科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Cisco PIX防火墙特殊配置(4)

Cisco PIX防火墙特殊配置(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

PIX防火墙是Cisco系列网络安全设备中非常出色的产品,其强大的功能和完善的设置获得了许多企业用户的青睐,选择高档完备的网络安全设备是每一个成功企业必不可少的组网设施。

作者:51CTO.COM 2007年10月25日

关键字: 配置 防火墙 PIX CISCO 流量

  • 评论
  • 分享微博
  • 分享邮件

URL过滤允许PIX防火墙将Websense服务器定义的IAP出站用户所请求的URL进行比较。下面的例子使用地址为10.2.2.2的Websense服务器过滤掉除子网10.1.1.0上的用户之外的所有出站访问。第3行只在例外情况时才需要,否则它是可选的。

url-server host 10.2.2.2

filter url http 0000

filter url except 10.1.1.0 255.255.255.0

控制通过PIX防火墙的流量

由于防火墙的主要目的是封锁,至少是要控制对受保护网络的访问,所以应当关注的是传入的数据报。把传入流量或入站流量定义为从安全性较差的接口进入PIX防火墙和从安全性较高的接口离开PPIX防火墙的数据报。类似的,把传出流量或出站流量定义为从安全性较高的接口进入PIX防火墙和从安全性较差的接口离开PIX防火墙的数据报。其中只有一个接口被命名为Inside(安全级别=100),也只有一个接口被命名为Outside(安全级别=0)。这是因为在所有接口中,这两个接口是永远分别处在最内部和最外部的。根据具体的安全级别,其他DMZ或外围接口相对于另外的接口可能是内部的,也可能是外部的,但是他们相对于Inside接口而言总是外部的,对于Outside接口而言则总是内部的。

在PIX防火墙5.2之前的版本中,用来定义允许流量的协议参数的命令是conduit命令。Conduit命令的语法看起来非常像扩展访问列表所使用的格式,不过在命令的语法中,源地址和目的地址的位置正好相反。从5.2版本开始,传统的扩展访问列表代替了conduit命令。目前,尽管Cisco推荐使用新的格式,但是实际上这两种命令格式都可以使用。

为了对去往这些服务器的流量定义相应的通道,可以规定服务器的IP地址作为目的地址,并规定HTTP、DNS和SMTP作为目的端口号,但是通常并不知道源地址和源端口号。下面是一个访问列表的例子,在这个例子中,IP地址为10.1.1.1的服务器能够提供所有3种服务。

Access-list dmz permit tcp any host 10.1.1.1 eq http

Access-list dmz permit tcp any host 10.1.1.1 eq smtp

Access-list dmz permit tcp any host 10.1.1.1 eq domain

上面所列方法就举例而言是已经足够了,但是在安全方面还要进一步设置。因为并不能预知外部用户将使用哪些源IP地址和源端口,所以必须在ACL中规定允许使用所有的原地址和源端口。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章