PI防火墻的安裝流程.doc_第1頁
PI防火墻的安裝流程.doc_第2頁
PI防火墻的安裝流程.doc_第3頁
PI防火墻的安裝流程.doc_第4頁
PI防火墻的安裝流程.doc_第5頁
已閱讀5頁,還剩21頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、Cisco PIX防火墻的安裝流程Cisco PIX防火墻的安裝流程1. 將 PIX 安放至機架,經(jīng)檢測電源系統(tǒng)后接上電源,并加電主機。2.將 CONSOLE 口連接到 PC 的串口上,運行 HyperTerminal程序從CONSOLE 口進入PIX 系統(tǒng);此時系統(tǒng)提示 pixfirewall 。3.輸入命令: enable, 進入特權模式,此時系統(tǒng)提示為 pixfirewall# 。4.輸入命令: configure terminal,對系統(tǒng)進行初始化設置。5.配置以太口參數(shù):interface ethernet0 auto( auto 選項表明系統(tǒng)自適應網(wǎng)卡類型)interface et

2、hernet1 auto6. 配置內外網(wǎng)卡的 IP 地址:ip address inside ip_address netmask ip address outside ip_address netmask7. 指定外部地址范圍:global 1 ip_address-ip_address8. 指定要進行要轉換的內部地址: nat 1 ip_address netmask9. 設置指向內部網(wǎng)和外部網(wǎng)的缺省路由route inside 0 0 inside_default_router_ip_address route outside 0 0 outside_default_router_ip_

3、address10. 配置靜態(tài) IP 地址對映:static outside ip_addressinside ip_address11. 設置某些控制選項:conduit global_ip port-port protocol foreign_ip netmaskglobal_ip指的是要控制的地址port指的是所作用的端口,其中0 代表所有端口protocol指的是連接協(xié)議,比如:TCP、UDP等foreign_ip表示可訪問global_ip的外部ip ,其中表示所有的ip 。12.設置telnet選項:telnet local_ip netmasklocal_ip 表示被允許通過 t

4、elnet 訪問到 pix 的 ip 地址(如果不設此項, PIX 的配置只能由 consle 方式進行)。13. 將配置保存:wr mem14. 幾個常用的網(wǎng)絡測試命令:#ping#show interface查看端口狀態(tài)#show static查看靜態(tài)地址映射Cisco PIX 520 是一款性能良好的網(wǎng)絡安全產品, 如果再加上 Check Point 的軟件防火墻組成兩道防護,可以得到更加完善的安全防范。主要用于局域網(wǎng)的外連設備(如路由器、撥號訪問服務器等)與內部網(wǎng)絡之間,實現(xiàn)內部網(wǎng)絡的安全防范,避免來自外部的惡意攻擊。Cisco PIX 520 的默認配置允許從內到外的所有信息請求,拒

5、絕一切外來的主動訪問,只允許內部信息的反饋信息進入。當然也可以通過某些設置,例如:訪問表等,允許外部的訪問。 因為,遠程用戶的訪問需要從外到內的訪問。另外,可以通過NAT 地址轉換,實現(xiàn)公有地址和私有地址的轉換。簡單地講, PIX 520的主要功能有兩點:1. 實現(xiàn)網(wǎng)絡安全2. 實現(xiàn)地址轉換下面簡單列出 PIX 520的基本配置1.Configure without NATnameif ethernet0 outside security0nameif ethernet1 inside security100interface ethernet0 autointerface ethernet1

6、 autoip address outside (假設對外端口地址 )ip address inside (假設內部網(wǎng)絡為 :)hostname bluegardenarp timeout 14400no failovernamespager lines 24logging buffered debuggingnat (inside) 0 0 0rip inside default no rip inside passive no rip outside default rip o

7、utside passiveroute outside 1(外連設備的內部端口地址)timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absoluteno snmp-server location no snmp-server contact snmp-server community publicmtu outside 1500 mtu inside 15002.Configure

8、with NATnameif ethernet0 outside security0nameif ethernet1 inside security100interface ethernet0 autointerface ethernet1 autoip address outside (假設對外端口地址 )ip address inside (假設內部網(wǎng)絡為 :)hostname bluegardenarp timeout 14400no failovernamespager l

9、ines 24logging buffered debuggingnat (inside) 1 0 0global (outside) 1 0-0 global (outside) 1 1no rip inside default no rip inside passive no rip outside default no rip outside passiveconduit permit icmp any anyroute outside 1(外連設備的內部端口

10、地址)timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absoluteno snmp-server location no snmp-server contact snmp-server community publicmtu outside 1500 mtu inside 1500Cisco PIX的多點服務配置結構圖如下 :PIX 520Two Interface Multiple Server Configurationnameif

11、ethernet0 outside security0nameif ethernet0 inside security100interface ethernet0 autointerface ethernet1 autoip address inside ip address outside 0 logging onlogging host 1logging trap 7logging facility 20no logging consolearp timeout 600nat (inside

12、) 1 nat (inside) 2 global (outside) 1 5-7global (outside) 1 4global (outside) 2 -54conduit permit icmp any anyoutbound 10 deny 55 1720outbound 10 deny 0 0 80outbound 10 permit 192

13、.168.3.3 55 80outbound 10 deny 55 javaoutbound 10 permit 1 55 80apply (inside) 10 outgoing_srcno rip outside passiveno rip outside defaultrip inside passiverip inside defaultroute outside 0 0 .1tacacs-server host 2 lq2w3ea

14、aa authentication any inside 0 0 tacacs+aaa authentication any inside 0 0static (inside,outside) netmask conduit permit tcp eg h323 anystatic (inside,outside) 9 1cond

15、uit permit tcp host 9 eq 80 anyconduit permit udp host 9 eq rpc host 7conduit permit udp host 9 eq 2049 host 7static (inside.outside) 0 netmask 55 10 10conduit permit tcp host 0 eq smtp anyconduit permit

16、 tcp host 0 eq 113 anysnmp-server host snmp-server location building 42snmp-server contact polly hedrasnmp-server community ohwhatakeyistheetelnet 1 55telnet CISCOPIX防火墻配置實踐-介紹一個PIX防火墻實際配置案例,因為路由器的配置在安全性方面和PIX防火墻是相輔相成的,所以路由器的配置實例也一并列

17、出。PIX防火墻設置PIX防火墻的外部地址:ip address outside 設置PIX防火墻的內部地址:ip address inside 設 置 一 個 內 部 計 算機與 Internet 上 計 算 機 進 行 通 信 時 所 需的全局地址池:global 1 0-54允許網(wǎng)絡地址為 的網(wǎng)段地址被PIX翻譯成外部地址:nat 1 網(wǎng)管工作站固定使用的外部地址為1:static 1 0允許從RTRA發(fā)送到到網(wǎng)管工作

18、站的系統(tǒng)日志包通過PIX防火墻:conduit 1 514 udp 55允許從外部發(fā)起的對郵件服務器的連接(0):mailhost 0 允許網(wǎng)絡管理員通過遠程登錄管理IPX防火墻:telnet 0在位于網(wǎng)管工作站上的日志服務器上記錄所有事件日志:syslog facility 20.7syslog host 0路由器RTRA-RTRA是外部防護路由器,它必須保護PIX防火墻免受直接攻擊,保護FTP/HTTP 服務器,同時作為一個警

19、報系統(tǒng),如果有人攻入此路由器,管理可以立即被通知。阻止一些對路由器本身的攻擊:no service tcp small-servers強制路由器向系統(tǒng)日志服務器發(fā)送在此路由器發(fā)生的每一個事件,包括被存取列表拒絕的包和路由器配置的改變;這個動作可以作為對系統(tǒng)管理員的早期預警,預示有人在試圖攻擊路由器,或者已經(jīng)攻入路由器,正在試圖攻擊防火墻:logging trap debugging此地址是網(wǎng)管工作站的外部地址,路由器將記錄所有事件到此主機上:logging 1保護PIX防火墻和HTTP/FTP 服務器以及防衛(wèi)欺騙攻擊(見存取列表):enable secret xxxxxxx

20、xxxxinterface Ethernet 0ip address interface Serial 0ip unnumbered ethernet 0ip access-group 110 in禁止任何顯示為來源于路由器RTRA和PIX防火墻之間的信息包,這可以防止欺騙攻擊:access-list 110 deny ip 55 any log防止對PIX防火墻外部接口的直接攻擊并記錄到系統(tǒng)日志服務器任何企圖連接PIX防火墻外部接口的事件:access-list 110 deny ip any host 13

21、 log允許已經(jīng)建立的TCP會話的信息包通過:access-list 110 permit tcp any 55 established允 許 和 FTP/HTTP服 務 器 的 FTP 連接:access-list 110 permit tcp any host eq ftp允許和FTP/HTTP服務器的FTP 數(shù)據(jù)連接:access-list 110 permit tcp any host eq ftp-data允 許 和 FTP/HTTP服 務 器 的 HTTP 連接:access-list

22、110 permit tcp any host eq www禁止和FTP/HTTP 服務器的別的連接并記錄到系統(tǒng)日志服務器任何企圖連接FTP/HTTP 的事件:access-list 110 deny ip any host log允許其他預定在PIX防火墻和路由器RTRA之間的流量:access-list 110 permit ip any 55限制可以遠程登錄到此路由器的IP地址:line vty 0 4loginpassword xxxxxxxxxxaccess-class 10 in只允許網(wǎng)管工作站遠程登錄到此路由器,當你想從Internet管理此路由器時,應對此存取控制列表進行修改:access-list 10 permit ip 1路由器RTRB-RTRB是內部網(wǎng)防護路由器,它是你的防火墻的最后一道防線,是進入內部網(wǎng)的入口。記錄此路由器上的所有活動到網(wǎng)管工作站上的日志服務器,包括配置的修改:logging trap debugginglogging 0允許通向網(wǎng)管工作站的系統(tǒng)日志信息:interface Ethernet 0ip address no ip proxy-arpip access-grou

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論