pix只支持ip包,带有选项字段的ip包是过不了pix的,
传输层协议
tcp
面向连接可靠的传输层协议,确认机制,序列号,pix可以对tcp维护状态表项,列表只对初始化的包有效.
udp
面向无连接,没有确认机制,高效率.
nat
1.有限公网地址
2.私网地址转换公网
3.隐藏源ip地址,增加安全性.
高安全级别到低安全级别做nat.
低安全级别到高安全级别做static.
fw1(config)#nat (inside) 1 10.0.0.0 255.255.255.0
fw1(config)#nat (dmz) 1 172.16.0.0 255.255.255.0
fw1(config)#global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0
fw1(config)#global (dmz) 1 172.16.0.20-172.16.0.254 netmask 255.255.255.0
fw1(config)#nat (dmz) 0 192.168.0.9 255.255.255.255(nat 0加列表可以低到高)
static
低级别流量访问高级别.永久的转换槽位.
fw1(config)#static(dmzj,outside) 192.168.1.3 172.16.1.9 netmask 255.255.255.255
show local-host (那个主机的连接)
clear local-host (清理某个主机的连接)
nat static
fw1(config)#static (dmz,outside) 192.168.10.0 192.168.1.0 netmast 255.255.255.0
static pat:port redirection(端口重定向)
static (dmz,outside) tcp 218.18.100.2 23 10.1.1.2 23
static (dmz,outside) tcp interface 2323 10.1.1.2 23
connection limits(连接限制)控制连接数
static (dmz,outside) 218.18.100.2 2.2.2.2 tcp 2(同一时间tcp连接数,默认是0,代表不限制,) 2(半开连接数) udp (同一时间udp连接数2)基于主机的不是基于连接的,取最小值.
static要优先于nat.
nat策略
如果是启用了nat-control,一个包必须要经过转换才有可能通过pix,除了nat0加访问控制列表,如果没有转换槽位,他会动态的建立,如果没有包将被drop.
从高级别到低级别nat
一个包抵达inside接口或者高级别接口,首先查访问控制列表,如果没有访问控制列表就放行,源地址检测,检查转换情况,如果没有转换槽位,需要建立.查nat配置.nat0加访问控制列表最优先,然后是static nat,然后插static的pat,然后再查policy nat,然后再查正常nat.如果没有任何nat就drop.
acl
时间列表
fw1(config)#time-range temp-worker
fw1(config-time-range)#ahsolute start 00:00 1 august 2004 end 00:00:30 augst 2004
fw1(config-time-range)#periodic weekdays 8:00 to 17:00
fw1(config)#static (dmz,outside) 192.168.0.6 172.16.0.6
fw1(config)#access-list aclin permit tcp host 192.168.10.2 host 192.168.0.6 eq www time-range temp-worker
acl logging
fw1(config)#access-list outside-acl permit icmp any host 192.168.1.1 log interval 600
fw1(config)#access-list deny-flow-max 1024(匹配1024个不发logging)
fw1(config)#access-list alert-intervla 120(每120秒发送一次logging)
acl line number插入
fw1(config)#access-list aclout line 4 permit tcp any host 192.168.0.9 www
icmp
fw1(config)#icmp permit any echo-reply outside
fw1(config)#icmp permit any unreachable outside
隐含icmp deny any outside
nat0加访问控制列表协议一定要是ip.
policy nat可以随便.
aaa acl
access-list 110 permit tcp any host 192.168.2.10 eq www
aaa authentication match 110 outside my_acs
java filtering(java过滤)
activex filter(插件过滤)
fw1(config)#filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
fw1(config)#filter java 80 192.168.10.0 255.255.255.0 0 0
http url filtering(url过滤)
websense-based
n2h2 http
fw1(config)#url-server (dmz) vendor h2h2 host 172.16.0.3 protocol tcp
fw1(config)#filter url http 0 0 0 0 allow(当和url-server不能通信,放行)
fw1(config)#filter https 0 0 0 0 allow(websense-based支持)
ftp过滤
fw1(config)#url-server (dmz) vendor websense host 172.16.0.3 timeout 10 protocol tcp version 4
fw1(config)#filter url http 0 0 0 0 allow
标签:outside,192.168,fw1,PIX,7.0,static,nat,config,Day From: https://www.cnblogs.com/smoke520/p/18366015