(1)應用環境
如下圖:
內網與internet的連線早已經部署好,但是沒有在內網中安裝防火牆。
出於安全的考慮,現需要在內網中安裝防火牆(其實也可以在出口),但是需求是,原來內網中的所有配置都不應發生改變,這時就需要使用防火牆的透明模式。
(2)部署
防火牆上的配置:
基本介面配置
pixfirewall(config)#int e1
pixfirewall(config-if)#no shu
pixfirewall(config-if)#nameif inside
info: security level for "inside" set to 100 by default.
pixfirewall(config-if)#int e2
pixfirewall(config-if)#no shu
pixfirewall(config-if)#nameif outside
info: security level for "outside" set to 0 by default.
透明模式配置
pixfirewall(config)#firewall transparent//開啟透明模式
pixfirewall(config)#ip address 172.16.1.254 255.255.255.0//配置管理ip位址,方便遠端管理,此時e1和e2介面都會自動配置此ip位址
開啟透明模式後,預設情況下,pix防火牆會拒絕所有資料流。
所以這裡需要允許ospf資料和icmp資料通過,並對icmp協議進行修正
pixfirewall(config)#access-list permitospf permit ospf any any//建立允許ospf資料的訪問列表
pixfirewall(config)#access-group permitospf in inte***ce inside//允許ospf資料從inside介面進來
pixfirewall(config)#access-group permitospf in inte***ce outside//允許ospf資料從outside介面進來
pixfirewall(config)#access-list permiticmp permit icmp any any//建立允許icmp資料的訪問列表
pixfirewall(config)#access-group permiticmp in inte***ce inside//允許icmp資料從outside介面進來
pixfirewall(config)#fixup protocol icmp//開啟icmp協議修正
疑問:為什麼不用有outside介面允許icmp資料進來?
這完全是根據個人需求配置,如果希望icmp資料從outside介面主動進來,那麼可以這樣配置。
對於ospf資料,因為inside和outside兩邊的ospf資料都是單播的,所以需要兩邊都允許進來才能正確建立鄰居關係。
而icmp資料,為了安全,只在inside介面主動進來,然後pix防火牆開啟狀態化檢測,允許icmp應答包從outside介面進來。
防火牆透明模式
1,特性介紹 防火牆作為一實際存在的物理裝置,其本身也起到路由的作用,所以在為使用者安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改連線防火牆的路由表,以適應使用者的實際需要,這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式,即採用無ip方式執行,使用者將不必重新設定和修改路由...
防火牆透明模式
1,特性介紹 防火牆作為一實際存在的物理裝置,其本身也起到路由的作用,所以在為使用者安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改連線防火牆的路由表,以適應使用者的實際需要,這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式,即採用無ip方式執行,使用者將不必重新設定和修改路由...
PIX 防火牆應用舉例
設 ethernet0命名為外部介面outside,安全級別是0。ethernet1被命名為內部介面inside,安全級別100。ethernet2被命名為中間介面dmz,安全級別50。參考配置 pix525 conf t 進入配置模式 pix525 config nameif ethernet0 ...