PIX访问控制列表和内容过滤（3）

三、使用ACL

在下面所示的网络，在inside接口上使用名为acl_out的ACL来控制入站流量。该ACL拒绝来自内部网络的HTTP连接，而允许其他所有的IP流量通过。在inside接口上使用这个ACL可以限制内部用户建立通向外部的连接。

为允许出站连接，内部网络地址（10.0.0.0）被动态转换为从192.168.0.20到192.168.0.254之间的地址。

下面列出了实现上图所描述的网络拓扑结构的ACL配置。
pixfirewall(config)#write terminal
...
nameif ethernet0 outside sec0
nameif ethernet1 insside sec100
access-list acl_out deny tcp any any eq www
access-list acl_out permit ip any any
access-group acl_outin interface inside
nat (inside) 1 10.0.0.0 255.255.255.0
global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0

如下图所示的网络，在outside接口上使用名为acl_in_dmz的ACL来控制入站流量。该ACL只允许从Internet Web服务器通过80端口的web连接，而拒绝其他所有到DMZ或内部网络的IP访问。

当从外部网络访问DMZ上的web服务器时，需要将外部地址（192.168.0.11）静态转换成DMZweb服务器的地址（172.16.0.2）。

下面列出了实现上图所描述的网络拓扑结构的ACL配置。
pixfirewall(config)#write terminal
...
nameif ethernet0 outsidesec0
nameif ethernet1 inside sec100
nameif ethernet2 dmz sec50
ip address outside 192.168.0.2 255.255.255.0
ip address dmz 172.16.0.1 255.255.255.0
static (dmz,outside) 192.168.0.11 172.16.0.2
access-list acl_in_dmz permit tcp any host 192.168.0.11 eq www
access-list acl_in_dmz deny ip any any
access-group acl_in_dmz in interface outside

如下图所示的网络，在Partnernet网络的接口上使用名为acl_partner的ACL来控制其入站流量。该ACL只允许172.18.0.0/28网络中的主机到DMZ中的Web服务器通过静态转换后的地址的web连接，而拒绝其他所有来自Partnernet网络的流量。


在DMZ接口上使用名为acl_dmz_in的ACL来控制其入站流量。该ACL仅允许主机172.16.0.4到inside接口上的内部mail服务器的mail访问，而拒绝其他所有来自DMZ网络的流量。

下面列出了实现上述要求的ACL配置：
pixfirewall(config)#write terminal
...
nameif ethernet0 outside sec0
nameif ethernet1 inside sec100
nameif ethernet2 dmz sec50
nameif ethernet3 partnernet sec40
static (dmz,partnernet) 172.18.0.17 172.16.0.2
static (inside,dmz) 172.16.0.11 10.0.0.4
access-list acl_partner permit tcp 172.18.0.0 255.255.255.0 host 172.18.0.17 eq www
access-group acl_partner in interface partnernet
access-list acl_dmz_in permit tcp host 172.16.0.4 host 172.16.0.11 eq smtp
access-group acl_dmz_in in interface dmz

如下图所示的VPN解决方案中，PIX防火墙上有两个专用接口直连到Cisco虚拟专用网络（VPN）集中器上。其中dmz接口连接到VPN集中器的public接口上，而dmz2接口连接到VPN集中器的private接口上。VPN集中器可以配置为从地址池10.2.21.33-62中为VPN客户端分配一个地址。

在PIX防火墙上为去往VPN客户端的出站流量定义了一条静态路由。为了允许VPN客户端与PIX防火墙内部网络中的主机之间进行通信，需要在PIX防火墙上配置一条静态转换。

在PIX防火墙上配置如下两个ACL，可以控制从Internet到PIX防火墙内部网络的入站流量和从VPN客户端到PIX防火墙内部网络的出站流量：
●名为IPSEC的ACL允许从Internet到VPN集中器上public接口的HTTPS流量，仅允许到VPN集中器的IPSEC流量。
●名为WEB的ACL允许从VPN客户端（10.0.21.33-62）到内部Web服务器（10.0.0.10）的HTTP流量。

下面列出了实现这种VPN环境所需的ACL配置。
pixfirewall(config)#write terminal
...
static (dmz,outside) 192.168.0.12 172.16.0.5 netmask 255.255.255.255 0 0
static (inside,dmz) 10.0.21.10 10.0.0.10 netmask 255.255.255.255
route dmz2 10.0.21.32 255.255.255.224 172.18.0.5 1
access-list IPSEC permit tcp any host 192.168.0.12 eq 443
access-list IPSEC permit esp any host 192.168.0.12
access-list IPSEC permit udp any host 192.168.0.12 eq isakmp
access-group IPSEC in interface outside
access-list WEB permit tcp 10.0.21.32 255.255.255.224 10.0.21.10 255.255.255.255 eq www
access-group WEB in interface dmz2

icmp命令

可以允许或禁止PING PIX防火墙上的接口。如果禁止PING，网络中就无法发现PIX防火墙。使用icmp命令可以实现这个功能。

缺省情况下，不允许穿过PIX防火墙来ping一个PIX防火墙上的接口。例如，内部主机ping不通PIX防火墙上的outside接口，却可以ping通PIX防火墙上的inside接口。

使用icmp命令时，通过配置icmp命令语句来允许或拒绝终止于PIX防火墙的ICMP流量。如果第一个匹配的条目包含permit，那么将继续处理ICMP数据包。如果第一个匹配的条目包含deny，或者没有匹配的条目，那么PIX防火墙将拒绝ICMP数据包并且产生％PIX-3-313001系统日志消息。不配置任何icmp命令语句是个例外，这时缺省为permit。

Cisco建议准许ICMP unreachable信息类型（Type3）。一旦拒绝ICMP unreachable信息，将不能自动发现ICMP路径最大传输单元（MTU），于是会中断IP安全（IPsec）和点到点隧道协议（PPTP）流量。

clear icmp命令用来从配置中删除icmp命令语句。

icmp命令的语法如下：
icmp permit | deny arc_addr src_mask [icmp-type] if_name
clear icmp
show icmp
●permit/deny－－表示允许或拒绝ping PIX防火墙上的一个接口