pix防火墙5613.pdf

上传人：得**

文档编号：75416138

上传时间：2023-03-03

格式：PDF

页数：13

大小：1.32MB

( 4.5 )

《pix防火墙5613.pdf》由会员分享，可在线阅读，更多相关《pix防火墙5613.pdf（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、PC 平台模拟pix 防火墙 2009-07-09 16:14:00|分类：个人日记|举报|字号订阅一，所需软件：网卡模拟器openvpn:文件:openvpn-2.0.9-install.rar 大小:931KB 下载:下载 PIX 模拟器pemu:文件:pemu_win32_02.rar 大小:411KB 下载:下载 CPU 使用率控制器BES:文件:BES(CPU 使用率控制).zip 大小:455KB 下载:下载 PIX 的 IOS 文件：pix721.bin VMware 模拟主机 dynamips 模拟路由器 tomcat 模拟服务器 SecureCRT 5.1 二，安装软件：

2、SecureCRT：（用于连接防火墙和路由器的终端）按“下一步”常规安装（序列号在压缩包中）OpenVPN：（在本地PC添加虚拟网卡，为了桥接虚拟机以及模拟路由dynamips）1.安装openvpn-2.0.9-install.exe 2.在安装目录的bin 目录下（一般为C:Program FilesOpenVPNbin）运行 addtap.bat 3.每运行一次，添加一个虚拟网卡，名为本地链接2，本地链接3，本地链接4.4.把虚拟网卡改名为tap0、tap1、tap2，后面在开启pix 模拟器时可使用这三个网卡 5.如果要删除虚拟网卡的话，运行deltapall.bat PIX：（模拟防

3、火墙）安装pemu，解压开即可！把pix721.bin 改成pix721.rar并解压，提取pix 文件放入pemu 文件夹里编辑pemu 目录中的pemu.ini 文件：清空原有内容粘贴以下黄色代码：serial=0 x302aab20 image=pix key=0 xd2390d2c,0 x9fc4b36d,0 x98442d99,0 xeef7d8b1 bios1=mybios_d8000 bios2=bios.bin bios_checksum=1 DOS 界面下进入到pemu 目录中，运行以下命令：（启动防火墙并使三块网卡与防火墙的三个端口进入已连接状态）pemu.exe-ne

4、t nic,macaddr=00:aa:00:00:02:01-net tap,ifname=tap0-net nic,macaddr=00:aa:00:00:02:02-net tap,ifname=tap1-net nic,macaddr=00:aa:00:00:02:03-net tap,ifname=tap2-serial telnet:4444,server,nowait 用secureCRT 登录防火强（telnet 127.0.0.1 端口4444）第一次可看到以下启动信息：此时，show version 可看到由于激活码无效使防火墙处于受限功能状态。可按以下步骤操作开启PIX

5、防火墙的无限制模式：1.输入激活码 2.退出防火墙 3.关闭并重新运行模拟器（因为模拟的防火墙并不能真正的重启（reload）pixfirewall en en Password:pixfirewall#ac 0 xd2390d2c 0 x9fc4b36d 0 x98442d99 0 xeef7d8b1 pixfirewall#exit pixfirewall exit 因为从pix 7.x 开始，无法在pemu.ini 中指定激活码，因此需要启动后手工录入，录入后会写在flash 中，因此不用担心信息丢失。重新运行模拟器后，查看防火墙版本信息show version，下图显示已经是无限制的全

6、功能版本了！CPU 使用率控制器BES：限制pemu 模拟器CPU 利用率，防止pemu 使 cpu 利用率太高以至于电脑无法运行其他程序解压即可运行，运行后操作步骤：1.点击“TARGET”，选择防火墙模拟器的进程“pemu.exe”2.点击“LIMIT this”3.点击“CONTROL”，限制CPU 使用率制作pemu 脚本文件：为了方便不用每次都开pemu，可一次把以下命令写在bat 文件中：（每次启动 pemu 直接运行这个bat 文件）cd cd(pemu 所在路径)pemu pemu.exe-net nic,macaddr=00:aa:00:00:02:01-net tap,

7、ifname=tap0-net nic,macaddr=00:aa:00:00:02:02-net tap,ifname=tap1-net nic,macaddr=00:aa:00:00:02:03-net tap,ifname=tap2-net nic,macaddr=00:aa:00:00:02:04-net tap,ifname=tap3-serial telnet:4444,server,nowait 三，搭建实验拓扑：实验拓扑图：拓扑中的接口IP 地址：E0：外网ip（此实验用172.20.6.66 代表）E1：192.168.4.254 E2：192.168.3.254 F1/0：

8、192.168.4.2 F0/0：192.168.1.2 F0/1：192.168.2.2 1.VMware 中三台虚拟机的桥接操作一台做DMZ 区服务器，另两台作为inside 内部主机设置虚拟机的虚拟网卡桥接编辑-虚拟网络设置-选到主机虚拟网络映射选项卡其中代表tap2 1.在 DMZ 虚拟机中右击虚拟机右下角的网卡图标选编辑进行设置选择tap2 的网卡进行桥接（表明DMZ 服务器已经跟防火墙的E2 口相连）2.在 inside1 虚拟机中设置网卡选择VMnet1 的网卡进行桥接（VMnet1 是与dynamips 的 F0/0 口桥接的，这样以使inside1 与 dynam

9、ipsF0/0 相连）3.在 Inside2 虚拟机中设置网卡选择VMnet8 的网卡进行桥接（VMnet8 是与dynamips 的 F0/1 口桥接的，这样以使inside2 与 dynamipsF0/1 相连）这样三台虚拟机的桥接工作就完成了！2.Dynamips 的桥接操作 Dynamips 在此实验中模拟路由器选定设备类型然后载入相应的IOS 文件并计算其Idle 值点确定。在这里设置要桥接的网卡参数，选择一个PC 然后计算桥接参数，然后确定。分别是三块网卡tap1，VMnet1，VMnet8 tap1 是防火墙E1 口的桥接网卡 VMnet1 是 inside host1

10、的桥接网卡 VMnet8 是 inside host2 的桥接网卡此处是路由器与三个虚拟网卡的桥接 V0/1 指 VMnet1（可以看做inside host1）V0/2 指 VMnet8（可以看做inside host2）V0/3 指 tap1(可以看做防火墙E1 口)3.防火墙的E0 口（outside）与本地pc 的桥接在本地PC 上选中本地连接网卡和tap0 网卡进行桥接：(两块网卡必须配上相同网段的IP)桥接后在防火墙的EO 口配上外网的公有IP，这样使防火墙直接与外网互联了！以上是所有设备的连接操作，拓扑图已经搭建好了,可以进行防火墙的实验了四，防火墙的配置：1，实验需要完

11、成的目标在 DMZ 虚拟机上用tomcat 软件搭建服务器作为堡垒主机，可以被外网进行访问 Inside host1 和 Inside host2 不允许外网进行访问 Inside host2 可以访问DMZ 服务器，Inside host1 不可访问DMZ 服务器 2，PIX 防火墙具体配置 pixfirewall#sh run:Saved:PIX Version 7.2(1)!hostname pixfirewall enable password 2KFQnbNIdI.2KYOU encrypted names!interface Ethernet0 nameif outside 设置

12、为外部区域 security-level 0 设置安全级别为0 ip address 172.20.6.66 255.255.255.0 !interface Ethernet1 speed 100 duplex full nameif inside 设置为内部区域 security-level 100 设置安全级别为100 ip address 192.168.4.254 255.255.255.0 !interface Ethernet2 speed 100 duplex full nameif dmz 设置为DMZ 区域 security-level 50 设置安全级别为50 ip ad

13、dress 192.168.3.254 255.255.255.0 !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list 101 extended permit tcp any host 172.20.6.67 eq 8080 允许外网访问dmz 服务器的8080 端口 access-list 101 extended permit tcp any host 172.20.6.67 eq ftp-data 允许外网访问dmz 服务器的20 端口 access-list 101 extended permit tcp an

14、y host 172.20.6.67 eq ftp 允许外网访问dmz 服务器的21 端口 pager lines 24 mtu outside 1500 mtu inside 1500 mtu dmz 1500 no failover no asdm history enable arp timeout 14400 static(dmz,outside)172.20.6.67 192.168.3.1 netmask 255.255.255.255 设置静态映射dmz 和 outside static(inside,outside)172.20.6.68 192.168.2.1 netmask

15、 255.255.255.255 设置静态映射inside2 和 outside static(inside,outside)172.20.6.69 192.168.1.1 netmask 255.255.255.255 设置静态映射inside1 和 outside access-group 101 in interface outside 将访问控制列表放到E0 口 route outside 0.0.0.0 0.0.0.0 172.20.6.254 1 指向到外网的默认路由，使inside 区域能访问外网 route inside 192.168.2.0 255.255.255.0 19

16、2.168.4.2 1 指向到inside2 的静态路由 route inside 192.168.1.0 255.255.255.0 192.168.4.2 1 指向到inside1 的静态路由 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02

17、:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no service password-recovery telnet timeout 5 ssh timeout 5 console timeout 0!prompt hostname context Cry

18、ptochecksum:83990f7648b12a9f4476dfa57366786e:end 3.路由器具体配置：Router#sh run Building configuration.Current configuration:!version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname Router!memory-size iomem 15 ip subnet-zero no ip domain-lookup!int

19、erface FastEthernet0/0 ip address 192.168.1.2 255.255.255.0 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.2.2 255.255.255.0 duplex auto speed auto!interface FastEthernet1/0 ip address 192.168.4.2 255.255.255.0 ip access-group 101 out 将访问控制列表放在F1/0 口的出方向上 duplex auto speed auto!

20、ip classless ip route 0.0.0.0 0.0.0.0 192.168.4.254 指向到防火墙的默认路由 ip route 192.168.3.0 255.255.255.0 192.168.4.254 指向到DMZ 区域的静态路由 no ip http server!access-list 101 permit tcp host 192.168.2.1 host 192.168.3.1 eq 8080允许inside host2 访问dmz 服务器 access-list 101 deny tcp host 192.168.1.1 host 192.168.3.1 eq

21、 8080 不允许inside host1 访问dmz 服务器 access-list 101 permit ip any any 允许其他包通过!line con 0 exec-timeout 0 0 logging synchronous transport input none line aux 0 line vty 0 4 login!no scheduler allocate end 3，测试：Outside主机访问DMZ tomcat服务器：http:/172.20.6.67:8080/index.jsp 访问成功 Inside host2 访问DMZ tomcat 服务器：http:/192.168.3.1:8080/index.jsp 访问成功 Inside host1 不能访问DMZ 服务器 Outside 主机不能访问inside 区域的主机

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

15 金币

版权申诉 word格式文档无特别注明外均可编辑修改；预览文档经过压缩，下载后原文更清晰！ 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: pix 防火墙 5613

淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

限制150内

关于本文

本文标题：pix防火墙5613.pdf
链接地址：https://www.taowenge.com/p-75416138.html