配置经由 PIX 的入站的访问配置

　　1.配置经由PIX的入站访问

　　有一个方法可以让从低安全级界面的连接访问高安全级的界面

　　1.1 静态网络地址转换,为了使外部主机向内部主机发送数据，需要为内部主机配置一个静态转换列表，这也可以通过使用一个nat0 access-list地址转换规则来完成.

　　static (inside,outside) 192.168.100.10 10.1.100.10 netmask 255.255.255.0

　　10.1.100.10是将被映射的地址

　　192.168.100.10是real_address转换而成的地址.

　　可以通过static命令来转换一个ip 子网

　　static (inside,outside) 192.168.1.0 10.1.100.0 netmask 255.255.255.0

　　关于静态端口地址转换,使用static命令的interface选项,可以运用静态PAT来允许外部主机访问归于一台内部主机的TCP/UDP服务.

　　1.2 acl或者conduit

　　2.nat 0命令

　　如果在内部网络有一个公用地址，要想内部主机不经过转换去外部网络，可以让NAT停止作用。nat 0命令禁止地址转换，所以对外部网络来说

　　内部ip 地址是可见的，重要的是要注意到nat 0是与acl联合起来使用的,提供对发生于内部主机/网络不经过转换到外部网络的流量的访问

　　access-listacl_nonat permit 192.168.43.0 255.255.255.0 192.168.6.0

　　nat (inside) 0 acl_nonat

　　使用static命令或nat 0命令时要求使用访问列表来对已识别的主机/网络建立一个连接.

　　3.使用ACLS

　　access-list id action protocol source_address s_mask s_port destination_address d_mask d_port

　　通过access-group应用到相应的pix界面上.

　　access-group id ininterface interface_name

　　注意在cisco ios软件访问列表时，在定义子网掩码时，pix使用规则标准的子网掩码，而像router等等设备使用通配符

　　1,3命令示范

　　pix(config)#static (inside,outside) 192.168.1.10 10.1.100.10 netmask 255.255.255.255

　　使用static命令将10.1.100.10转换成192.168.1.10

　　pix(config)#access-list acl_out permit tcp any host 192.168.1.10 eq www

　　acl命令允许http只是访问主机10.1.100.10,已经被转换成192.168.1.10

　　pix(config)#access-group acl_out in interface outside

　　将acl运用到外部界面

　　**对于入站访问，必须先拒绝然后再许可

　　**对于进站访问，必须先许可然后再拒绝

　　限制内部用户对位于端口80的一个外部网络服务器的访问

　　pix(config)#access-list acl_in dengy tcp any host 172.16.68.20 eq www

　　pix(config)#access-list acl_in permit ip any any

　　pix(config)#access-group acl_in in interface inside

　　4.对象分组概述

　　使用这个功能，主要是可以对诸如主机（服务器和客户方）服务，网络等对象进行分组并对各组应用不同的安全策略和规则。

　　[no] object-group object-type id

　　在这里object-group用来表示索要配置的对象分组类型,有如下4个选项:

　　network

　　protocol

　　service

　　icmp-type

　　对所分组用一个描述性的名字来替代grp-id.

　　4.1network对象类型

　　pix(config)#object-group network web_servers

　　pix(config-network)#description Public web servers

　　pix(config-network)#network-object host 192.168.1.12

　　pix(config-network)#network-object host 192.168.1.14

　　pix(config-network)#exit

　　pix(config)#access-list 102 permit tcp any object-group web_servers eq www

　　pix(config)#access-group 102 in interface outside

　　pix(config)#show object-group

　　4.2Protocol对象类型

　　要在现存的协议对象分组中加入一项单独的协议，使用protocol-object protocol命令

　　pix(config)#object-group protocol grp_citrix

　　pix(config-network)#protocol-object tcp

　　pix(config-network)#protocol-object citrix

　　pix(config-network)#exit

　　4.3service对象类型

　　service对象类型定义可以分组的端口号，其在管理应用程序时尤为有用。

　　[no] object-group service obj_grp_id tcp/UDP/tcp-udp

　　port-object eq service命令就会将一个单独的TCP/UDP端口号加入到服务对象分组中去.port-object rang begin_service end_service则会将一系列

　　TCP/UDP端口号加入到服务对象分组中去.

　　pix(config)#object-group service mis_service tcp

　　pix(config-network)#port-object eq ftp

　　pix(config-network)#port-object rang 5200 6000

　　>pix(config-network)#exit

　　4.4关于icmp-type对象类型和嵌套对象分组，省略，基本上用处不大.

　　5Fixup命令的使用

　　由fixup命令所制定的端口是pix监听到的对象,fixup命令可以用来改变缺省的端口分配.

　　[no] fixup protocol [protocol] [port]

　　no pix protocol命令来重设对缺省配置的应用程序检查条目。

　　clear fixup命令从添加的配置中移除fixup 命令，但其并不移除缺省的fixup protocol命令

　　所以这里需要记住，如果你只用protocol protocol http 8080，并没有改变默认的fixup protocol http 80，通过show fixup你可以看到pix在端口80,8080,8888监听到http流量

　　经验，我做过一个cisco vpnclient访问公司的lotus notes信箱，很有意思的是我不能直接打开lotus notes,而只能在island状态下作replication，后来我关闭了no fixup protocol smtp 25,就可以了。

　　no fixup protocol ftp命令来使ftp fixups失去作用，出站用户只能以被动模式来发起连接，而所有的入站ftp都被静止.。