Pix 515e防火墙固定IP+VPN设置

Pix 515e防火墙固定IP+VPN设置

pixfirewall#conf ter

pixfirewal(config)#clear configure all

pixfirewal(config)# interface ethernet 0

pixfirewal(config-if)#no shutdown

pixfirewal(config-if)# ip address 125.89.61.191 255.255.255.0

pixfirewal(config-if)# nameif outside //设置接口为外网接口,启动安全级别为0

pixfirewal(config-if)# security-level 0

pixfirewal(config-if)# exit

pixfirewal(config)# interface ethernet 1

pixfirewal(config-if)# no shutdown

pixfirewal(config-if)# ip address 192.168.11.1 255.255.255.0

pixfirewal(config-if)# nameif inside ////设置接口为内网接口,启动安全级别为100

pixfirewal(config-if)# security-level 100

pixfirewal(config-if)# exit

pixfirewall(config)# hostname pix515e

pix515e(config)# global (outside) 1 interface  !这里的interface用来指定外部端口上的IP地址用于PAT

pix515e(config)# nat (inside) 1 192.168.11.0 255.255.255.0 0 0  !允许局域网内所有网段的主机访问外网

pix515e(config)# route outside 0.0.0.0 0.0.0.0 125.89.61.1 1

pix515e(config)# telnet 0.0.0.0 0.0.0.0 inside  允许内网地通过telnet 访问pix

pix515e(config)# telnet timeout 60

pix515e(config)# password 124563831 ////telnet 密码

pix515e(config)# enable password 124563831 /////进入特权模式密码

pix515e(config)# access-list outside_access_in permit icmp any any

pix515e(config)# access-group outside_access_in in interface outside /////有的PIX IOS默认时内部主机Ping的回显请求包是

不允许通过Outside接口,为了让内网的机器

能够PING出

pix515e(config)# fixup protocol pptp 1723

pix515e(config)# dhcpd address 192.168.11.100-192.168.11.200 inside

pix515e(config)# dhcpd dns 202.96.128.86 202.96.134.33

pix515e(config)# dhcpd lease 86400

pix515e(config)# dhcpd enable inside

pix515e(config)# http server enable

pix515e(config)# http 0.0.0.0 0.0.0.0 inside

pix515e(config)# http 0.0.0.0 0.0.0.0 outside

pix515e(config)# logging enable             //启动日志功能

pix515e(config)# logging asdm informational

pix515e(config)# mtu outside 1500

pix515e(config)# mtu inside 1500

pix515e(config)# ip audit info action alarm

pix515e(config)# ip audit attack action alarm

pix515e(config)# username admin password 124563831 privilege 15  !web界面管理防火墙的用户名密码

外网SSH:

pix515e(config)# ca zeroize //清除原有的CA配置

pix515e(config)# ca generate //配置CA为普通级别配置

pix515e(config)# ca save //保存CA配置

//以上配置用来清除、创建并保存CA证书,产生密钥,因使用SSH认证需要在Server端与Client端之间交换密钥

pix515e(config)# ssh 0.0.0.0 0.0.0.0 outside //配置外部网络使用SSH线路的授权IP,允许所有网络通过VPN 的SSH 方式从E0口登入

pix515e(config)# ssh timeout 60

pix515e(config)# username sthb password 123456 //创建认证时的用户名和密码

pix515e(config)# username zhouping password 124563831 //创建认证时的用户名和密码

pix515e(config)# aaa authentication ssh console LOCAL //在本地进行认证,为可选项,也可以Tacacs+或Radius上进行,注意这里的“LOCAL”为大写,使用本地用户认证

IPSEC-VPN 设置

pix515e(config)#ip local pool ipsecvpn 192.168.12.1-192.168.12.254 mask 255.255.255.0 ////建立VPN 动态IP 地址池,当外网用户使用IPSEC--VPN方式登陆时候,自动从IP池分配一个IP 给用户

pix515e(config)#access-list nonat permit ip 192.168.11.0 255.255.255.0 192.168.12.0 255.255.255.0////建立列表允许vpn用户网段通过PIX 防火墙时,不需要NAT 转换

pix515e(config)#nat (inside) 0 access-list nonat //应用访问控制列表,0表示不进行转换

pix515e(config)#sysopt connection permit-vpn

pix515e(config)#access-list tunnellist permit 192.168.11.0 255.255.255.0

pix515e(config)#group-policy sante internal

pix515e(config)#group-policy sante attributes

-----PIX515e(config-group-policy)#vpn-idle-timeout 20  //////////////////////////////////(可设置永不超时)设置VPN超时时间为20钟

PIX515e(config-group-policy)#vpn-idle-timeout none           //终止连接时间设为默认值

PIX515e(config-group-policy)#vpn-session-timeout none        //会话超时采用默认值

pix515e(config-group-policy)# dns-server value 192.168.1.10 192.168.1.30

pix515e(config-group-policy)# wins-server value 192.168.1.10 192.168.1.30

PIX515e(config-group-policy)#split-tunnel-policy tunnelspecified //建立隧道分离策略

PIX515e(config-group-policy)#split-tunnel-network-list value tunnellist//与tunnellist匹配的网络将全部使用隧道分离

PIX515e(config-group-policy)#exit

pix515e(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac//ipsec的数据转换格式集通过des方式加密,对方通过哈希表-md5方式还原数据

pix515e(config)#crypto dynamic-map mydynmap 20 set transform-set myset//建立加密动态映射图,并采用上建的myset 方式加密解密

pix515e(config)#crypto map mymap 20 ipsec-isakmp dynamic mydynmap//建立加密静态映射图,加密静态映射图中ipsec-isakmp 采用上建的加密动态映射图加密

pix515e(config)#crypto map mymap interface outside //将加密静态映射图应用于外网接口

pix515e(config)#crypto isakmp identity address //isakmp采用地址验证

pix515e(config)#crypto isakmp enable outside //isakmp 应用于外网接口

pix515e(config)#crypto isakmp policy 10 //建立isakmp 策略

pix515e(config-isakmp-policy)#authentication pre-share //使用共享密钥认证

pix515e(config-isakmp-policy)#encryption des //使用des算法加密

pix515e(config-isakmp-policy)#hash md5 //哈希使用MD5算法还原数据

pix515e(config-isakmp-policy)#exit

pix515e(config)#tunnel-group sante type ipsec-ra //建立VPN 远程登入(即使用隧道分离)组

pix515e(config)#tunnel-group sante general-attributes //配置VPN远程登入(即使用隧道分离)组的基本属性

pix515e(config-tunnel-general)#address-pool ipsecvpn //设置VPN登入内网时分配的IP地址池

pix515e(config-tunnel-general)#authentication-server-group LOCAL //服务端组使用本地认证

pix515e(config-tunnel-general)#default-group-policy sante //指定默认的组策略为sante

pix515e(config-tunnel-general)#exit

pix515e(config)#tunnel-group sante ipsec-attributes //设置VPN 远程登入(即使用隧道分离)组的ipsec属性

pix515e(config-tunnel-ipsec)#pre-shared-key 123456 //设置使用的共享密钥为123456

本文转自 zhou_ping 51CTO博客,原文链接:http://blog.51cto.com/yuntcloud/1601588,如需转载请自行联系原作者

上一篇:PfSense基于BSD的软件防火墙的安装、配置与应用
下一篇:Centos6.3利用iptables配置网关防火墙