PIX防火墻透明模式

（1）應(yīng)用環(huán)境

如下圖：

內(nèi)網(wǎng)與Internet的連接早已經(jīng)部署好，但是沒有在內(nèi)網(wǎng)中安裝防火墻。

出于安全的考慮，現(xiàn)需要在內(nèi)網(wǎng)中安裝防火墻（其實(shí)也可以在出口），但是需求是，原來內(nèi)網(wǎng)中的所有配置都不應(yīng)發(fā)生改變，這時(shí)就需要使用防火墻的透明模式。

（2）部署

防火墻上的配置：

【1】基本接口配置

pixfirewall(config)# int e1

pixfirewall(config-if)# no shu

pixfirewall(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

pixfirewall(config-if)# int e2

pixfirewall(config-if)# no shu

pixfirewall(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

【2】透明模式配置

pixfirewall(config)# firewall transparent //開啟透明模式

pixfirewall(config)# ip address 172.16.1.254 255.255.255.0 //配置管理IP地址，方便遠(yuǎn)程管理，此時(shí)e1和e2接口都會(huì)自動(dòng)配置此IP地址

開啟透明模式后，默認(rèn)情況下，PIX防火墻會(huì)拒絕所有數(shù)據(jù)流。

所以這里需要允許OSPF數(shù)據(jù)和ICMP數(shù)據(jù)通過，并對(duì)ICMP協(xié)議進(jìn)行修正

pixfirewall(config)# access-list permitospf permit ospf any any //創(chuàng)建允許OSPF數(shù)據(jù)的訪問列表

pixfirewall(config)# access-group permitospf in interface inside //允許OSPF數(shù)據(jù)從inside接口進(jìn)來

pixfirewall(config)# access-group permitospf in interface outside //允許OSPF數(shù)據(jù)從outside接口進(jìn)來

pixfirewall(config)# access-list permiticmp permit icmp any any //創(chuàng)建允許ICMP數(shù)據(jù)的訪問列表

pixfirewall(config)# access-group permiticmp in interface inside //允許ICMP數(shù)據(jù)從outside接口進(jìn)來

pixfirewall(config)# fixup protocol icmp //開啟ICMP協(xié)議修正

疑問：為什么不用有outside接口允許ICMP數(shù)據(jù)進(jìn)來？

這完全是根據(jù)個(gè)人需求配置，如果希望ICMP數(shù)據(jù)從outside接口主動(dòng)進(jìn)來，那么可以這樣配置。

對(duì)于OSPF數(shù)據(jù)，因?yàn)閕nside和outside兩邊的OSPF數(shù)據(jù)都是單播的，所以需要兩邊都允許進(jìn)來才能正確建立鄰居關(guān)系。

而ICMP數(shù)據(jù)，為了安全，只在inside接口主動(dòng)進(jìn)來，然后PIX防火墻開啟狀態(tài)化檢測(cè)，允許ICMP應(yīng)答包從outside接口進(jìn)來。