Cisco PIX防火墙的安装流程

xymddn
0 ℃
2018-04-10

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

CiscoPIX防火墙的安装流程CiscoPIX防火墙的安装流程1.将PIX安放至机架，经检测电源系统后接上电源，并加电主机。2.将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入PIX系统；此时系统提示pixfirewall。3.输入命令：enable,进入特权模式，此时系统提示为pixfirewall#。4.输入命令：configureterminal,对系统进行初始化设置。5.配置以太口参数：interfaceethernet0auto（auto选项表明系统自适应网卡类型）interfaceethernet1auto6.配置内外网卡的IP地址：ipaddressinsideip_addressnetmaskipaddressoutsideip_addressnetmask7.指定外部地址范围：global1ip_address-ip_address8.指定要进行要转换的内部地址：nat1ip_addressnetmask9.设置指向内部网和外部网的缺省路由routeinside00inside_default_router_ip_addressrouteoutside00outside_default_router_ip_address10.配置静态IP地址对映：staticoutsideip_addressinsideip_address11.设置某些控制选项：conduitglobal_ipport[-port]protocolforeign_ip[netmask]global_ip指的是要控制的地址port指的是所作用的端口，其中0代表所有端口protocol指的是连接协议，比如：TCP、UDP等foreign_ip表示可访问global_ip的外部ip，其中表示所有的ip。12.设置telnet选项：telnetlocal_ip[netmask]local_ip表示被允许通过telnet访问到pix的ip地址（如果不设此项，PIX的配置只能由consle方式进行）。13.将配置保存：wrmem14.几个常用的网络测试命令：#ping#showinterface查看端口状态#showstatic查看静态地址映射CiscoPIX520是一款性能良好的网络安全产品，如果再加上CheckPoint的软件防火墙组成两道防护，可以得到更加完善的安全防范。主要用于局域网的外连设备（如路由器、拨号访问服务器等）与内部网络之间，实现内部网络的安全防范，避免来自外部的恶意攻击。CiscoPIX520的默认配置允许从内到外的所有信息请求，拒绝一切外来的主动访问，只允许内部信息的反馈信息进入。当然也可以通过某些设置，例如：访问表等，允许外部的访问。因为，远程用户的访问需要从外到内的访问。另外，可以通过NAT地址转换，实现公有地址和私有地址的转换。简单地讲，PIX520的主要功能有两点：1.实现网络安全2.实现地址转换下面简单列出PIX520的基本配置1.ConfigurewithoutNATnameifethernet0outsidesecurity0nameifethernet1insidesecurity100interfaceethernet0autointerfaceethernet1autoipaddressoutside202.109.77.1255.255.255.0(假设对外端口地址)ipaddressinside10.1.0.9255.255.255.0(假设内部网络为:10.1.0.0)hostnamebluegardenarptimeout14400nofailovernamespagerlines24loggingbuffereddebuggingnat(inside)000ripinsidedefaultnoripinsidepassivenoripoutsidedefaultripoutsidepassiverouteoutside0.0.0.00.0.0.0202.109.77.21(外连设备的内部端口地址)timeoutxlate3:00:00conn1:00:00udp0:02:00timeoutrpc0:10:00h3230:05:00timeoutuauth0:05:00absolutenosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublicmtuoutside1500mtuinside15002.ConfigurewithNATnameifethernet0outsidesecurity0nameifethernet1insidesecurity100interfaceethernet0autointerfaceethernet1autoipaddressoutside202.109.77.1255.255.255.0(假设对外端口地址)ipaddressinside10.1.0.9255.255.255.0(假设内部网络为:10.1.0.0)hostnamebluegardenarptimeout14400nofailovernamespagerlines24loggingbuffereddebuggingnat(inside)100global(outside)1202.109.77.10-202.109.77.20global(outside)1202.109.22.21noripinsidedefaultnoripinsidepassivenoripoutsidedefaultnoripoutsidepassiveconduitpermiticmpanyanyrouteoutside0.0.0.00.0.0.0202.109.77.21(外连设备的内部端口地址)timeoutxlate3:00:00conn1:00:00udp0:02:00timeoutrpc0:10:00h3230:05:00timeoutuauth0:05:00absolutenosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublicmtuoutside1500mtuinside1500CiscoPIX的多点服务配置结构图如下:PIX520TwoInterfaceMultipleServerConfigurationnameifethernet0outsidesecurity0nameifethernet0insidesecurity100interfaceethernet0autointerfaceethernet1autoipaddressinside10.1.1.1255.0.0.0ipaddressoutside204.31.17.10255.255.255.0loggingonlogginghost10.1.1.11loggingtrap7loggingfacility20nologgingconsolearptimeout600nat(inside)110.0.0.0255.0.0.0nat(inside)2192.168.3.0255.255.255.0global(outside)1204.31.1.25-204.31.17.27global(outside)1204.31.1.24global(outside)2192.159.1.1-192.159.1.254conduitpermiticmpanyanyoutbound10deny192.168.3.3255.255.255.2551720outbound10deny0080outbound10permit192.168.3.3255.255.255.25580outbound10deny192.168.3.3255.255.255.255javaoutbound10permit10.1.1.11255.255.255.25580apply(inside)10outgoing_srcnoripoutsidepassivenoripoutsidedefaultripinsidepassiveripinsidedefaultrouteoutside00204.31.17.1.1tacacs-serverhost10.1.1.12lq2w3eaaaauthenticationanyinside192.168.3.0255.255.255.000tacacs+aaaauthenticationanyinside192.168.3.0255.255.255.000static(inside,outside)204.31.19.0192.168.3.0netmask255.255.255.0conduitpermittcp204.31.19.0255.255.255.0egh323anystatic(inside,outside)204.31.17.2910.1.1.11conduitpermittcphost204.31.17.29eq80anyconduitpermitudphost204.31.17.29eqrpchost204.31.17.17conduitpermitudphost204.31.17.29eq2049host204.31.17.17static(inside.outside)204.31.1.3010.1.1.3netmask255.255.255.2551010conduitpermittcphost204.31.1.30eqsmtpanyconduitpermittcphost204.31.1.30eq113anysnmp-serverhost192.168.3.2snmp-serverlocationbuilding42snmp-servercontactpollyhedrasnmp-servercommunityohwhatakeyistheetelnet10.1.1.11255.255.255.255telnet192.168.3.0255.255.255.0CISCOPIX防火墙配置实践----介绍一个PIX防火墙实际配置案例，因为路由器的配置在安全性方面和PIX防火墙是相辅相成的，所以路由器的配置实例也一并列出。PIX防火墙设置PIX防火墙的外部地址：ipaddressoutside131.1.23.2设置PIX防火墙的内部地址：ipaddressinside10.10.254.1设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池：global1131.1.23.10-131.1.23.254允许网络地址为10.0.0.0的网段地址被PIX翻译成外部地址：nat110.0.0.0网管工作站固定使用的外部地址为131.1.23.11：static131.1.23.1110.14.8.50允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙：conduit131.1.23.11514udp131.1.23.1255.255.255.255允许从外部发起的对邮件服务器的连接（131.1.23.10）：mailhost131.1.23.1010.10.254.3允许网络管理员通过远程登录管理IPX防火墙：telnet10.14.8.50在位于网管工作站上的日志服务器上记录所有事件日志：syslogfacility20.7sysloghost10.14.8.50路由器RTRA----RTRA是外部防护路由器，它必须保护PIX防火墙免受直接攻击，保护FTP/HTTP服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以立即被通知。阻止一些对路由器本身的攻击：noservicetcpsmall-servers强制路由器向系统日志服务器发送在此路由器发生的每一个事件，包括被存取列表拒绝的包