PIX多模式--虚拟化防火墙技术

（1）应用环境

·出于某种安全因素的考虑，接口e1与接口e2上各有不同需求的配置。

·此时全局配置模式对e1和e2接口都有影响，所以需要虚化出两台防火墙。

·使得两台虚拟化防火墙的配置各不影响。

虚拟化防火墙后，上面的环境等同于：

（2）部署

验证：show flash:

【配置概述】

第一步：PC1-PC2-R3基础IP地址配置（略）

第二步：FW1全局配置

Step 【1】：FW1物理接口基本配置

Step 【2】：FW1多模式配置

第三步：虚拟化防火墙V1配置

Step 【1】：定义全局管理模式admin

Step 【2】：FW1虚拟化防火墙V1

Step 【3】：V1访问Internet

第四步：虚拟化防火墙V2配置（略）

Step 【1】：FW1虚拟化防火墙V2

Step 【2】：V2访问Internet

【配置过程】

第一步：PC1-PC2-R3基础IP地址配置（略）

第三步：FW1全局配置

Step 【1】：FW1物理接口基本配置

pixfirewall(config)# interface e1

pixfirewall(config-if)# no shu tdown

pixfirewall(config-if)# interface e2

pixfirewall(config-if)# no shu tdown

pixfirewall(config-if)# interface e3

pixfirewall(config-if)# no shutdown

Step 【2】：FW1多模式配置

pixfirewall(config-if)# mode multiple

WARNING: This command will change the behavior of the device

WARNING: This command will initiate a Reboot

注意：需要重启设备，同时要使PIX具有多模式配置的功能，必须导入激活码

第三步：虚拟化防火墙V1配置

Step 【1】：定义全局管理模式admin

pixfirewall(config)# admin-context admin //定义全局管理模式admin

pixfirewall(config)# context admin //进入全局管理模式admin

pixfirewall(config-ctx)# config-url flash:/admin.cfg //定义全局管理模式配置文件保存点

Step 【2】：FW1虚拟化防火墙V1配置

pixfirewall(config)# context v1 //创建虚拟环境V1和虚拟化防火墙V1

Creating context 'v1'... Done. (2)

pixfirewall(config-ctx)# allocate-interface Ethernet1 //分配接口e1到V1

pixfirewall(config-ctx)# allocate-interface Ethernet3 //分配接口e2到V2

pixfirewall(config-ctx)# config-url flash:/v1.cfg //创建虚拟防火墙V1配置保存地点

Step 【3】：V1访问Internet配置

pixfirewall(config)# changeto context v1 //进入虚拟防火墙V1

接口基本配置：

pixfirewall/v1(config)# int e1

pixfirewall/v1(config-if)# no shu

pixfirewall/v1(config-if)# ip add 192.168.1.254 255.255.255.0

pixfirewall/v1(config-if)# nameif inside

pixfirewall/v1(config-if)# security-level 100

pixfirewall/v1(config-if)# int e3

pixfirewall/v1(config-if)# no shu

pixfirewall/v1(config-if)# ip add 100.1.1.1 255.255.255.0

pixfirewall/v1(config-if)# nameif outsid

pixfirewall/v1(config-if)# security-level 0

默认路由与NAT：

pixfirewall/v1(config)# route outside 0 0 100.1.1.254

pixfirewall/v1(config)# access-list NAT permit ip any any

pixfirewall/v1(config)# nat (inside) 1 access-list NAT 

pixfirewall/v1(config)# global (outside) 1 interface 

协议修正：

pixfirewall/v1(config)# fixup protocol icmp

pixfirewall/v1(config)# wr 

第四步：虚拟化防火墙V2配置（略）

Step 【1】：FW1虚拟化防火墙V2

Step 【2】：V2访问Internet