|
 |
栏目导栏 |
|
| |
|
|
|
|
|
资料搜索 |
|
| |
|
|
|
|
|
热门文章 |
|
| |
|
|
|
|
|
最新文章 |
|
| |
|
|
|
| |
| |
|
|
|
[ 作者: Linux联盟收集 加入时间:2006-07-20 12:38:38 来自:Linux联盟收集
] | |
|
1. 将PIX安放至机架,经检测电源系统后接上电源,并加电主机。 bgQLinux联盟
2. 将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入bgQLinux联盟
PIX系统;此时系统提示pixfirewall>。 bgQLinux联盟
3. 输入命令:enable,进入特权模式,此时系统提示为pixfirewall#。 bgQLinux联盟
4. 输入命令:configure terminal,对系统进行初始化设置。 bgQLinux联盟
5. 配置以太口参数: bgQLinux联盟
interface ethernet0 auto(auto选项表明系统自适应网卡类型 )bgQLinux联盟
interface ethernet1 auto bgQLinux联盟
6. 配置内外网卡的IP地址: bgQLinux联盟
ip address inside ip_address netmask bgQLinux联盟
ip address outside ip_address netmask bgQLinux联盟
7. 指定外部地址范围: bgQLinux联盟
global 1 ip_address-ip_address bgQLinux联盟
8. 指定要进行要转换的内部地址: bgQLinux联盟
nat 1 ip_address netmask bgQLinux联盟
9. 设置指向内部网和外部网的缺省路由 bgQLinux联盟
route inside 0 0 inside_default_router_ip_address bgQLinux联盟
route outside 0 0 outside_default_router_ip_address bgQLinux联盟
10. 配置静态IP地址对映: bgQLinux联盟
static outside ip_address inside ip_address bgQLinux联盟
11. 设置某些控制选项: bgQLinux联盟
conduit global_ip port[-port] protocol foreign_ip [netmask] bgQLinux联盟
global_ip指的是要控制的地址 bgQLinux联盟
port 指的是所作用的端口,其中0代表所有端口 bgQLinux联盟
protocol 指的是连接协议,比如:TCP、UDP等 bgQLinux联盟
foreign_ip 表示可访问global_ip的外部ip,其中表示所有的ip。 bgQLinux联盟
12. 设置telnet选项: bgQLinux联盟
telnet local_ip [netmask] bgQLinux联盟
local_ip 表示被允许通过telnet访问到pix的ip地址(如果不设此项,bgQLinux联盟
PIX的配 bgQLinux联盟
置只能由consle方式进行)。 bgQLinux联盟
13. 将配置保存: bgQLinux联盟
wr mem bgQLinux联盟
14. 几个常用的网络测试命令: bgQLinux联盟
#ping bgQLinux联盟
#show interface查看端口状态 bgQLinux联盟
#show static 查看静态地址映射 bgQLinux联盟
bgQLinux联盟
Cisco PIX 520 是一款性能良好的网络安全产品,如果再加上Check Point 的软件防火墙组成两道防护,可以得到更加完善的安全防范。bgQLinux联盟
bgQLinux联盟
主要用于局域网的外连设备(如路由器、拨号访问服务器等)与内部网络之间,实现内部网络的安全防范,避免来自外部的恶意攻击。bgQLinux联盟
bgQLinux联盟
Cisco PIX 520的默认配置允许从内到外的所有信息请求,拒绝一切外来的主动访问,只允许内部信息的反馈信息进入。当然也可以通过某些设置,例如:访问表等,允许外部的访问。因为,远程用户的访问需要从外到内的访问。另外,可以通过NAT地址转换,实现公有地址和私有地址的转换。bgQLinux联盟
bgQLinux联盟
简单地讲,PIX 520的主要功能有两点:bgQLinux联盟
bgQLinux联盟
1.实现网络安全bgQLinux联盟
bgQLinux联盟
2.实现地址转换 bgQLinux联盟
bgQLinux联盟
下面简单列出PIX 520 的基本配置bgQLinux联盟
bgQLinux联盟
1.Configure without NAT bgQLinux联盟
bgQLinux联盟
nameif ethernet0 outside security0bgQLinux联盟
bgQLinux联盟
nameif ethernet1 inside security100bgQLinux联盟
bgQLinux联盟
interface ethernet0 autobgQLinux联盟
bgQLinux联盟
interface ethernet1 auto bgQLinux联盟
bgQLinux联盟
ip address outside 202.109.77.1 255.255.255.0 (假设对外端口地址) bgQLinux联盟
bgQLinux联盟
ip address inside 10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0)bgQLinux联盟
bgQLinux联盟
hostname bluegardenbgQLinux联盟
bgQLinux联盟
arp timeout 14400bgQLinux联盟
bgQLinux联盟
no failover bgQLinux联盟
bgQLinux联盟
namesbgQLinux联盟
bgQLinux联盟
pager lines 24bgQLinux联盟
bgQLinux联盟
logging buffered debuggingbgQLinux联盟
bgQLinux联盟
nat (inside) 0 0 0bgQLinux联盟
bgQLinux联盟
rip inside default no rip inside passive no rip outside default rip outside passivebgQLinux联盟
bgQLinux联盟
route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)bgQLinux联盟
bgQLinux联盟
timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolutebgQLinux联盟
bgQLinux联盟
no snmp-server location no snmp-server contact snmp-server community publicbgQLinux联盟
bgQLinux联盟
mtu outside 1500 mtu inside 1500 bgQLinux联盟
bgQLinux联盟
2.Configure with NATbgQLinux联盟
bgQLinux联盟
nameif ethernet0 outside security0bgQLinux联盟
bgQLinux联盟
nameif ethernet1 inside security100bgQLinux联盟
bgQLinux联盟
interface ethernet0 autobgQLinux联盟
bgQLinux联盟
interface ethernet1 auto bgQLinux联盟
bgQLinux联盟
ip address outside 202.109.77.1 255.255.255.0 (假设对外端口地址) bgQLinux联盟
bgQLinux联盟
ip address inside 10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0)bgQLinux联盟
bgQLinux联盟
hostname bluegardenbgQLinux联盟
bgQLinux联盟
arp timeout 14400bgQLinux联盟
bgQLinux联盟
no failover bgQLinux联盟
bgQLinux联盟
namesbgQLinux联盟
bgQLinux联盟
pager lines 24bgQLinux联盟
bgQLinux联盟
logging buffered debuggingbgQLinux联盟
bgQLinux联盟
nat (inside) 1 0 0bgQLinux联盟
bgQLinux联盟
global (outside) 1 202.109.77.10-202.109.77.20 global (outside) 1 202.109.22.21bgQLinux联盟
bgQLinux联盟
no rip inside default no rip inside passive no rip outside default no rip outside passivebgQLinux联盟
bgQLinux联盟
conduit permit icmp any any bgQLinux联盟
bgQLinux联盟
route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)bgQLinux联盟
bgQLinux联盟
timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolutebgQLinux联盟
bgQLinux联盟
no snmp-server location no snmp-server contact snmp-server community publicbgQLinux联盟
bgQLinux联盟
mtu outside 1500 mtu inside 1500 bgQLinux联盟
bgQLinux联盟
Cisco PIX 的多点服务配置bgQLinux联盟
bgQLinux联盟
PIX 520bgQLinux联盟
bgQLinux联盟
Two Interface Multiple Server ConfigurationbgQLinux联盟
bgQLinux联盟
nameif ethernet0 outside security0bgQLinux联盟
bgQLinux联盟
nameif ethernet0 inside security100bgQLinux联盟
bgQLinux联盟
interface ethernet0 autobgQLinux联盟
bgQLinux联盟
interface ethernet1 autobgQLinux联盟
bgQLinux联盟
ip address inside 10.1.1.1 255.0.0.0bgQLinux联盟
bgQLinux联盟
ip address outside 204.31.17.10 255.255.255.0bgQLinux联盟
bgQLinux联盟
logging onbgQLinux联盟
bgQLinux联盟
logging host 10.1.1.11bgQLinux联盟
bgQLinux联盟
logging trap 7bgQLinux联盟
bgQLinux联盟
logging facility 20bgQLinux联盟
bgQLinux联盟
no logging consolebgQLinux联盟
bgQLinux联盟
arp timeout 600bgQLinux联盟
bgQLinux联盟
nat (inside) 1 10.0.0.0 255.0.0.0bgQLinux联盟
bgQLinux联盟
nat (inside) 2 192.168.3.0 255.255.255.0bgQLinux联盟
bgQLinux联盟
global (outside) 1 204.31.1.25-204.31.17.27bgQLinux联盟
bgQLinux联盟
global (outside) 1 204.31.1.24bgQLinux联盟
bgQLinux联盟
global (outside) 2 192.159.1.1-192.159.1.254bgQLinux联盟
bgQLinux联盟
conduit permit icmp any anybgQLinux联盟
bgQLinux联盟
outbound 10 deny 192.168.3.3 255.255.255.255 1720bgQLinux联盟
bgQLinux联盟
outbound 10 deny 0 0 80bgQLinux联盟
bgQLinux联盟
outbound 10 permit 192.168.3.3 255.255.255.255 80bgQLinux联盟
bgQLinux联盟
outbound 10 deny 192.168.3.3 255.255.255.255 javabgQLinux联盟
bgQLinux联盟
outbound 10 permit 10.1.1.11 255.255.255.255 80bgQLinux联盟
bgQLinux联盟
apply (inside) 10 outgoing_srcbgQLinux联盟
bgQLinux联盟
no rip outside passivebgQLinux联盟
bgQLinux联盟
no rip outside defaultbgQLinux联盟
bgQLinux联盟
rip inside passivebgQLinux联盟
bgQLinux联盟
rip inside defaultbgQLinux联盟
bgQLinux联盟
route outside 0 0 204.31.17.1.1bgQLinux联盟
bgQLinux联盟
tacacs-server host 10.1.1.12 lq2w3ebgQLinux联盟
bgQLinux联盟
aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 tacacs+bgQLinux联盟
bgQLinux联盟
aaa authentication any inside 192.168.3.0 255.255.255.0 0 0bgQLinux联盟
bgQLinux联盟
static (inside,outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0bgQLinux联盟
bgQLinux联盟
conduit permit tcp 204.31.19.0 255.255.255.0 eg h323 anybgQLinux联盟
bgQLinux联盟
static (inside,outside) 204.31.17.29 10.1.1.11bgQLinux联盟
bgQLinux联盟
conduit permit tcp host 204.31.17.29 eq 80 anybgQLinux联盟
bgQLinux联盟
conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17bgQLinux联盟
bgQLinux联盟
conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17bgQLinux联盟
bgQLinux联盟
static (inside.outside) 204.31.1.30 10.1.1.3 netmask 255.255.255.255 10 10bgQLinux联盟
bgQLinux联盟
conduit permit tcp host 204.31.1.30 eq smtp anybgQLinux联盟
bgQLinux联盟
conduit permit tcp host 204.31.1.30 eq 113 anybgQLinux联盟
bgQLinux联盟
snmp-server host 192.168.3.2bgQLinux联盟
bgQLinux联盟
snmp-server location building 42bgQLinux联盟
bgQLinux联盟
snmp-server contact polly hedrabgQLinux联盟
bgQLinux联盟
snmp-server community ohwhatakeyistheebgQLinux联盟
bgQLinux联盟
telnet 10.1.1.11 255.255.255.255bgQLinux联盟
bgQLinux联盟
telnet 192.168.3.0 255.255.255.0bgQLinux联盟
bgQLinux联盟
CISCO PIX 防火墙配置实践 ---- 介绍一个PIX防火墙实际配置案例,因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。bgQLinux联盟
bgQLinux联盟
PIX 防火墙bgQLinux联盟
bgQLinux联盟
设置PIX防火墙的外部地址:bgQLinux联盟
bgQLinux联盟
ip address outside 131.1.23.2bgQLinux联盟
bgQLinux联盟
设置PIX防火墙的内部地址:bgQLinux联盟
bgQLinux联盟
ip address inside 10.10.254.1bgQLinux联盟
bgQLinux联盟
设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池:bgQLinux联盟
bgQLinux联盟
global 1 131.1.23.10-131.1.23.254bgQLinux联盟
bgQLinux联盟
允许网络地址为10.0.0.0 的网段地址被PIX 翻译成外部地址:bgQLinux联盟
bgQLinux联盟
nat 1 10.0.0.0bgQLinux联盟
bgQLinux联盟
网管工作站固定使用的外部地址为131.1.23.11:bgQLinux联盟
bgQLinux联盟
static 131.1.23.11 10.14.8.50bgQLinux联盟
bgQLinux联盟
允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙:bgQLinux联盟
bgQLinux联盟
conduit 131.1.
Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论 |
|
|
|
|
|
