1、CiscoPIX防火墙的安装流程CiscoPIX防火墙的安装流程Cisco PIX防火墙的安装流程1. 将PIX安放至机架,经检测电源系统后接上电源,并加电主机。 2. 将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入 PIX系统;现在系统提示pixfirewall。 3. 输入命令:enable,进入特权模式,现在系统提示为pixfirewall#。 4. 输入命令: configure terminal,对系统进行初始化设置。 5. 配置以太口参数: interface ethernet0 auto (auto选项讲明系统自适应网卡类型 ) i
2、nterface ethernet1 auto 6. 配置内外网卡的IP地址: ip address inside ip_address netmask ip address outside ip_address netmask 7. 指定外部地址范畴: global 1 ip_address-ip_address 8. 指定要进行要转换的内部地址: nat 1 ip_address netmask 9. 设置指向内部网和外部网的缺省路由 route inside 0 0 inside_default_router_ip_address route outside 0 0 outside_de
3、fault_router_ip_address 10. 配置静态IP地址对映: static outside ip_addressinside ip_address 11. 设置某些操纵选项: conduit global_ip port-port protocol foreign_ip netmask global_ip 指的是要操纵的地址 port指的是所作用的端口,其中0代表所有端口 protocol指的是连接协议,比如:TCP、UDP等 foreign_ip表示可访咨询global_ip的外部ip,其中表示所有的ip。 12. 设置telnet选项: telnet local_ip n
4、etmask local_ip表示被承诺通过telnet访咨询到pix的ip地址(假如不设此项,PIX的配置只能由consle方式进行)。 13. 将配置储存: wr mem 14. 几个常用的网络测试命令: #ping #show interface查看端口状态 #show static 查看静态地址映射 Cisco PIX 520 是一款性能良好的网络安全产品,假如再加上Check Point 的软件防火墙组成两道防护,能够得到更加完善的安全防范。 要紧用于局域网的外连设备(如路由器、拨号访咨询服务器等)与内部网络之间,实现内部网络的安全防范,幸免来自外部的恶意攻击。Cisco PIX 5
5、20的默认配置承诺从内到外的所有信息要求,拒绝一切外来的主动访咨询,只承诺内部信息的反馈信息进入。因此也能够通过某些设置,例如:访咨询表等,承诺外部的访咨询。因为,远程用户的访咨询需要从外到内的访咨询。另外,能够通过NAT地址转换,实现公有地址和私有地址的转换。简单地讲,PIX 520的要紧功能有两点:1.实现网络安全2.实现地址转换 下面简单列出PIX 520 的差不多配置1.Configure without NAT nameif ethernet0 outside security0nameif ethernet1 inside security100interface ethernet
6、0 autointerface ethernet1 auto ip address outside 202.109.77.1 255.255.255.0 (假设对外端口地址) ip address inside 10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0)hostname bluegardenarp timeout 14400no failover namespager lines 24 logging buffered debugging nat (inside) 0 0 0rip inside default no rip inside passive
7、no rip outside default rip outside passiveroute outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absoluteno snmp-server location no snmp-server contact snmp-server community publicmtu outside 1500
8、 mtu inside 1500 2.Configure with NATnameif ethernet0 outside security0nameif ethernet1 inside security100interface ethernet0 autointerface ethernet1 auto ip address outside 202.109.77.1 255.255.255.0 (假设对外端口地址) ip address inside 10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0) hostname bluegardenarp timeou
9、t 14400no failover namespager lines 24 logging buffered debugging nat (inside) 1 0 0global (outside) 1 202.109.77.10-202.109.77.20 global (outside) 1 202.109.22.21no rip inside default no rip inside passive no rip outside default no rip outside passiveconduit permit icmp any any route outside 0.0.0.
10、0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absoluteno snmp-server location no snmp-server contact snmp-server community publicmtu outside 1500 mtu inside 1500 Cisco PIX 的多点服务配置结构图如下:PIX 520Two Interface M
11、ultiple Server Configurationnameif ethernet0 outside security0nameif ethernet0 inside security100interface ethernet0 autointerface ethernet1 autoip address inside 10.1.1.1 255.0.0.0ip address outside 204.31.17.10 255.255.255.0logging onlogging host 10.1.1.11logging trap 7logging facility 20no loggin
12、g consolearp timeout 600nat (inside) 1 10.0.0.0 255.0.0.0nat (inside) 2 192.168.3.0 255.255.255.0global (outside) 1 204.31.1.25-204.31.17.27global (outside) 1 204.31.1.24global (outside) 2 192.159.1.1-192.159.1.254conduit permit icmp any anyoutbound 10 deny 192.168.3.3 255.255.255.255 1720outbound 1
13、0 deny 0 0 80outbound 10 permit 192.168.3.3 255.255.255.255 80outbound 10 deny 192.168.3.3 255.255.255.255 javaoutbound 10 permit 10.1.1.11 255.255.255.255 80apply (inside) 10 outgoing_srcno rip outside passiveno rip outside defaultrip inside passiverip inside defaultroute outside 0 0 204.31.17.1.1t
14、acacs-server host 10.1.1.12 lq2w3eaaa authentication any inside 192.168.3.0 255.255.255.0 0 0 tacacs+aaa authentication any inside 192.168.3.0 255.255.255.0 0 0static (inside,outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0conduit permit tcp 204.31.19.0 255.255.255.0 eg h323 anystatic (inside,
15、outside) 204.31.17.29 10.1.1.11conduit permit tcp host 204.31.17.29 eq 80 anyconduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17static (inside.outside) 204.31.1.30 10.1.1.3 netmask 255.255.255.255 10 10conduit permit tcp host 20
16、4.31.1.30 eq smtp anyconduit permit tcp host 204.31.1.30 eq 113 anysnmp-server host 192.168.3.2snmp-server location building 42snmp-server contact polly hedrasnmp-server community ohwhatakeyistheetelnet 10.1.1.11 255.255.255.255telnet 192.168.3.0 255.255.255.0CISCO PIX 防 火 墙 配 置 实 践 - 介 绍 一 个PIX 防 火
17、 墙 实 际 配 置 案 例, 因 为 路 由 器 的 配置在 安 全 性 方 面 和PIX 防 火 墙 是 相 辅 相 成 的, 所 以 路 由器的 配 置 实 例 也 一 并 列 出。PIX 防 火 墙设 置PIX 防 火 墙 的 外 部地址:ip address outside 131.1.23.2设 置PIX 防 火 墙 的 内 部地址:ip address inside 10.10.254.1设 置 一 个 内 部 计 算机与Internet 上 计 算 机 进 行 通 信 时 所 需 的 全 局 地 址池:global 1 131.1.23.10-131.1.23.254允 许 网
18、 络 地 址 为10.0.0.0 的网段 地 址 被PIX 翻 译 成 外 部 地 址:nat 1 10.0.0.0网 管 工 作 站 固 定 使 用 的 外部地 址 为131.1.23.11:static 131.1.23.11 10.14.8.50允 许 从RTRA 发 送 到 到 网 管 工作站 的 系 统 日 志 包 通 过PIX 防 火 墙:conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255允 许 从 外 部 发 起 的 对 邮 件服务 器 的 连 接(131.1.23.10):mailhost 131.1.23.10 10.
19、10.254.3允 许 网 络 管 理 员 通 过 远 程登录 管 理IPX 防 火 墙:telnet 10.14.8.50在 位 于 网 管 工 作 站 上 的 日志服 务 器 上 记 录 所 有 事 件 日 志:syslog facility 20.7syslog host 10.14.8.50路 由 器 RTRA-RTRA 是 外 部 防 护 路 由器,它 必 须 保 护PIX 防 火 墙 免 受 直 接 攻 击, 保 护FTP/HTTP 服务器, 同 时 作 为 一 个 警 报 系 统, 如 果 有 人 攻 入 此 路由器, 管 理 可 以 立 即 被 通 知。阻 止 一 些 对 路
20、由 器 本 身 的攻击:no service tcp small-servers强 制 路 由 器 向 系 统 日 志 服务器 发 送 在 此 路 由 器 发 生 的 每 一 个 事 件, 包 括 被 存 取列表 拒 绝 的 包 和 路 由 器 配 置 的 改 变; 这 个 动 作 可 以 作为对 系 统 管 理 员 的 早 期 预 警, 预 示 有 人 在 试 图 攻 击 路由器, 或 者 已 经 攻 入 路 由 器, 正 在 试 图 攻 击 防 火墙:logging trap debugging此 地 址 是 网 管 工 作 站 的 外部地 址, 路 由 器 将 记 录 所 有 事 件 到
21、 此 主 机 上:logging 131.1.23.11保 护PIX 防 火 墙 和HTTP/FTP 服务器 以 及 防 卫 欺 骗 攻 击( 见 存 取 列 表): enable secret xxxxxxxxxxx interface Ethernet 0 ip address 131.1.23.1 255.255.255.0 interface Serial 0 ip unnumbered ethernet 0 ip access-group 110 in禁 止 任 何 显 示 为 来 源 于 路由器RTRA 和PIX 防 火 墙 之 间 的 信 息 包, 这 可 以 防 止 欺 骗攻击
22、:access-list 110 deny ip 131.1.23.0 0.0.0.255 any log防 止 对PIX 防 火 墙 外 部 接 口的直 接 攻 击 并 记 录 到 系 统 日 志 服 务 器 任 何 企 图 连 接PIX 防 火 墙 外 部 接 口 的 事 件:access-list 110 deny ip any host 131.1.23.2 log允 许 已 经 建 立 的TCP 会 话 的信息 包 通 过:access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established允 许 和FTP/HTTP 服 务
23、器 的FTP 连接:access-list 110 permit tcp any host 131.1.23.3 eq ftp允 许 和FTP/HTTP 服 务 器 的FTP 数据 连 接:access-list 110 permit tcp any host 131.1.23.2 eq ftp-data允 许 和FTP/HTTP 服 务 器 的HTTP 连接:access-list 110 permit tcp any host 131.1.23.2 eq www禁 止 和FTP/HTTP 服 务 器 的 不的连 接 并 记 录 到 系 统 日 志 服 务 器 任 何 企 图 连 接FTP/
24、HTTP 的事 件:access-list 110 deny ip any host 131.1.23.2 log允 许 其 他 预 定 在PIX 防 火 墙和路 由 器RTRA 之 间 的 流 量:access-list 110 permit ip any 131.1.23.0 0.0.0.255限 制 可 以 远 程 登 录 到 此 路由器 的IP 地 址: line vty 0 4 login password xxxxxxxxxx access-class 10 in只 允 许 网 管 工 作 站 远 程 登录到 此 路 由 器, 当 你 想 从Internet 管 理 此 路 由 器
25、 时, 应对此 存 取 控 制 列 表 进 行 修 改:access-list 10 permit ip 131.1.23.11路 由 器 RTRB-RTRB 是 内 部 网 防 护 路由器, 它 是 你 的 防 火 墙 的 最 后 一 道 防 线, 是 进 入 内 部网的 入 口。记 录 此 路 由 器 上 的 所 有 活动到 网 管 工 作 站 上 的 日 志 服 务 器, 包 括 配 置 的 修改:logging trap debugginglogging 10.14.8.50允 许 通 向 网 管 工 作 站 的 系统日 志 信 息: interface Ethernet 0 ip a
26、ddress 10.10.254.2 255.255.255.0 no ip proxy-arp ip access-group 110 in access-list 110 permit udp host 10.10.254.0 0.0.0.255禁 止 所 有 不 的 从PIX 防 火 墙发来 的 信 息 包:access-list 110 deny ip any host 10.10.254.2 log允 许 邮 件 主 机 和 内 部 邮 件服务 器 的SMTP 邮 件 连 接:access-list permit tcp host 10.10.254.3 10.0.0.0 0.255
27、.255.255 eq smtp禁 止 不 的 来 源 与 邮 件 服 务器的 流 量:access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255防 止 内 部 网 络 的 信 任 地 址欺诈:access-list deny ip any 10.10.254.0 0.0.0.255允 许 所 有 不 的 来 源 于PIX 防火墙 和 路 由 器RTRB 之 间 的 流 量:access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255限 制 可 以 远 程 登 录
28、 到 此 路由器 上 的IP 地 址: line vty 0 4 login password xxxxxxxxxx access-class 10 in只 允 许 网 管 工 作 站 远 程 登录到 此 路 由 器, 当 你 想 从Internet 管 理 此 路 由 器 时, 应对此 存 取 控 制 列 表 进 行 修 改:access-list 10 permit ip 10.14.8.50-按 以 上 设 置 配 置 好PIX 防火墙 和 路 由 器 后,PIX 防 火 墙 外 部 的 攻 击 者 将 无 法 在 外部连 接 上 找 到 可 以 连 接 的 开 放 端 口, 也 不 可 能 判 断 出内部 任 何 一 台 主 机 的IP 地 址, 即 使 告 诉 了 内 部 主 机的IP 地址, 要 想 直 接 对 它 们 进 行Ping 和 连 接 也 是 不 可 能的。 如此 就 可 以 对 整 个 内 部 网 进 行
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1