配置经由PIX的入站的访问配置

1.配置经由PIX的入站访问 有一个方法可以让从低安全级界面的连接访问高安全级的界面 1.1 静态网络地址转换,为了使外部主机向内部主机发送数据，需要为内部主机配置一个静态转换列表，这也可以通过使用一个nat 0 access- list地址转换规则来完成. static (insi

1.配置经由PIX的入站访问

有一个方法可以让从低安全级界面的连接访问高安全级的界面

1.1 静态网络地址转换,为了使外部主机向内部主机发送数据，需要为内部主机配置一个静态转换列表，这也可以通过使用一个nat 0 access-

list地址转换规则来完成.

static (inside,outside) 192.168.100.10 10.1.100.10 netmask 255.255.255.0

10.1.100.10是将被映射的地址

192.168.100.10是real_address转换而成的地址.

可以通过static命令来转换一个ip 子网

static (inside,outside) 192.168.1.0 10.1.100.0 netmask 255.255.255.0

关于静态端口地址转换,使用static命令的interface选项,可以运用静态PAT来允许外部主机访问归于一台内部主机的TCP/UDP服务.

1.2 acl或者conduit

2.nat 0命令

如果在内部网络有一个公用地址，要想内部主机不经过转换去外部网络，可以让NAT停止作用。nat 0命令禁止地址转换，所以对外部网络来说

内部ip 地址是可见的，重要的是要注意到nat 0是与acl联合起来使用的,提供对发生于内部主机/网络不经过转换到外部网络的流量的访问

access-list acl_nonat permit 192.168.43.0 255.255.255.0 192.168.6.0

nat (inside) 0 acl_nonat

使用static命令或nat 0命令时要求使用访问列表来对已识别的主机/网络建立一个连接.

3.使用ACLS

access-list id action protocol source_address s_mask s_port destination_address d_mask d_port

通过access-group应用到相应的pix界面上.

access-group id ininterface interface_name

注意在cisco ios软件访问列表时，在定义子网掩码时，pix使用规则标准的子网掩码，而像router等等设备使用通配符

1,3命令示范

pix(config)#static (inside,outside) 192.168.1.10 10.1.100.10 netmask 255.255.255.255

使用static命令将10.1.100.10转换成192.168.1.10

pix(config)#access-list acl_out permit tcp any host 192.168.1.10 eq www

acl命令允许http只是访问主机10.1.100.10,已经被转换成192.168.1.10

pix(config)#access-group acl_out in interface outside

将acl运用到外部界面

**对于入站访问，必须先拒绝然后再许可

**对于进站访问，必须先许可然后再拒绝

限制内部用户对位于端口80的一个外部网络服务器的访问

pix(config)#access-list acl_in dengy tcp any host 172.16.68.20 eq www

pix(config)#access-list acl_in permit ip any any

pix(config)#access-group acl_in in interface inside

4.对象分组概述

使用这个功能，主要是可以对诸如主机（服务器和客户方）服务，网络等对象进行分组并对各组应用不同的安全策略和规则。

[no] object-group object-type id

在这里object-group用来表示索要配置的对象分组类型,有如下4个选项:

network

protocol

service

icmp-type

对所分组用一个描述性的名字来替代grp-id.

4.1network对象类型

pix(config)#object-group network web_servers

pix(config-network)#description Public web servers

pix(config-network)#network-object host 192.168.1.12

pix(config-network)#network-object host 192.168.1.14

pix(config-network)#exit

pix(config)#access-list 102 permit tcp any object-group web_servers eq www

pix(config)#access-group 102 in interface outside

pix(config)#show object-group

4.2Protocol对象类型

要在现存的协议对象分组中加入一项单独的协议，使用protocol-object protocol命令

pix(config)#object-group protocol grp_citrix

pix(config-network)#protocol-object tcp

pix(config-network)#protocol-object citrix

pix(config-network)#exit

4.3service对象类型

service对象类型定义可以分组的端口号，其在管理应用程序时尤为有用。

[no] object-group service obj_grp_id tcp/UDP/tcp-udp

port-object eq service命令就会将一个单独的TCP/UDP端口号加入到服务对象分组中去.port-object rang begin_service end_service则会将一系列

TCP/UDP端口号加入到服务对象分组中去.

pix(config)#object-group service mis_service tcp

pix(config-network)#port-object eq ftp

pix(config-network)#port-object rang 5200 6000

>pix(config-network)#exit

4.4关于icmp-type对象类型和嵌套对象分组，省略，基本上用处不大.

5Fixup命令的使用

由fixup命令所制定的端口是pix监听到的对象,fixup命令可以用来改变缺省的端口分配.

[no] fixup protocol [protocol] [port]

no pix protocol命令来重设对缺省配置的应用程序检查条目。

clear fixup命令从添加的配置中移除fixup 命令，但其并不移除缺省的fixup protocol命令

所以这里需要记住，如果你只用protocol protocol http 8080，并没有改变默认的fixup protocol http 80，通过show fixup你可以看到pix在端口80,8080,8888监听到http流量

经验，我做过一个cisco vpn client访问公司的lotus notes信箱，很有意思的是我不能直接打开lotus notes,而只能在island状态下作replication，后来我关闭了no fixup protocol smtp 25,就可以了。

no fixup protocol ftp命令来使ftp fixups失去作用，出站用户只能以被动模式来发起连接，而所有的入站ftp都被静止.