw1(config)#filter url http 0 0 0 0 allow(当和url-server不能通信,放行)

fw1(config)#filter https 0 0 0 0 allow(websense-based支持)

ftp过滤

fw1(config)#url-server (dmz) vendor websense host 172.16.0.3 timeout 10 protocol tcp version 4

fw1(config)#filter url http 0 0 0 0 allow