五、Cisco PIX防火墙的安装流程
1. 将PIX安放至机架,经检测电源系统后接上电源,并加电主机。
2. 将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall>。
3. 输入命令:enable,进入特权模式,此时系统提示为pixfirewall#。
4. 输入命令: configure terminal,对系统进行初始化设置。
5. 配置以太口参数:
interface ethernet0 auto (auto选项表明系统自适应网卡类型 )interface ethernet1 auto
6. 配置内外网卡的IP地址:
ip address inside ip_address netmask
ip address outside ip_address netmask
7. 指定外部地址范围:
global 1 ip_address-ip_address
8. 指定要进行要转换的内部地址:
nat 1 ip_address netmask
9. 设置指向内部网和外部网的缺省路由
route inside 0 0 inside_default_router_ip_address
route outside 0 0 outside_default_router_ip_address
10. 配置静态IP地址对映:
static outside ip_address inside ip_address
11. 设置某些控制选项:
conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的地址
port 指的是所作用的端口,其中0代表所有端口
protocol 指的是连接协议,比如:TCP、UDP等
foreign_ip 表示可访问global_ip的外部ip,其中表示所有的ip。
12. 设置telnet选项:
telnet local_ip
local_ip 表示被允许通过telnet访问到pix的ip地址(如果不设此项, PIX的配置只能由consle方式进行)。
13. 将配置保存:
wr mem
14. 几个常用的网络测试命令:
#ping
#show interface 查看端口状态
#show static 查看静态地址映射
六、PIX与路由器的结合配置
(一)、PIX防火墙
1、设置PIX防火墙的外部地址:
ip address outside 131.1.23.2
2、设置PIX防火墙的内部地址:
ip address inside 10.10.254.1
3、设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池:
global1 131.1.23.10-131.1.23.254
4、允许网络地址为10.0.0.0的网段地址被PIX翻译成外部地址:
nat 110.0.0.0
5、网管工作站固定使用的外部地址为131.1.23.11:
static 131.1.23.11 10.14.8.50
6、允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙:
conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255
7、允许从外部发起的对邮件服务器的连接(131.1.23.10):
mailhost 131.1.23.10 10.10.254.3
8、允许网络管理员通过远程登录管理IPX防火墙:
telnet 10.14.8.50
9、在位于网管工作站上的日志服务器上记录所有事件日志:
syslog facility 20.7
syslog host 10.14.8.50
(二)、路由器RTRA
RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。
1、阻止一些对路由器本身的攻击:www.net130.com
no service tcps mall-servers
2、强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取斜砭芫陌吐酚善髋渲玫母谋洌徽飧龆骺梢宰魑韵低彻芾碓钡脑缙谠ぞな居腥嗽谑酝脊セ髀酚善鳎蛘咭丫ト肼酚善鳎谑酝脊セ鞣阑鹎剑?BR>logging trapde bugging
3、此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上:
logging 131.1.23.11
4、保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击(见存取列表):
enable secret xxxxxxxxxxx
interface Ethernet 0
ipaddress 131.1.23.1 255.255.255.0
interfaceSerial 0
ip unnumbered ethernet 0
ip access-group 110 in
5、禁止任何显示为来源于路由器RTRA和PIX防火墙之间的信息包,这可以防止欺骗攻击:
access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog
6、防止对PIX防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接PIX防火墙外部接口的事件:
access-list 110 deny ip any host 131.1.23.2 log
7、允许已经建立的TCP会话的信息包通过:
access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
8、允许和FTP/HTTP服务器的FTP连接:
access-list 110 permit tcp any host 131.1.23.3 eq ftp
9、允许和FTP/HTTP服务器的FTP数据连接:
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
10、允许和FTP/HTTP服务器的HTTP连接:
access-list 110 permit tcp any host 131.1.23.2 eq www
11、禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的事件:
access-list 110 deny ip any host 131.1.23.2 log
12、允许其他预定在PIX防火墙和路由器RTRA之间的流量:
access-list 110 permit ip any 131.1.23.0 0.0.0.255
13、限制可以远程登录到此路由器的IP地址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
14、只允许网管工作站远程登录到此路由器,当你想从Internet管理此路由器时,应对此存取控制列表进行修改:
access-list 10 permit ip 131.1.23.11
责任编辑:小草
您现在的位置: 