分享
 
 
 

巧配置Cisco PIX防火墙

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

本文介绍一个PIX防火墙实际配置案例,因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。

PIX防火墙

1.设置PIX防火墙的外部地址:ipaddressoutside

131.1.23.2

2.设置PIX防火墙的内部地址:ipaddressinside

10.10.254.1

3.设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池:global1131.1.23.10-131.1.23.254

4.答应网络地址为10.0.0.0的网段地址被PIX翻译成外部地址:nat110.0.0.0

5.网管工作站固定使用的外部地址为131.1.23.

11:static131.1.23.1110.14.8.50

6.答应从RTRA发送到网管工作站的系统日志包通过PIX防火墙:conduit131.1.23.11514udp131.1.

23.1255.255.255.255

7.答应从外部发起的对邮件服务器的连接(131.1.23.10):mailhost131.1.23.1010.10.254.3

8.答应网络治理员通过远程登录治理IPX防火墙:telnet10.14.8.50

9.在位于网管工作站上的日志服务器上记录所有事件日志:syslogfacility20.7

sysloGhost10.14.8.50

路由器RTRA

RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,假如有人攻入此路由器,治理可以立即被通知。

1.阻止一些对路由器本身的攻击:

noservicetcpsmall-servers

2.强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取列表拒绝的包和路由器配置的改变;这个动作可以作为对系统治理员的早期预警,预示有人在试图攻击路由器,或者已经攻入路由器,正在试图攻击防火墙:

loggingtrapdebugging

3.此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上:

logging131.1.23.11

4.保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击。

5.禁止任何显示为来源于路由器RTRA和PIX防火墙之间的信息包,防止欺骗攻击:

Access-list110denyip131.1.23.00.0.0.255anylog

6.防止对PIX防火墙外部接口的直接攻击并将任何企业连接PIX防火墙外部接口的事件记录到系统日志服务器:

access-list110denyipanyhost131.1.23.2log

7. 答应已经建立的TCP会话的信息包通过:

access-list110permittcpany131.1.23.00.0.0.255

established

8. 答应和FTP/HTTP服务器的FTP连接:

access-list110permittcpanyhost131.1.23.3eqftp

9. 答应和FTP/HTTP服务器的FTP数据连接:

access-list110permittcpanyhost131.1.23.2eqftp-data

10. 答应和FTP/HTTP服务器的HTTP连接:

access-list110permittcpanyhost

131.1.23.2eqwww

11. 禁止和FTP/HTTP服务器的别的连接并将何企图连接FTP/HTTP的事件记录到系统日志服务器任:

access-list110denyipanyhost

131.1.23.2log

12. 答应其他预定在PIX防火墙和路由器RTRA之间的流量:

access-list110permitipany

131.1.23.00.0.0.255

13.限制可以远程登录到此路由器的IP地址。

14. 只答应网管工作站远程登录到此路由器,当你想从Internet治理此路由器时,应对此存取控制列表进行修改:

access-list10permitip131.1.23.11

路由器RTRB

RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口。

1. 将此路由器上的所有活动记录到网管工作站上的日志服务器,包括配置的修改:

loggingtrapdebugging

logging10.14.8.50

2. access-list110permitudphost10.10.254.00.0.0.255

3. 禁止所有别的从PIX防火墙发来的信息包:

access-list110denyipanyhost10.10.254.2log

4. 答应邮件主机和内部邮件服务器的SMTP邮件连接:

access-listpermittcphost10.10.254.310.0.0.00.255.

255.255eqsmtp

5. 禁止别的来源与邮件服务器的流量:

access-listdenyiphost10.10.254.310.0.0.00.255.255.

255

6. 防止内部网络的信任地址欺骗:

access-listdenyipany10.10.254.00.0.0.255

7. 答应所有别的来源于PIX防火墙和路由器RTRB之间的流量:

access-listpermitip10.10.254.00.0.0.25510.0.0.00.255.

255.255

8. 限制可以远程登录到此路由器的IP地址。

9. 只答应网管工作站远程登录到此路由器,当想从Internet治理此路由器时,应对此存取控制列表进行修改:

access-list10permitip10.14.8.50

按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判定出内部任何一台主机的IP地址,即使告诉了内部主机的IP地址,要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护。

作者:王洪杰

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有