① Cisco Packet Tracer 5中的交換機和防火牆,如果想能夠上傳、下載文件的話,是否需要開啟FTP之類的服務
前後有關系嗎?
要上傳與下載文件,自然要開啟FTP OR TFTP 服務。
② 思科 501 防火牆的配置問題
硬體防火牆,是網路間的牆,防止非法侵入,過濾信息等,從結構上講,簡單地說是一種PC式的電腦主機加上快閃記憶體(Flash)和防火牆操作系統。它的硬體跟共控機差不多,都是屬於能適合24小時工作的,外觀造型也是相類似。快閃記憶體基本上跟路由器一樣,都是那中EEPROM,操作系統跟Cisco IOS相似,都是命令行(Command)式。
我第一次親手那到的防火牆是Cisco Firewall Pix 525,是一種機架式標准(即能安裝在標準的機櫃里),有2U的高度,正面看跟Cisco 路由器一樣,只有一些指示燈,從背板看,有兩個以太口(RJ-45網卡),一個配置口(console),2個USB,一個15針的Failover口,還有三個PCI擴展口。
如何開始Cisco Firewall Pix呢?我想應該是跟Cisco 路由器使用差不多吧,於是用配置線從電腦的COM2連到PIX 525的console口,進入PIX操作系統採用windows系統里的「超級終端」,通訊參數設置為默然。初始使用有一個初始化過程,主要設置:Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網卡IP地址)、domain(主域)等,如果以上設置正確,就能保存以上設置,也就建立了一個初始化設置了。
進入Pix 525採用超級用戶(enable),默然密碼為空,修改密碼用passwd 命令。一般情況下Firewall配置,我們需要做些什麼呢?當時第一次接觸我也不知道該做些什麼,隨設備一起來的有《硬體的安裝》和《命令使用手冊》。我首先看了命令的使用,用於幾個小時把幾百面的英文書看完了,對命令的使用的知道了一點了,但是對如何配置PIX還是不大清楚該從何入手,我想現在只能去找cisco了,於是在www.cisco.com下載了一些資料,邊看邊實踐了PIX。
防火牆是處網路系統里,因此它跟網路的結構密切相關,一般會涉及的有Route(路由器)、網路IP地址。還有必須清楚標準的TCP[RFC793]和UDP[RFC768]埠的定義。
下面我講一下一般用到的最基本配置
1、 建立用戶和修改密碼
跟Cisco IOS路由器基本一樣。
2、 激活以太埠
必須用enable進入,然後進入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默然情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside, inside在初始化配置成功的情況下已經被激活生效了,但是outside必須命令配置激活。
3、 命名埠與安全級別
採用命令nameif
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet0 outside security100
security0是外部埠outside的安全級別(0安全級別最高)
security100是內部埠inside的安全級別,如果中間還有以太口,則security10,security20等等命名,多個網卡組成多個網路,一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)。
4、 配置以太埠IP 地址
採用命令為:ip address
如:內部網路為:192.168.1.0 255.255.255.0
外部網路為:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
5、 配置遠程訪問[telnet]
在默然情況下,PIX的以太埠是不允許telnet的,這一點與路由器有區別。Inside埠可以做telnet就能用了,但outside埠還跟一些安全配置有關。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
測試telnet
在[開始]->[運行]
telnet 192.168.1.1
PIX passwd:
輸入密碼:cisco
6、 訪問列表(access-list)
此功能與Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny兩個功能,網路協議一般有IP|TCP|UDP|ICMP等等,如:只允許訪問主機:222.20.16.254的www,埠為:80
PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
7、 地址轉換(NAT)和埠轉換(PAT)
NAT跟路由器基本是一樣的,
首先必須定義IP Pool,提供給內部IP地址轉換的地址段,接著定義內部網段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是內部全部地址都可以轉換出去則:
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
則某些情況下,外部地址是很有限的,有些主機必須單獨佔用一個IP地址,必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令,這種稱為(PAT),這樣就能解決更多用戶同時共享一個IP,有點像代理伺服器一樣的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
8、 DHCP Server
在內部網路,為了維護的集中管理和充分利用有限IP地址,都會啟用動態主機分配IP地址伺服器(DHCP Server),Cisco Firewall PIX都具有這種功能,下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.168.1.200
DNS: 主202.96.128.68 備202.96.144.47
主域名稱:abc.com.cn
DHCP Client 通過PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain abc.com.cn
9、 靜態埠重定向(Port Redirection with Statics)
在PIX 版本6.0以上,增加了埠重定向的功能,允許外部用戶通過一個特殊的IP地址/埠通過Firewall PIX 傳輸到內部指定的內部伺服器。這種功能也就是可以發布內部WWW、FTP、Mail等伺服器了,這種方式並不是直接連接,而是通過埠重定向,使得內部伺服器很安全。
命令格式:
static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用戶直接訪問地址222.20.16.99 telnet埠,通過PIX重定向到內部主機192.168.1.99的telnet埠(23)。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.99 FTP,通過PIX重定向到內部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.208 www(即80埠),通過PIX重定向到內部192.168.123的主機的www(即80埠)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.201 HTTP(8080埠),通過PIX重定向到內部192.168.1.4的主機的www(即80埠)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.5 smtp(25埠),通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25埠)
PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
10、顯示與保存結果
採用命令show config
保存採用write memory
今天我們來介紹pix防火牆的一些高級配置。
配置靜態IP地址翻譯(static):
如果從外網發起一個會話,會話的目的地址是一個內網的ip地址,static就把內部地址翻譯成一個指定的全局地址,允許這個會話建立。
static命令配置語法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address,其中internal_if_name表示內部網路介面,安全級別較高。如inside.。external_if_name為外部網路介面,安全級別較低,如outside等。
outside_ip_address為正在訪問的較低安全級別的介面上的ip地址。inside_ ip_address為內部網路的本地ip地址。 示例語句如下:
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
ip地址為192.168.0.8的主機,對於通過pix防火牆建立的每個會話,都被翻譯成61.144.51.62這個全局地址,也可以理解成 static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。PIX將把192.168.0.8映射為61.144.51.62以便NAT更好的工作。
小提示:
使用static命令可以讓我們為一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠為具有較低安全級別的指定介面創建一個入口,使它們可以進入到具有較高安全級別的指定介面。
管道命令(conit):
使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射,但從外部到內部介面的連接仍然會被pix防火牆的自適應安全演算法 (ASA)阻擋,conit命令用來允許數據流從具有較低安全級別的介面流向具有較高安全級別的介面,例如允許從外部到DMZ或內部介面的入方向的會話。
對於向內部介面的連接,static和conit命令將一起使用,來指定會話的建立。說得通俗一點管道命令(conit)就相當於以往CISCO設備的訪問控制列表(ACL)。
conit命令配置語法:
conit permit|deny global_ip port[-port] protocol foreign_ip [netmask],其中permit|deny為允許|拒絕訪問,global_ip指的是先前由global或static命令定義的全局ip地址,如果global_ip為0,就用any代替0;如果global_ip是一台主機,就用host命令參數。
port指的是服務所作用的埠,例如www使用80,smtp使用25等等,我們可以通過服務名稱或埠數字來指定埠。protocol指的是連接協議,比如:TCP、UDP、ICMP等。foreign_ip表示可訪問global_ip的外部ip。對於任意主機可以用any表示。如果 foreign_ip是一台主機,就用host命令參數。示例語句如下:
Pix525(config)#conit permit tcp host 192.168.0.8 eq www any
表示允許任何外部主機對全局地址192.168.0.8的這台主機進行http訪問。其中使用eq和一個埠來允許或拒絕對這個埠的訪問。Eq ftp就是指允許或拒絕只對ftp的訪問。
Pix525(config)#conit deny tcp any eq ftp host 61.144.51.89
設置不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
Pix525(config)#conit permit icmp any any
設置允許icmp消息向內部和外部通過。
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conit permit tcp host 61.144.51.62 eq www any
這兩句是將static和conit語句結合而生效的,192.168.0.3在內網是一台web伺服器,現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射把內部IP192.168.0.3轉換為全局IP61.144.51.62,然後利用conit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。
小提示:
對於上面的情況不使用conit語句設置容許訪問規則是不可以的,因為默認情況下PIX不容許數據包主動從低安全級別的埠流向高安全級別的埠。
配置fixup協議:
fixup命令作用是啟用,禁止,改變一個服務或協議通過pix防火牆,由fixup命令指定的埠是pix防火牆要偵聽的服務。示例例子如下:
Pix525(config)#fixup protocol ftp 21
啟用ftp協議,並指定ftp的埠號為21
Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
為http協議指定80和1080兩個埠。
Pix525(config)#no fixup protocol smtp 80
禁用smtp協議。
設置telnet:
在pix5.0之前只能從內部網路上的主機通過telnet訪問pix。在pix 5.0及後續版本中,可以在所有的介面上啟用telnet到pix的訪問。當從外部介面要telnet到pix防火牆時,telnet數據流需要用 ipsec提供保護,也就是說用戶必須配置pix來建立一條到另外一台pix,路由器或vpn客戶端的ipsec隧道。另外就是在PIX上配置SSH,然後用SSH client從外部telnet到PIX防火牆。
我們可以使用telnet語句管理登錄PIX的許可權,telnet配置語法:telnet local_ip [netmask] local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項,pix的配置方式只能由console進行。也就是說默認情況下只有通過 console口才能配置PIX防火牆。
小提示:
由於管理PIX具有一定的危險性,需要的安全級別非常高,所以不建議大家開放提供外網IP的telnet管理PIX的功能。如果實際情況一定要通過外網IP管理PIX則使用SSH加密手段來完成。
③ 如何為被動模式FTP伺服器配置Windows防火牆 詳細�0�3
通過打開到 TCP 埠號 21 的「命令通道」連接,標准模式 FTP 客戶端會啟動到伺服器的會話。客戶端通過將 PORT 命令發送到伺服器請求文件傳輸。然後,伺服器會嘗試啟動返回到 TCP 埠號 20 上客戶端的「數據通道」連接。客戶端上運行的典型防火牆將來自伺服器的此數據通道連接請求視為未經請求,並會丟棄數據包,從而導致文件傳輸失敗。 Windows Vista 和 Windows Server 2008 中的 高級安全 Windows 防火牆 支持有狀態 FTP ,該 FTP 允許將埠 20 上的入站連接請求與來自客戶端的先前出站 PORT 命令相匹配。但是,如果您通過 SSL 使用 FTP 來加密和保護 FTP 通信,則防火牆不再能夠檢查來自伺服器的入站連接請求,並且這些請求會被阻止。 為了避免此問題, FTP 還支持「被動」操作模式,客戶端在該模式下啟動數據通道連接。客戶端未使用 PORT 命令,而是在命令通道上發送 PASV 命令。伺服器使用 TCP 埠號進行響應,客戶端應連接到該埠號來建立數據通道。默認情況下,伺服器使用極短范圍( 1025 到 5000 )內的可用埠。為了更好保護伺服器的安全,您可以限制 FTP 服務使用的埠范圍,然後創建一個防火牆規則:僅在那些允許的埠號上進行 FTP 通信。 本主題將討論執行以下操作的方法: 1. 配置 FTP 服務以便僅將有限數量的埠用於被動模式 FTP 2. 配置入站防火牆規則以便僅在允許的埠上進行入站 FTP 連接 以下過程顯示在 Internet 信息服務 (IIS) 7.0 版上配置 FTP 服務的步驟。如果您使用其他 FTP 服務,請查閱產品文檔以找到相應的步驟。配置對 SSL 的支持不在本主題的討論范圍之內。有關詳細信息,請參閱 IIS 文檔。 配置 FTP 服務以便僅將有限數量的埠用於被動模式 FTP 1. 在 IIS 7.0 管理器中的「連接」窗格中,單擊伺服器的頂部節點。 2. 在細節窗格中,雙擊「FTP 防火牆支持」。 3. 輸入您希望 FTP 服務使用的埠號的范圍。例如,41000-41099 允許伺服器同時支持 100 個被動模式數據連接。 4. 輸入防火牆的外部 IPv4 地址,數據連接通過該地址到達。 5. 在「操作」窗格中,單擊「應用」保存您的設置。 還必須在 FTP 伺服器上創建防火牆規則,以在前一過程中配置的埠上允許入站連接。盡管您可以創建按編號指定埠的規則,但是,創建打開 FTP 服務所偵聽的任何埠的規則更為容易。通過按前一過程中的步驟操作,您可限制 FTP 偵聽的埠。 配置入站防火牆規則以便僅允許到 FTP 所偵聽埠的入站 FTP 連接 1. 打開管理員命令提示符。依次單擊「開始」、「所有程序」和「附件」,右鍵單擊「命令提示符」,然後單擊「以管理員身份運行」。 2. 運行下列命令: 復制代碼 netsh advfirewall firewall add rule name=」FTP Service」 action=allow service=ftpsvc protocol=TCP dir=in 3. 最後,禁用有狀態 FTP 篩選,以使防火牆不會阻止任何 FTP 通信。 復制代碼 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command. 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable
④ FTP伺服器的防火牆通用設置規則
此FTP伺服器的防火牆通用設置規則適用於Windows(包括伺服器版和桌面版)、Linux伺服器以及可能的其他操作系統。
在配置好FTP伺服器後將發起FTP服務的程序(如Windows的svchost.exe或FileZilla
server.exe)而不僅僅是埠允許通過防火牆,程序(此處特指Windows的svchost.exe)不用帶參數。
svchost.exe這個例外,必須通過控制面板中的
“
允許程序通過
Windows
防火牆通信”
,使得
“Windows
服務主進程”
(
svchost.exe
,C:WindowsSystem32svchost.exe
)允許通過防火牆才可以。
FileZilla也是如此,但無需僅使用控制面板中的
“
允許程序通過
Windows
防火牆通信”,而也可以使用“高級安全Windows防火牆”進行設置
。