ImageVerifierCode 换一换
格式:DOCX , 页数:17 ,大小:19.83KB ,
资源ID:29946865      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/29946865.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(CiscoPIX防火墙的安装流程.docx)为本站会员(b****8)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

CiscoPIX防火墙的安装流程.docx

1、CiscoPIX防火墙的安装流程CiscoPIX防火墙的安装流程Cisco PIX防火墙的安装流程1. 将PIX安放至机架,经检测电源系统后接上电源,并加电主机。 2. 将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入 PIX系统;现在系统提示pixfirewall。 3. 输入命令:enable,进入特权模式,现在系统提示为pixfirewall#。 4. 输入命令: configure terminal,对系统进行初始化设置。 5. 配置以太口参数: interface ethernet0 auto (auto选项讲明系统自适应网卡类型 ) i

2、nterface ethernet1 auto 6. 配置内外网卡的IP地址: ip address inside ip_address netmask ip address outside ip_address netmask 7. 指定外部地址范畴: global 1 ip_address-ip_address 8. 指定要进行要转换的内部地址: nat 1 ip_address netmask 9. 设置指向内部网和外部网的缺省路由 route inside 0 0 inside_default_router_ip_address route outside 0 0 outside_de

3、fault_router_ip_address 10. 配置静态IP地址对映: static outside ip_addressinside ip_address 11. 设置某些操纵选项: conduit global_ip port-port protocol foreign_ip netmask global_ip 指的是要操纵的地址 port指的是所作用的端口,其中0代表所有端口 protocol指的是连接协议,比如:TCP、UDP等 foreign_ip表示可访咨询global_ip的外部ip,其中表示所有的ip。 12. 设置telnet选项: telnet local_ip n

4、etmask local_ip表示被承诺通过telnet访咨询到pix的ip地址(假如不设此项,PIX的配置只能由consle方式进行)。 13. 将配置储存: wr mem 14. 几个常用的网络测试命令: #ping #show interface查看端口状态 #show static 查看静态地址映射 Cisco PIX 520 是一款性能良好的网络安全产品,假如再加上Check Point 的软件防火墙组成两道防护,能够得到更加完善的安全防范。 要紧用于局域网的外连设备(如路由器、拨号访咨询服务器等)与内部网络之间,实现内部网络的安全防范,幸免来自外部的恶意攻击。Cisco PIX 5

5、20的默认配置承诺从内到外的所有信息要求,拒绝一切外来的主动访咨询,只承诺内部信息的反馈信息进入。因此也能够通过某些设置,例如:访咨询表等,承诺外部的访咨询。因为,远程用户的访咨询需要从外到内的访咨询。另外,能够通过NAT地址转换,实现公有地址和私有地址的转换。简单地讲,PIX 520的要紧功能有两点:1.实现网络安全2.实现地址转换 下面简单列出PIX 520 的差不多配置1.Configure without NAT nameif ethernet0 outside security0nameif ethernet1 inside security100interface ethernet

6、0 autointerface ethernet1 auto ip address outside 202.109.77.1 255.255.255.0 (假设对外端口地址) ip address inside 10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0)hostname bluegardenarp timeout 14400no failover namespager lines 24 logging buffered debugging nat (inside) 0 0 0rip inside default no rip inside passive

7、no rip outside default rip outside passiveroute outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absoluteno snmp-server location no snmp-server contact snmp-server community publicmtu outside 1500

8、 mtu inside 1500 2.Configure with NATnameif ethernet0 outside security0nameif ethernet1 inside security100interface ethernet0 autointerface ethernet1 auto ip address outside 202.109.77.1 255.255.255.0 (假设对外端口地址) ip address inside 10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0) hostname bluegardenarp timeou

9、t 14400no failover namespager lines 24 logging buffered debugging nat (inside) 1 0 0global (outside) 1 202.109.77.10-202.109.77.20 global (outside) 1 202.109.22.21no rip inside default no rip inside passive no rip outside default no rip outside passiveconduit permit icmp any any route outside 0.0.0.

10、0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absoluteno snmp-server location no snmp-server contact snmp-server community publicmtu outside 1500 mtu inside 1500 Cisco PIX 的多点服务配置结构图如下:PIX 520Two Interface M

11、ultiple Server Configurationnameif ethernet0 outside security0nameif ethernet0 inside security100interface ethernet0 autointerface ethernet1 autoip address inside 10.1.1.1 255.0.0.0ip address outside 204.31.17.10 255.255.255.0logging onlogging host 10.1.1.11logging trap 7logging facility 20no loggin

12、g consolearp timeout 600nat (inside) 1 10.0.0.0 255.0.0.0nat (inside) 2 192.168.3.0 255.255.255.0global (outside) 1 204.31.1.25-204.31.17.27global (outside) 1 204.31.1.24global (outside) 2 192.159.1.1-192.159.1.254conduit permit icmp any anyoutbound 10 deny 192.168.3.3 255.255.255.255 1720outbound 1

13、0 deny 0 0 80outbound 10 permit 192.168.3.3 255.255.255.255 80outbound 10 deny 192.168.3.3 255.255.255.255 javaoutbound 10 permit 10.1.1.11 255.255.255.255 80apply (inside) 10 outgoing_srcno rip outside passiveno rip outside defaultrip inside passiverip inside defaultroute outside 0 0 204.31.17.1.1t

14、acacs-server host 10.1.1.12 lq2w3eaaa authentication any inside 192.168.3.0 255.255.255.0 0 0 tacacs+aaa authentication any inside 192.168.3.0 255.255.255.0 0 0static (inside,outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0conduit permit tcp 204.31.19.0 255.255.255.0 eg h323 anystatic (inside,

15、outside) 204.31.17.29 10.1.1.11conduit permit tcp host 204.31.17.29 eq 80 anyconduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17static (inside.outside) 204.31.1.30 10.1.1.3 netmask 255.255.255.255 10 10conduit permit tcp host 20

16、4.31.1.30 eq smtp anyconduit permit tcp host 204.31.1.30 eq 113 anysnmp-server host 192.168.3.2snmp-server location building 42snmp-server contact polly hedrasnmp-server community ohwhatakeyistheetelnet 10.1.1.11 255.255.255.255telnet 192.168.3.0 255.255.255.0CISCO PIX 防 火 墙 配 置 实 践 - 介 绍 一 个PIX 防 火

17、 墙 实 际 配 置 案 例, 因 为 路 由 器 的 配置在 安 全 性 方 面 和PIX 防 火 墙 是 相 辅 相 成 的, 所 以 路 由器的 配 置 实 例 也 一 并 列 出。PIX 防 火 墙设 置PIX 防 火 墙 的 外 部地址:ip address outside 131.1.23.2设 置PIX 防 火 墙 的 内 部地址:ip address inside 10.10.254.1设 置 一 个 内 部 计 算机与Internet 上 计 算 机 进 行 通 信 时 所 需 的 全 局 地 址池:global 1 131.1.23.10-131.1.23.254允 许 网

18、 络 地 址 为10.0.0.0 的网段 地 址 被PIX 翻 译 成 外 部 地 址:nat 1 10.0.0.0网 管 工 作 站 固 定 使 用 的 外部地 址 为131.1.23.11:static 131.1.23.11 10.14.8.50允 许 从RTRA 发 送 到 到 网 管 工作站 的 系 统 日 志 包 通 过PIX 防 火 墙:conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255允 许 从 外 部 发 起 的 对 邮 件服务 器 的 连 接(131.1.23.10):mailhost 131.1.23.10 10.

19、10.254.3允 许 网 络 管 理 员 通 过 远 程登录 管 理IPX 防 火 墙:telnet 10.14.8.50在 位 于 网 管 工 作 站 上 的 日志服 务 器 上 记 录 所 有 事 件 日 志:syslog facility 20.7syslog host 10.14.8.50路 由 器 RTRA-RTRA 是 外 部 防 护 路 由器,它 必 须 保 护PIX 防 火 墙 免 受 直 接 攻 击, 保 护FTP/HTTP 服务器, 同 时 作 为 一 个 警 报 系 统, 如 果 有 人 攻 入 此 路由器, 管 理 可 以 立 即 被 通 知。阻 止 一 些 对 路

20、由 器 本 身 的攻击:no service tcp small-servers强 制 路 由 器 向 系 统 日 志 服务器 发 送 在 此 路 由 器 发 生 的 每 一 个 事 件, 包 括 被 存 取列表 拒 绝 的 包 和 路 由 器 配 置 的 改 变; 这 个 动 作 可 以 作为对 系 统 管 理 员 的 早 期 预 警, 预 示 有 人 在 试 图 攻 击 路由器, 或 者 已 经 攻 入 路 由 器, 正 在 试 图 攻 击 防 火墙:logging trap debugging此 地 址 是 网 管 工 作 站 的 外部地 址, 路 由 器 将 记 录 所 有 事 件 到

21、 此 主 机 上:logging 131.1.23.11保 护PIX 防 火 墙 和HTTP/FTP 服务器 以 及 防 卫 欺 骗 攻 击( 见 存 取 列 表): enable secret xxxxxxxxxxx interface Ethernet 0 ip address 131.1.23.1 255.255.255.0 interface Serial 0 ip unnumbered ethernet 0 ip access-group 110 in禁 止 任 何 显 示 为 来 源 于 路由器RTRA 和PIX 防 火 墙 之 间 的 信 息 包, 这 可 以 防 止 欺 骗攻击

22、:access-list 110 deny ip 131.1.23.0 0.0.0.255 any log防 止 对PIX 防 火 墙 外 部 接 口的直 接 攻 击 并 记 录 到 系 统 日 志 服 务 器 任 何 企 图 连 接PIX 防 火 墙 外 部 接 口 的 事 件:access-list 110 deny ip any host 131.1.23.2 log允 许 已 经 建 立 的TCP 会 话 的信息 包 通 过:access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established允 许 和FTP/HTTP 服 务

23、器 的FTP 连接:access-list 110 permit tcp any host 131.1.23.3 eq ftp允 许 和FTP/HTTP 服 务 器 的FTP 数据 连 接:access-list 110 permit tcp any host 131.1.23.2 eq ftp-data允 许 和FTP/HTTP 服 务 器 的HTTP 连接:access-list 110 permit tcp any host 131.1.23.2 eq www禁 止 和FTP/HTTP 服 务 器 的 不的连 接 并 记 录 到 系 统 日 志 服 务 器 任 何 企 图 连 接FTP/

24、HTTP 的事 件:access-list 110 deny ip any host 131.1.23.2 log允 许 其 他 预 定 在PIX 防 火 墙和路 由 器RTRA 之 间 的 流 量:access-list 110 permit ip any 131.1.23.0 0.0.0.255限 制 可 以 远 程 登 录 到 此 路由器 的IP 地 址: line vty 0 4 login password xxxxxxxxxx access-class 10 in只 允 许 网 管 工 作 站 远 程 登录到 此 路 由 器, 当 你 想 从Internet 管 理 此 路 由 器

25、 时, 应对此 存 取 控 制 列 表 进 行 修 改:access-list 10 permit ip 131.1.23.11路 由 器 RTRB-RTRB 是 内 部 网 防 护 路由器, 它 是 你 的 防 火 墙 的 最 后 一 道 防 线, 是 进 入 内 部网的 入 口。记 录 此 路 由 器 上 的 所 有 活动到 网 管 工 作 站 上 的 日 志 服 务 器, 包 括 配 置 的 修改:logging trap debugginglogging 10.14.8.50允 许 通 向 网 管 工 作 站 的 系统日 志 信 息: interface Ethernet 0 ip a

26、ddress 10.10.254.2 255.255.255.0 no ip proxy-arp ip access-group 110 in access-list 110 permit udp host 10.10.254.0 0.0.0.255禁 止 所 有 不 的 从PIX 防 火 墙发来 的 信 息 包:access-list 110 deny ip any host 10.10.254.2 log允 许 邮 件 主 机 和 内 部 邮 件服务 器 的SMTP 邮 件 连 接:access-list permit tcp host 10.10.254.3 10.0.0.0 0.255

27、.255.255 eq smtp禁 止 不 的 来 源 与 邮 件 服 务器的 流 量:access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255防 止 内 部 网 络 的 信 任 地 址欺诈:access-list deny ip any 10.10.254.0 0.0.0.255允 许 所 有 不 的 来 源 于PIX 防火墙 和 路 由 器RTRB 之 间 的 流 量:access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255限 制 可 以 远 程 登 录

28、 到 此 路由器 上 的IP 地 址: line vty 0 4 login password xxxxxxxxxx access-class 10 in只 允 许 网 管 工 作 站 远 程 登录到 此 路 由 器, 当 你 想 从Internet 管 理 此 路 由 器 时, 应对此 存 取 控 制 列 表 进 行 修 改:access-list 10 permit ip 10.14.8.50-按 以 上 设 置 配 置 好PIX 防火墙 和 路 由 器 后,PIX 防 火 墙 外 部 的 攻 击 者 将 无 法 在 外部连 接 上 找 到 可 以 连 接 的 开 放 端 口, 也 不 可 能 判 断 出内部 任 何 一 台 主 机 的IP 地 址, 即 使 告 诉 了 内 部 主 机的IP 地址, 要 想 直 接 对 它 们 进 行Ping 和 连 接 也 是 不 可 能的。 如此 就 可 以 对 整 个 内 部 网 进 行

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1