|
 |
栏目导栏 |
|
| |
|
|
|
|
|
资料搜索 |
|
| |
|
|
|
|
|
热门文章 |
|
| |
|
|
|
|
|
最新文章 |
|
| |
|
|
|
| |
| |
|
|
|
[ 作者: Linux联盟收集 加入时间:2006-07-25 12:46:18 来自:Linux联盟收集
] | |
|
背景:tCvLinux联盟
某油田公司的办公网络以前是和中国石油总公司的全国网络连在一起的,用的是保留IP(10.*.*.*),对INTERNET的访问则是走的石油总公司的统一出口。随着业务的开展和网络技术的发展,公司决定在本地申请一条DDN线路,这样公司的INTERNET访问不再通过总公司,而是直接从本地电信局接入。由于油田数据的敏感性,所以有必要做一套防火墙系统。经过研究,决定上一套Cisco的PIX520防火墙系统。另外,公司有一台旧的Cisco 2501路由器,我们决定用它作为公司接入电信局的路由器。tCvLinux联盟
公司申请了2M 专线后,电信局赠送了16个公共IP地址:200.100.50.32/28,即200.100.50.32~200.100.50.47;由于200.100.50.32是网络地址,200.100.50.47是广播地址,故实际可用地址只有14个(安全起见,这里IP的网络标识部分用虚假数字)。这显然不能满足公司办公需要,所以需要做NAT(Network Address Translation:网络地址翻译)。tCvLinux联盟
考虑到这台Cisco 2501的IOS版本为11.2,不支持NAT,而flash ram(内存)只有8M,要升级IOS必须升级内存,麻烦多多。所以不如将NAT做在PIX 520上。tCvLinux联盟
工作内容主要是两个方面:tCvLinux联盟
(1) 部署防火墙;tCvLinux联盟
(2) 配置NAT。tCvLinux联盟
配置过程:tCvLinux联盟
以下为实际安装中部分配置过程,其中IP地址做过修改。tCvLinux联盟
1、 连接PIX 520,加电;tCvLinux联盟
2、 将计算机的串口于PIX 520的控制口相连,运行超级终端:tCvLinux联盟
pixfirewall>tCvLinux联盟
3、 先后输入enable命令和configure terminal命令,依次进入特权模式和全局配置模式:tCvLinux联盟
pixfirewall(config)#tCvLinux联盟
4、 指定内外网卡及安全级别:tCvLinux联盟
pixfirewall(config)# nameif ethernet0 outside security0tCvLinux联盟
pixfirewall(config)# nameif ethernet1 inside security100tCvLinux联盟
释:ethernet0为外网卡,安全级别最低;ethernet1为内网卡,安全级别最高。tCvLinux联盟
5、 配置外网卡:tCvLinux联盟
pixfirewall(config)# interface ethernet0 autotCvLinux联盟
pixfirewall(config)# ip address outside 200.100.50.34 255.255.255.240tCvLinux联盟
释:外网卡地址是200.100.50.34,掩码是255.255.255.240;网卡为自适应。tCvLinux联盟
6、 配置内网卡:tCvLinux联盟
pixfirewall(config)# interface ethernet1 autotCvLinux联盟
pixfirewall(config)# ip address inside 10.70.130.254 255.255.255.0tCvLinux联盟
释:内网卡地址是10.70.130.254,掩码是255.255.255.0;网卡为自适应。tCvLinux联盟
7、 配置全局地址池:tCvLinux联盟
pixfirewall(config)# global (outside) 1 200.100.50.35-200.100.50.46tCvLinux联盟
释:这12个地址用以内网做NAT。tCvLinux联盟
、 配置使用上述全局地址池的内网地址范围:tCvLinux联盟
pixfirewall(config)# nat (inside) 1 10.70.130.0 255.255.255.0 0 0tCvLinux联盟
释:内网10.70.130.0/24网段可以使用上述全局地址池出去(连接INTERNET)。tCvLinux联盟
9、 设置指向内部网和外部网的缺省路由tCvLinux联盟
pixfirewall(config)# route outside 0.0.0.0 0.0.0.0 200.100.50.33 1tCvLinux联盟
pixfirewall(config)# route inside 10.70.130.0 255.255.255.0 10.70.130.253 1tCvLinux联盟
释:缺省路由指向Cisco 2501,其IP地址为:200.100.50.33。10.70.130.253是内网网关(本例中为公司内部第三层交换机的路由模块的IP)。tCvLinux联盟
10、 设置telnet选项:tCvLinux联盟
pixfirewall(config)# telnet 10.70.130.0 255.255.255.0tCvLinux联盟
释:只允许内部网络10.70.130.0/24远程登陆到防火墙。tCvLinux联盟
以上是对PIX 520的初步配置,当然还可以进行更复杂的设置,这里不再累述。tCvLinux联盟
附录:tCvLinux联盟
下面是这台PIX 520的配置内容,供参考。tCvLinux联盟
: SavedtCvLinux联盟
:tCvLinux联盟
PIX Version 4.4(5)tCvLinux联盟
nameif ethernet0 outside security0tCvLinux联盟
nameif ethernet1 inside security100tCvLinux联盟
enable password oMCmcbd1jkjYHinD encryptedtCvLinux联盟
passwd dc.0Bh12lvH98fKM encryptedtCvLinux联盟
hostname kfctCvLinux联盟
fixup protocol ftp 21tCvLinux联盟
fixup protocol http 80tCvLinux联盟
fixup protocol h323 1720tCvLinux联盟
fixup protocol rsh 514tCvLinux联盟
fixup protocol smtp 25tCvLinux联盟
fixup protocol sqlnet 1521tCvLinux联盟
namestCvLinux联盟
pager lines 24tCvLinux联盟
logging ontCvLinux联盟
no logging timestamptCvLinux联盟
no logging consoletCvLinux联盟
no logging monitortCvLinux联盟
no logging bufferedtCvLinux联盟
no logging traptCvLinux联盟
logging facility 20tCvLinux联盟
logging queue 512tCvLinux联盟
interface ethernet0 autotCvLinux联盟
interface ethernet1 autotCvLinux联盟
mtu outside 1500tCvLinux联盟
mtu inside 1500tCvLinux联盟
ip address outside 200.100.50.34 255.255.255.240tCvLinux联盟
ip address inside 10.70.130.254 255.255.255.0tCvLinux联盟
no failovertCvLinux联盟
failover timeout 0:00:00tCvLinux联盟
failover ip address outside 0.0.0.0tCvLinux联盟
failover ip address inside 0.0.0.0tCvLinux联盟
arp timeout 14400tCvLinux联盟
global (outside) 1 200.100.50.35tCvLinux联盟
global (outside) 1 200.100.50.36-200.100.50.37tCvLinux联盟
nat (inside) 1 10.70.130.0 255.255.255.0 0 0tCvLinux联盟
conduit permit icmp any anytCvLinux联盟
no rip outside passivetCvLinux联盟
no rip outside defaulttCvLinux联盟
no rip inside passivetCvLinux联盟
no rip inside defaulttCvLinux联盟
route outside 0.0.0.0 0.0.0.0 200.100.50.33 1tCvLinux联盟
route inside 10.70.130.0 255.255.255.0 10.80.130.253 1tCvLinux联盟
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00tCvLinux联盟
timeout rpc 0:10:00 h323 0:05:00tCvLinux联盟
timeout uauth 0:05:00 absolutetCvLinux联盟
aaa-server TACACS+ protocol tacacs+tCvLinux联盟
aaa-server RADIUS protocol radiustCvLinux联盟
no snmp-server locationtCvLinux联盟
no snmp-server contacttCvLinux联盟
snmp-server community publictCvLinux联盟
no snmp-server enable trapstCvLinux联盟
telnet 10.70.130.0 255.255.255.0tCvLinux联盟
telnet timeout 5tCvLinux联盟
terminal width 80tCvLinux联盟
Cryptochecksum:5277c997c2054fde9044a7a29f240265
Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论 |
|
|
|
|
|
