扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在配置过程中,我们可以使用write terminal命令查看当前配置,使用write memory保存配置信息到Flash Memory。
5. 配置网络接口
PIX使用nameif和ip address命令进行网络接口配置。
首先使用下面的语句定义内部网段和外部网段的网络接口。
nameif ethernet0 outside security0
nameif ethernet1 inside security100
PIX防火墙使用Intel的10/100Mbps网卡,使用下面的命令定义接口配置为自适应。
interface ethernet0 auto
interface ethernet1 auto
最后,我们定义接口的IP地址和掩码。
ip address inside 10.0.0.250 255.255.255.0
ip address outside 202.12.29.205 255.255.255.248
6. 允许内部用户访问外部网段
在前面,我们定义了内部网段安全值为100,外部网段安全值为0。用户在安全值高的区域访问安全值低的区域,需要使用nat和global命令;相反地,如果允许安全值低的区域的用户访问安全值高的区域的用户,则需要使用static和conduit命令。
nat (inside) 1 0 0
global (outside) 1 202.12.29.206 netmask 255.255.255.248
其中1为NAT ID,两个语句中的NAT ID应一样。前一句表示允许所有机器对外访问,第二句定义NAT使用的地址池,由于大部分情况下,合法的IP地址并不多,因此在此例中只设置了一个合法IP地址202.12.29.206用来做地址转换。
7. 定义外部路由
对于外部网段,还需要定义外部路由,它是防火墙外部网段的缺省路由:route outside 0 0 202.12.29.202 1。其中0 0表示外部网段的缺省路由,1表示从防火墙到路由器只有一个hop。
8. 允许使用ping命令
conduit permit icmp any any 此命令允许在内部网段和外部网段使用ping命令进行网络测试。因为ping命令使用的是ICMP协议,在设置和调试期间,一般开放此功能,当防火墙工作正常后,也可以关闭此项功能。
9. 保存设置和重新启动
使用write memory命令将配置信息写入flash memory。使用reload命令重新启动防火墙。
10. 增加telnet访问控制
在PIX中,我们可以定义只允许某些机器通过telnet访问防火墙。需要注意的是,这里进行telnet访问的机器必须在内部网段上,以增强安全性。
telnet 10.0.0.204 255.255.255.255// 即允许10.0.0.204这台机器使用telnet访问防火墙。
telnet timeout 15 // 即将空闲时间设置为15分钟,当访问防火墙的机器15分钟内没有任何操作时,将自动断开连接。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。