- shutdown : administratively shut down interface
?Note: tránh sử dụng từ khóa auto trên bất kì interface Ethernet
nào . Duplex mismatch có thể xảy ra và làm giảm hoạt động của
Pix .
· ip address command :
Mỗi interface trên pix phải được cấu hình với 1 địa chỉ .
ip address if_name ip_address [netmask]
· nat command :
Network address translation (NAT) giúp cho user dấu được địa
chỉ internal khi đi ra mạng ngoài .
nat (if_name) nat_id local_ip [netmask]
- if_name : tên của internal interface sẽ sử dụng địa chỉ
global . Dữ liệu sẽ đi ra khỏi pix thông qua interface
được chỉ ra trong global command .
- nat_id : chỉ ra global pool , id này phải giống với id
trong global commad
- local_ip : địa chỉ IP được đăng kí đến thiết bị của
inside netword .0.0.0.0 (có thể viết tắt là 0) được sử dụng
để cho phép tất cả các kết nối outbound được nat ra
ngoài với điạ chỉ trong global command .
- netmask : mặt nạ mạng cho local ip address
Khi bắt đầu cấu hình pix , tất cả các host có thể truy cập các kết
nối outbound với nat 1 0.0.0.0 0.0.0.0 command . Câu lệnh này có
ý nghĩa cho phép tất cả các inside host được phép nat ra ngoài
tương ứng với địa chỉ trong global command . 0 có thể được sử
dụng để thay thế 0.0.0.0
· global command :
Khi dữ liệu được gửi đi từ một trusted network đến untrusted
network, địa chỉ source ip thường được chuyển đổi . Pix thực hiện
điều này bằng 2 câu lệnh , câu lệnh thứ nhất là nat – định nghĩa
địa chỉ trusted source sẽ được chuyển đổi , câu lệnh thứ hai là

global command - định nghĩa tầm địa chỉ mà source address sẽ
chuyển đổi thành .
global (if_name) nat_id interface | global_ip [- global_ip]
netmask [global_mask]
Ví dụ về NAT :
Khi gói dữ liệu outbound được gửi từ một thiết bị thuộc mạng
inside đến pix , địa chỉ source được extract ra và so sánh với bảng
chuyển đổi internal . Nếu địa chỉ của thiết bị không có trong bảng ,
nó sẽ được chuyển đổi thành . Một entry mới được tạo ra cho thiết
bị đó , sau đó nó được đăng kí một địa chỉ global ip từ pool địa chỉ
global . Đây được gọi là translation slot . Sau khi translation xảy
ra , bảng được update và gói ip được chuyển đổi đó được gửi ra
ngoài . Sau khoảng thời gian timeout (mặc định là 3 giờ) , sẽ
không có gói tin được translate nào dành cho địa chỉ global đó ,
entry của nó ở trong bảng translation sẽ bị loại bỏ và địa chỉ global
được sử dụng bởi bất kì host nào trong mạng inside .
Quá trình được miêu tả như hình vẽ sau :
Error!

?NOTE : PIX firewall đăng kí địa chỉ từ global pool bắt đầu từ
thấp cho đến cao . Sau khi thay đổi , thêm vào , hay loại bỏ một
global statement , sử dụng clear xlate để xóa tất cả các translation
slot .
· Route command : định nghĩa một static route cho một
interface .
route if_name ip_address netmask gateway_ip [metric]
3. PIX firewall translation
PIX firewall có thể được sử dụng để translate tất cả địa chỉ bên
trong , khi dữ liệu đi từ inside ra outside hay đi đến một mạng có
mức security thấp hơn . Nếu user ở mạng outside cố gắng thực

hiện kết nối đến inside , user đó sẽ không thành công . Một session
không thể được tạo ra từ Internet với địa chỉ đích là địa chỉ private
trừ khi nó được cấu hình cho phép thực hiện điều đó .
Có hai cách để một mạng ít tin cậy hơn đi vào một mạng có độ tin
cậy cao hơn là :
- Response to Valid Request : Khi user ở inside thành lập một
kết nối đến thiết bị ở outside , mặc định response cho request
đó được phép qua pix . Tất cả kết nối từ inside đến outside sẽ
được update trong bảng translation . Khi một thiết bị outside
đáp ứng cho request đó , PIX firewall sẽ kiểm tra bảng
translation để xem thử có translation slot nào tồn tại cho
request đó hay không ? Nếu nó tồn tại, PIX firewall cho phép
response tiếp tục . Sau khi session được tạo ra , idle timer sẽ
bắt đầu khởi động , mặc định là 3 giờ .
- Cấu hình Conduit : Được sử dụng cho việc liên lạc từ
outside đến inside . Static translation hoặc là global và nat được
cấu hình trước , sau đó cấu hình conduit để định nghĩa địa chỉ ,
hay là một nhóm địa chỉ , source port hay là destination port
được phép đi qua pix .
a. Static address translation :
Static address translation được sử dụng nếu một host được
translate đến cùng một địa chỉ khi mỗi outbound session được tạo
ra qua pix . Tức là nó được dùng để tạo ra một ánh xạ cố định
(static translation slot) giữa một địa chỉ local và một địa chỉ global
. Khi kết nối đến internet , địa chỉ global phải được phải là địa chỉ
thực ( địa chỉ được đăng kí )
Static address translation được sử dụng bằng câu lệnh sau :
Static [(internal_if_name , external_if_name)] global_ip
local_ip [netmask network_mask] [max_conns [em_limit]]
[norandomseq]

Đối với outbound connection , sử dụng static để chỉ ra một địa chỉ
global luôn được sử dụng cho việc translation giữa local host và
global host đó . Đối với inbound connection , mặc định là các host
ở untrusted network sẽ không được vào trusted network , do đó
muốn cho các mạng outside vào inside , ta sẽ phải sử dụng kết hợp
cả static command và conduit command để định nghĩa các địa chỉ
trong mạng outside .
Một chú ý quan trọng là :
o Conduit command cho phép kết nối từ interface có mức bảo
mật thấp hơn đến interface có mức bảo mật cao hơn .
o Static command được sử dụng để tạo ra ánh xạ cố định giữa
local host và global ip address .
Conduit command :

conduit permit | deny protocol global_ip global_mask [operator
port [port]] foreign_ip foreign_mask [operator port [port]]
Một ví dụ khi sử dụng conduit command là kiểm tra kết nối thông
qua pix với các message ICMP . Để cho phép một gói tin echo-
request từ outside qua pix , conduit phải được cấu hình . Ngoài ra ,
user outside cũng cần phải có một địa chỉ đích để sử dụng , thông
tin này có thể được map vào pix sử dụng static command .
b. Dynamic address translation : đây chính là sử dụng nat và
global command mà ta đã nhắc đến phía trước .
Ngoài ra thay vì nat các địa chỉ inside ra outside trong một pool
địa chỉ , ta cũng có thể nat bằng một địa chỉ global bằng cách sử
dụng PAT (port address translation) . PAT là sự kết hợp một địa
chỉ và một source port number để tạo ra một session duy nhất . Pix
sẽ translate mỗi địa chỉ local đến cùng một điạ chỉ global nhưng
đăng kí giá trị port khác nhau và lớn hơn 1024. Câu lệnh cấu hình
PAT giống như Nat , nhưng trong global command , thay vì sử

dụng một pool địa chỉ ,ta chỉ sử dụng 1 địa chỉ .
c. Cấu hình NAT 0
Đây là chức năng phổ biến khi kết nối đến internet để cho phép
truy cập từ outside đến HTTP server hoặc là SMTP server . Các
server này phải có địa chỉ thực để còn liên lạc với các thiết bị khác
trong mạng internet . Do đó có thể cấu hình pix để địa chỉ private
của thiết bị đó trong inside network được phép đi ra ngoài mạng
mà không có quá trình translation .
Sử dụng nat 0 command phụ thuộc vào chính sách bảo mật mà nơi
ta áp đặt nó vào . Nếu chính sách đó cho phép các internal client
sử dụng địa chỉ private của chúng để đi ra ngoài internet , nat 0 sẽ
đáp ứng dịch vụ đó . Sử dụng nat 0 một minh sẽ không cho phép
truy cập từ outside đến inside . Nếu chính sách cho phép truy cập
từ outside đến inside , ta phải cấu hình thêm conduit command .
4. Truy nhập vào PIX firewall
Pix có thể được truy nhập vào thông qua port console hoặc là truy
cập từ xa qua các phương pháp sau :
- telnet
- Secure Shell (SSH)
- Browser sử dụng PIX device Manger (PDM)
a. Truy cập vào PIX bằng Telnet
Có thể quản lí PIX firewall thông qua Telnet từ các host thuộc
internal interface . Nếu IPSEC được cấu hình thì ta có thể quản lí
PIX từ các interface có security level thấp hơn
Để truy cập vào PIX thông qua kết nối Telnet , ta cấu hình như
sau :
bước 1 : cho phép host hay mạng được phép telnet :
telnet local_ip [mask] [if_name]
bước 2 : đặt password cho Telnet :
passwd telnetpasswd

bước 3 : Nếu cần thiết thì thiết lập cho phép Telnet session được
idle trong khoảng bao lâu trước khi Pix làm rớt kết nối . Mặc định
là 5 phút .
telnet timeout time
b. Cấu hình truy cập PIX qua Secure Shell (SSH)
SSH là một chương trình ứng dụng chạy trên lớp transport , có khả
năng xác thực và mã hóa mạnh do đó nó có độ bảo mật cao hơn
Telnet . 5 SSH client có thể được phép truy cập PIX console đồng
thời . PIX firewall hỗ trợ SSH v1 .
Cấu hình PIX cho việc truy cập thông qua SSH có 2 bước :
- Cấu hình trên PIX để chấp nhận kết nối SSH
- Cấu hình SSH client để kết nối đến PIX
5. LAB
Bài 1 : Cấu hình translation
Scenario :
Error!

Địa chỉ của các interface như sau :

Device Interface Address
PIX E0
E1
E2
209.162.1.1/24
10.10.10.1/24
172.16.1.1/24
Router
2530
E0 209.162.1.2/24
Router

dmz
E0 172.16.1.2/24
PC 10.10.10.10/24

Cấu hình toàn bộ :
Pix# write terminal
Building configuration
: Saved
:
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Pix