科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Cisco PIX防火墙详细安装流程及安全配置

Cisco PIX防火墙详细安装流程及安全配置

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

CISCOPIX防火墙配置实践——介绍一个PIX防火墙实际配置案例,因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。

作者:论坛整理 来源:zdnet网络安全 2008年3月12日

关键字: 防火墙 CISCO 思科 PIX防火墙 思科PIX防火墙

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

  Cisco PIX 的多点服务配置

  结构图如下:

  PIX 520

  Two Interface Multiple Server Configuration

  nameif ethernet0 outside security0

  nameif ethernet0 inside security100

  interface ethernet0 auto

  interface ethernet1 auto

  ip address inside 10.1.1.1 255.0.0.0

  ip address outside 204.31.17.10 255.255.255.0

  logging on

  logging host 10.1.1.11

  logging trap 7

  logging facility 20

  no logging console

  arp timeout 600

  nat (inside) 1 10.0.0.0 255.0.0.0

  nat (inside) 2 192.168.3.0 255.255.255.0

  global (outside) 1 204.31.1.25-204.31.17.27

  global (outside) 1 204.31.1.24

  global (outside) 2 192.159.1.1-192.159.1.254

  conduit permit icmp any any

  outbound 10 deny 192.168.3.3 255.255.255.255 1720

  outbound 10 deny 0 0 80

  outbound 10 permit 192.168.3.3 255.255.255.255 80

  outbound 10 deny 192.168.3.3 255.255.255.255 java

  outbound 10 permit 10.1.1.11 255.255.255.255 80

  apply (inside) 10 outgoing_src

  no ripoutside passive

  no rip outside default

  rip inside passive

  rip inside default

  route outside 0 0 204.31.17.1.1

  tacacs-server host 10.1.1.12 lq2w3e

  aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 tacacs+

  aaa authentication any inside 192.168.3.0 255.255.255.0 0 0

  static (inside,outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0

  conduit permit tcp 204.31.19.0 255.255.255.0 eg h323 any

  static (inside,outside) 204.31.17.29 10.1.1.11

  conduit permit tcp host 204.31.17.29 eq 80 any

  conduit permit udphost 204.31.17.29 eq rpc host 204.31.17.17

  conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17

  static (inside.outside) 204.31.1.30 10.1.1.3 netmask 255.255.255.255 10 10

  conduit permit tcp host 204.31.1.30 eq smtpany

  conduit permit tcp host 204.31.1.30 eq 113 any

  snmp-server host 192.168.3.2

  snmp-server location building 42

  snmp-server contact polly hedra

  snmp-server community ohwhatakeyisthee

  telnet10.1.1.11 255.255.255.255

  telnet 192.168.3.0 255.255.255.0

  CISCOPIX防火墙配置实践——介绍一个PIX防火墙实际配置案例,因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。

  PIX防火墙

  设置PIX防火墙的外部地址:

  ip address outside 131.1.23.2

  设置PIX防火墙的内部地址:

  ip address inside 10.10.254.1

  设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池:

  global 1 131.1.23.10-131.1.23.254

  允许网络地址为10.0.0.0的网段地址被PIX翻译成外部地址:

  nat 1 10.0.0.0

  网管工作站固定使用的外部地址为131.1.23.11:

  static 131.1.23.1110.14.8.50

  允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙:

  conduit 131.1.23.11 514 udp 131.1.23.1255.255.255.255

  允许从外部发起的对邮件服务器的连接(131.1.23.10):

  mailhost 131.1.23.1010.10.254.3

  允许网络管理员通过远程登录管理IPX防火墙:

  telnet 10.14.8.50

  在位于网管工作站上的日志服务器上记录所有事件日志:

  syslog facility 20.7

  syslog host 10.14.8.50

  路由器RTRA

  ----RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通

  知。

  阻止一些对路由器本身的攻击:

  no service tcp small-servers

  强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取列表拒绝的包和路由器配置的改变;这个动作可以作为对系统管理员的早期预警,

  预示有人在试图攻击路由器,或者已经攻入路由器,正在试图攻击防火墙:

  logging trap debugging

  此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上:

  logging 131.1.23.11

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章