科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道PIX构筑铜墙铁壁(3)

PIX构筑铜墙铁壁(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

总的来说,如果用户希望得到一台网络性能较高但不需要广泛的监视功能或应用程序过滤功能的企业级防火墙,Cisco PIX将会是一个不错的选择。

作者:51CTO.COM 2007年11月7日

关键字: 配置 网络 防火墙 PIX

  • 评论
  • 分享微博
  • 分享邮件

  在配置过程中,我们可以使用write terminal命令查看当前配置,使用write memory保存配置信息到Flash Memory。

  5. 配置网络接口

  PIX使用nameif和ip address命令进行网络接口配置。

  首先使用下面的语句定义内部网段和外部网段的网络接口。

  nameif ethernet0 outside security0

  nameif ethernet1 inside security100

  PIX防火墙使用Intel的10/100Mbps网卡,使用下面的命令定义接口配置为自适应。

  interface ethernet0 auto

  interface ethernet1 auto

  最后,我们定义接口的IP地址和掩码。

  ip address inside 10.0.0.250 255.255.255.0

  ip address outside 202.12.29.205 255.255.255.248

  6. 允许内部用户访问外部网段

  在前面,我们定义了内部网段安全值为100,外部网段安全值为0。用户在安全值高的区域访问安全值低的区域,需要使用nat和global命令;相反地,如果允许安全值低的区域的用户访问安全值高的区域的用户,则需要使用static和conduit命令。

  nat (inside) 1 0 0

  global (outside) 1 202.12.29.206 netmask 255.255.255.248

  其中1为NAT ID,两个语句中的NAT ID应一样。前一句表示允许所有机器对外访问,第二句定义NAT使用的地址池,由于大部分情况下,合法的IP地址并不多,因此在此例中只设置了一个合法IP地址202.12.29.206用来做地址转换。

  7. 定义外部路由

  对于外部网段,还需要定义外部路由,它是防火墙外部网段的缺省路由:route outside 0 0 202.12.29.202 1。其中0 0表示外部网段的缺省路由,1表示从防火墙到路由器只有一个hop。

  8. 允许使用ping命令

  conduit permit icmp any any 此命令允许在内部网段和外部网段使用ping命令进行网络测试。因为ping命令使用的是ICMP协议,在设置和调试期间,一般开放此功能,当防火墙工作正常后,也可以关闭此项功能。

  9. 保存设置和重新启动

  使用write memory命令将配置信息写入flash memory。使用reload命令重新启动防火墙。

  10. 增加telnet访问控制

  在PIX中,我们可以定义只允许某些机器通过telnet访问防火墙。需要注意的是,这里进行telnet访问的机器必须在内部网段上,以增强安全性。

  telnet 10.0.0.204 255.255.255.255// 即允许10.0.0.204这台机器使用telnet访问防火墙。

  telnet timeout 15 // 即将空闲时间设置为15分钟,当访问防火墙的机器15分钟内没有任何操作时,将自动断开连接。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章