三 具体配置步骤
如图1所示,PIX520防火墙有两个对外连接的端口,分别连接了移动和电信的这两路互联网出口,对于PIX520防火墙来说,使用多个对外的出口和只使用一个对外的出口,配置思路和方式是一样的,下面我就结合实际工程案例说明一下,配置步骤如下:
(一)为网络模块命名
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 outside2 security0
定义了e0口为连接移动的口,e2口为连接电信的口,e1口为连接内网的口。
(二)定义网口的IP地址
ip address outside 218.*.*.105 255.255.255.240
ip address outside2 222.*.*.93 255.255.255.224
address inside 192.168.201.1 255.255.255.0
连接移动的网卡的IP地址为218.*.*.105,连接电信的网卡的IP地址为222.*.*.93,连接内网的网卡的IP地址为192.168.201.1
(三)设置访问电信的网段走电信的口
route outside2 11.0.0.0 255.252.0.0 222.*.*.65 1
通过静态路由来实现,电信的网段有多个,这些静态路由也要相应的写多条,本例中只列举了其中一条。
(四)设置默认路由
route outside 0.0.0.0 0.0.0.0 218.*.*.97 1
这里要注意,由于我们有两块连向不同互联网出口的网关,所以我们在route命令后跟的网卡名称就不一样,静态路由后面跟的是outside2(即连电信的网卡),默认路由后面跟的是outside(即连移动的网卡)。
(五)设置指向内部网络的路由
route inside 10.0.0.0 255.0.0.0 192.168.201.2 1
route inside 192.168.0.0 255.255.0.0 192.168.201.2 1
route inside 172.19.0.0 255.255.0.0 192.168.201.2 1
同理,内部局域网中有多个网段(通过在三层交换机上创建相应的VLAN),我们就要在PIX520防火墙针对内部网段写多条路由,本例中我们列举了三条。
(六)配置动态NAT
1、创建一个ACL,里面包含允许访问外部网络的网段
access-list acl_inside deny udp any any eq tftp
……(省略了多条不允许进行的网络访问规则)
access-list acl_inside permit ip any any
这个名为acl_inside的ACL很重要,它描述了一些不允许访问的端口(主要是为了防止网络攻击),然后放开了其它的限制(即permit ip any any)
2、在内网端口上应用这个ACL
access-group acl_inside in interface inside
3、分别在两个外网端口上应用这个ACL
access-group acl_inside in interface outside
access-group acl_inside in interface outside2
(在新增的网络模块上也要应用这个ACL,这一点同样非常重要,我们在前期调试过程就是由于忽略了这一点,造成了往电信的线路老是调不通)。
4、执行动态NAT(PAT)
global (outside) 1 interface
global (outside2) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
出于节约公网IP地址的目的,我们在PIX520防火墙上采用PAT(端口映射)的NAT方式,这也就意味着当用户访问位于电信网段的服务器时,他的内网IP地址会被转换为outside2这个端口的IP地址,而访问其它的网段的时候,他的内网IP地址则会被转换outside这个端口的IP地址。