|
|
如果从外网发起一个会话,会话的目的地址是一个内网的IP地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
|
|
|
|
|
其中,internal_if_name表示内部网络接口,安全级别较高,如inside。
|
|
|
external_if_name为外部网络接口,安全级别较低,如outside等。
|
|
|
outside_ip_address为正在访问的较低安全级别接口上的IP地址。
|
|
|
inside_ip_address为内部网络的本地IP地址。
|
|
|
|
|
表示IP地址为192.168.0.8的主机,对于通过PIX防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部IP地址192.168.0.8和外部IP地址61.144.51.62之间的静态映射。
|
|
|
|
|
表示创建了内部IP地址192.168.0.8和外部IP地址10.0.1.3之间的静态映射。
|
|
|
|
|
表示创建了DMZ的IP地址211.48.16.2和外部IP地址172.16.10.8之间的静态映射。
|
|
|
以上几个例子说明使用static命令可以让我们为一个特定的内部IP地址设置一个永久的全局IP地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
|
|
|
|
前面讲过使用static命令可以在一个本地IP地址和一个全局IP地址之间创建一个静态映射,但从外部到内部接口的连接仍然会被PIX防火墙的自适应安全算法(ASA)阻挡。conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入口方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
|
|
|
|
|
|
global_ip指的是先前由global或static命令定义的全局IP地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
|
|
|
port指的是服务所作用的端口,例如www使用80,smtp使用25等,我们可以通过服务名称或端口数字来指定端口。
|
|
|
protocol指的是连接协议,比如TCP、UDP和ICMP等。
|
|
|
foreign_ip表示可访问global_ip的外部IP。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
|
|
|
|
|
这个例子表示允许任何外部主机对全局地址为192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq www就是指允许或拒绝只对www的访问。
|
|
|
|
|
表示不允许外部主机61.144.51.89对任何全局地址进行FTP访问。
|
|
|
|
|
|
|
|
这个例子说明了static和conduit的关系。192.168.0.3在内网是一台Web服务器,现在希望外网的用户能够通过PIX防火墙得到Web服务,所以先做static静态映射,即192.168.0.3->61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行HTTP访问。
|
|
|
|
fixup命令的作用是启用、禁止、改变一个服务或协议通过PIX防火墙,由fixup命令指定的端口是PIX防火墙要侦听的服务。
|
|
|
|
|
|
|
|
|
|
|
|
|
telnet有一个版本的变化,在PIX OS 5.0(PIX操作系统的版本号)之前,只能从内部网络上的主机通过telnet访问PIX。在PIX OS 5.0及后续版本中,可以在所有的接口上启用telnet到PIX的访问。当从外部接口telnet到PIX防火墙时,telnet数据流需要用IPSec提供保护,也就是说用户必须配置PIX来建立一条到另外一台PIX路由器或vpn客户端的IPSec隧道。另外就是在PIX上配置SSH,然后用SSH Client从外部telnet到PIX防火墙,PIX支持SSH1和SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下,Cisco路由器的telnet就做得不怎么样了。
|
|
|
|
|
提示:local_ip表示被授权通过telnet访问到PIX的IP地址。如果不设此项,PIX的配置方式只能由console进行。
|
|
|