科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道CISCO PIX防火墙管理手册

CISCO PIX防火墙管理手册

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文介绍了如何配置并使用PIX防火墙提供的工具及特性,以监控和配置系统,并监控网络活动。

作者:论坛整理 来源:zdnet网络安全 2008年3月11日

关键字: 防火墙 CISCO 思科 PIX防火墙 思科PIX防火墙

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

  按照以下步骤来在给定PIX防火墙接口上启动DHCP服务器特性。(步骤1到6为必需)。

  

  下例为上述过程的配置列表。

  ! set the ip address of the inside interface

  ip address inside 10.0.1.2 255.255.255.0

  ! configure the network parameters the client will use once in the corporate network and

  dhcpd address 10.0.1.101-10.0.1.110

  dhcpd dns 209.165.201.2 209.165.202.129

  dhcpd wins 209.165.201.5

  dhcpd lease 3000

  dhcpd domain example.com

  ! enable dhcp server daemon on the inside interface

  dhcpd enable inside

  下例为DHCP地址池和DNS服务器地址的配置,带启动了DHCP服务器特性的内部接口:

  dhcpd address 10.0.1.100-10.0.1.108

  dhcpd dns 209.165.200.227

  dhcpd enable

  下例为DHCP地址池的配置,使用auto_config命令来配置dns,wins和域参数: dhcpd address 10.0.1.100-10.0.1.108

  dhcpd auto_config

  dhcpd enable

  下面是远程办公室中一个PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙,它的外部接口IP地址为209.165.200.228,作为公司网络的网关。

  ! configure interface ip address

  ip address outside 209.165.202.129 255.255.255.0

  ip address inside 172.17.1.1 255.255.255.0

  ! configure ipsec with corporate pix

  access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0

  ipsec transform-set myset esp-des esp-sha-hmac

  crypto map mymap 10 ipsec-isakmp

  crypto map mymap 10 match address ipsec-peer

  crypto map mymap 10 set transform-set myset

  crypto map mymap 10 set peer 209.165.200.228

  crypto map mymap interface outside

  sysopt connection permit-ipsec

  nat (inside) 0 access-list ipsec-peer

  isakmp policy 10 authentication preshare

  isakmp policy 10 encryption des

  isakmp policy 10 hash sha

  isakmp policy 10 group 1  isakmp policy 10 lifetime 3600

  isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0

  isakmp enable outside

  !configure dhcp server address

  dhcpd address 172.17.1.100-172.17.1.109

  dhcpd dns 192.168.0.20

  dhcpd wins 192.168.0.10

  dhcpd lease 3000

  dhcpd domain example.com

  ! enable dhcp server on inside interface

  dhcpd enable

  ! use outside interface ip as PAT global address

  nat (inside) 1 0 0

  global (outside) 1 interface

  使用SNMP(Using SNMP)

  snmp_server命令使PIX防火墙可发送SNMP陷阱,以便PIX防火墙可从远程监控。使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。

  此部分包括下列内容:

  简介(Introduction)

  MIB支持(MIB Support)

  SNMP使用率说明(SNMP Usage Notes)

  SNMP陷阱(SNMP Traps)

  编辑Cisco Syslog MIB文件(Compiling Cisco Syslog MIB Files)

  使用防火墙和内存池MIB(Using the Firewall and Memory Pool MIBs)

  简介(Introduction)

  可用的PIX防火墙SNMP MIB-II组有系统(System)和接口(Interfaces)。Cisco防火墙MIB和Cisco内存池MIB也可用。

  所有SNMP值仅为只读(RO)。

  使用SNMP,您可以监控PIX防火墙上的系统事件。SNMP事件可以读取,但PIX防火墙上的信息不能用SNMP更改。

  SNMP管理站可用的PIX防火墙SNMP陷阱如下所示:

  通用陷阱

  - 上链路和下链路(电缆与接口相连与否;电缆与正在工作还是与非工作状态的接口相连)

  - 冷启动

  - 验证故障(公用字符串不匹配)

  经由Cisco Syslog MIB发送的与安全相关的事件:

  - 拒绝全局访问

  - 故障转换系统日志信息

  - 系统日志信息

  使用CiscoWorks for Windows或任意其它SNMP V1、MIB-II兼容型浏览器来接收SNMP陷阱并浏览MIB。SNMP陷阱出现于UDP端口162。

  MIB支持(MIB Support)

  表12

  注意 PIX防火墙不支持Cisco系统日志MIB的浏览。您可浏览MIB-II的系统和接口组。MIB的浏览与发送陷阱不同。浏览意味着从管理站执行MIB树的snmpget或snmpwalk命令以确定数值。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章