Pix 515e防火墙固定IP+VPN设置

Pix 515e防火墙固定IP+VPN设置

pixfirewall#conf ter  
pixfirewal(config)#clear configure all    
pixfirewal(config)# interface ethernet 0    
pixfirewal(config-if)#no shutdown    
pixfirewal(config-if)# ip address 125.89.61.191 255.255.255.0    
pixfirewal(config-if)# nameif outside //设置接口为外网接口，启动安全级别为0    
pixfirewal(config-if)# security-level 0    
pixfirewal(config-if)# exit    
pixfirewal(config)# interface ethernet 1    
pixfirewal(config-if)# no shutdown    
pixfirewal(config-if)# ip address 192.168.11.1 255.255.255.0    
pixfirewal(config-if)# nameif inside ////设置接口为内网接口，启动安全级别为100    
pixfirewal(config-if)# security-level 100    
pixfirewal(config-if)# exit    
pixfirewall(config)# hostname pix515e    
pix515e(config)# global (outside) 1 interface  ！这里的interface用来指定外部端口上的IP地址用于PAT    
pix515e(config)# nat (inside) 1 192.168.11.0 255.255.255.0 0 0  ！允许局域网内所有网段的主机访问外网    
pix515e(config)# route outside 0.0.0.0 0.0.0.0 125.89.61.1 1    
pix515e(config)# telnet 0.0.0.0 0.0.0.0 inside  允许内网地通过telnet 访问pix    
pix515e(config)# telnet timeout 60    
pix515e(config)# password 124563831 ////telnet 密码    
pix515e(config)# enable password 124563831 /////进入特权模式密码    
pix515e(config)# access-list outside_access_in permit icmp any any    
pix515e(config)# access-group outside_access_in in interface outside /////有的PIX IOS默认时内部主机Ping的回显请求包是    
                                                                     不允许通过Outside接口，为了让内网的机器    
                                                                     能够PING出    
pix515e(config)# fixup protocol pptp 1723    
pix515e(config)# dhcpd address 192.168.11.100-192.168.11.200 inside    
pix515e(config)# dhcpd dns 202.96.128.86 202.96.134.33    
pix515e(config)# dhcpd lease 86400    
pix515e(config)# dhcpd enable inside    
pix515e(config)# http server enable    
pix515e(config)# http 0.0.0.0 0.0.0.0 inside    
pix515e(config)# http 0.0.0.0 0.0.0.0 outside    
pix515e(config)# logging enable             //启动日志功能    
pix515e(config)# logging asdm informational    
pix515e(config)# mtu outside 1500    
pix515e(config)# mtu inside 1500    
pix515e(config)# ip audit info action alarm    
pix515e(config)# ip audit attack action alarm    
pix515e(config)# username admin password 124563831 privilege 15  ！web界面管理防火墙的用户名密码

外网SSH:  
pix515e(config)# ca zeroize //清除原有的CA配置    
pix515e(config)# ca generate //配置CA为普通级别配置    
pix515e(config)# ca save //保存CA配置    
//以上配置用来清除、创建并保存CA证书，产生密钥，因使用SSH认证需要在Server端与Client端之间交换密钥    
pix515e(config)# ssh 0.0.0.0 0.0.0.0 outside //配置外部网络使用SSH线路的授权IP，允许所有网络通过VPN 的SSH 方式从E0口登入    
pix515e(config)# ssh timeout 60    
pix515e(config)# username sthb password 123456 //创建认证时的用户名和密码    
pix515e(config)# username zhouping password 124563831 //创建认证时的用户名和密码    
pix515e(config)# aaa authentication ssh console LOCAL //在本地进行认证，为可选项，也可以Tacacs+或Radius上进行，注意这里的“LOCAL”为大写，使用本地用户认证

IPSEC-VPN 设置  
pix515e(config)#ip local pool ipsecvpn 192.168.12.1-192.168.12.254 mask 255.255.255.0 ////建立VPN 动态IP 地址池,当外网用户使用IPSEC--VPN方式登陆时候，自动从IP池分配一个IP 给用户    
pix515e(config)#access-list nonat permit ip 192.168.11.0 255.255.255.0 192.168.12.0 255.255.255.0////建立列表允许vpn用户网段通过PIX 防火墙时，不需要NAT 转换    
pix515e(config)#nat (inside) 0 access-list nonat //应用访问控制列表，0表示不进行转换    
pix515e(config)#sysopt connection permit-vpn    
pix515e(config)#access-list tunnellist permit 192.168.11.0 255.255.255.0    
pix515e(config)#group-policy sante internal    
pix515e(config)#group-policy sante attributes    
-----PIX515e(config-group-policy)#vpn-idle-timeout 20  //////////////////////////////////(可设置永不超时)设置VPN超时时间为20钟    
PIX515e(config-group-policy)#vpn-idle-timeout none           //终止连接时间设为默认值    
PIX515e(config-group-policy)#vpn-session-timeout none        //会话超时采用默认值    
pix515e(config-group-policy)# dns-server value 192.168.1.10 192.168.1.30    
pix515e(config-group-policy)# wins-server value 192.168.1.10 192.168.1.30    
PIX515e(config-group-policy)#split-tunnel-policy tunnelspecified //建立隧道分离策略    
PIX515e(config-group-policy)#split-tunnel-network-list value tunnellist//与tunnellist匹配的网络将全部使用隧道分离    
PIX515e(config-group-policy)#exit    
pix515e(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac//ipsec的数据转换格式集通过des方式加密，对方通过哈希表-md5方式还原数据    
pix515e(config)#crypto dynamic-map mydynmap 20 set transform-set myset//建立加密动态映射图，并采用上建的myset 方式加密解密    
pix515e(config)#crypto map mymap 20 ipsec-isakmp dynamic mydynmap//建立加密静态映射图，加密静态映射图中ipsec-isakmp 采用上建的加密动态映射图加密    
pix515e(config)#crypto map mymap interface outside //将加密静态映射图应用于外网接口    
pix515e(config)#crypto isakmp identity address //isakmp采用地址验证    
pix515e(config)#crypto isakmp enable outside //isakmp 应用于外网接口    
pix515e(config)#crypto isakmp policy 10 //建立isakmp 策略    
pix515e(config-isakmp-policy)#authentication pre-share //使用共享密钥认证    
pix515e(config-isakmp-policy)#encryption des //使用des算法加密    
pix515e(config-isakmp-policy)#hash md5 //哈希使用MD5算法还原数据    
pix515e(config-isakmp-policy)#exit    
pix515e(config)#tunnel-group sante type ipsec-ra //建立VPN 远程登入(即使用隧道分离)组    
pix515e(config)#tunnel-group sante general-attributes //配置VPN远程登入(即使用隧道分离)组的基本属性    
pix515e(config-tunnel-general)#address-pool ipsecvpn //设置VPN登入内网时分配的IP地址池    
pix515e(config-tunnel-general)#authentication-server-group LOCAL //服务端组使用本地认证    
pix515e(config-tunnel-general)#default-group-policy sante //指定默认的组策略为sante    
pix515e(config-tunnel-general)#exit    
pix515e(config)#tunnel-group sante ipsec-attributes //设置VPN 远程登入(即使用隧道分离)组的ipsec属性    
pix515e(config-tunnel-ipsec)#pre-shared-key 123456 //设置使用的共享密钥为123456

本文出自 “周平的微软技术交流平台” 博客，请务必保留此出处http://yuntcloud.blog.51cto.com/1173839/1601588