免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 备份版区 企业安全技术 请教应该如何配置ciscopix515防火墙?
最近访问板块 发新帖
查看: 5017 | 回复: 5
打印 上一主题 下一主题

请教应该如何配置ciscopix515防火墙? [复制链接]

whelk

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2002-01-30 22:04 |只看该作者 |倒序浏览
请各位高手能够指点在下一二,最好是能够给出详细的配置步骤。主要是本人的英文不是很好,看英文的配置确实是有点吃力!\r\n希望能够得到大家的指点!
whelk

论坛徽章:
0
2 [报告]
发表于 2002-02-04 18:24 |只看该作者

怎么没有人回应呢?

是不是大家都回家过年了啊?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
mifeng

论坛徽章:
0
3 [报告]
发表于 2002-02-06 23:28 |只看该作者
自己去看吧。www.cisco.com
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
bx2aa

论坛徽章:
0
4 [报告]
发表于 2002-02-13 16:58 |只看该作者

Re: 请教应该如何配置ciscopix515防火墙?

最初由 whelk 发布\r\n[B]最好是能够给出详细的配置步骤。[/B]
\r\n[转帖]\r\n----本 文 介 绍 一 个PIX 防 火 墙 实 际 配 置 案 例, \r\n因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。\r\n**PIX 防 火 墙 \r\n1.设置PIX防火墙的外部地址 :\r\nip address outside 131.1.23.2 \r\n\r\n2.设置PIX防火墙的内部地址: \r\nip address inside 10.10.254.1 \r\n\r\n3.设置一个内部计算器与Internet上计算器进行通信时所需的全局地址池: \r\nglobal 1 131.1.23.10-131.1.23.254 \r\n\r\n4.允许网络地址为10.0.0.0的网段地址被PIX翻译成外部地址: \r\nnat 1 10.0.0.0 \r\n\r\n5.网管工作站固定使用的外部地址为131.1.23.11: \r\nstatic 131.1.23.11 10.14.8.50 \r\n\r\n6.允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙: \r\nconduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255 \r\n\r\n7.允许从外部发起的对邮件服务器的连接(131.1.23.10): \r\nmailhost 131.1.23.10 10.10.254.3 \r\n\r\n8.允许网络管理员通过远程登录管理IPX防火墙: \r\ntelnet 10.14.8.50 \r\n\r\n9.在位于网管工作站上的日志服务器上记录所有事件日志: \r\nsyslog facility 20.7 \r\nsyslog host 10.14.8.50 \r\n\r\n**路由器RTRA \r\n\r\n----RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,\r\n同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。 \r\n\r\n1.阻止一些对路由器本身的攻击: \r\nno service tcp small-servers \r\n\r\n2.强制路由器向系统日志服务器发送在此路由器发生的每一个事件,\r\n包括被存取列表拒绝的包和路由器配置的改变;\r\n这个动作可以作为对系统管理员的早期预警,\r\n预示有人在试图攻击路由器,或者已经攻入路由器,正在试图攻击防火墙:\r\nlogging trap debugging \r\n\r\n3.此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上 :\r\nlogging 131.1.23.11 \r\n\r\n4.保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击(见存取列表): \r\nenable secret xxxxxxxxxxx \r\n\r\ninterface Ethernet 0 \r\nip address 131.1.23.1 255.255.255.0 \r\n\r\ninterface Serial 0 \r\nip unnumbered ethernet 0 \r\nip access-group 110 in \r\n\r\n5.禁止任何显示为来源于路由器RTRA和PIX防火墙之间的信息包,这可以防止欺骗攻击: \r\naccess-list 110 deny ip 131.1.23.0 0.0.0.255 any log \r\n\r\n6.防止对PIX防火墙外部接口的直接攻击并记录到\r\n系统日志服务器任何企图连接PIX防火墙外部接口的事件: \r\naccess-list 110 deny ip any host 131.1.23.2 log \r\n\r\n7.允许已经建立的TCP会话的信息包通过: \r\naccess-list 110 permit tcp any 131.1.23.0 0.0.0.255 established \r\n\r\n8.允许和FTP/HTTP服务器的FTP连接: \r\naccess-list 110 permit tcp any host 131.1.23.3 eq ftp \r\n\r\n9.允许和FTP/HTTP服务器的FTP数据连接: \r\naccess-list 110 permit tcp any host 131.1.23.2 eq ftp-data \r\n\r\n10.允许和FTP/HTTP服务器的HTTP连接: \r\naccess-list 110 permit tcp any host 131.1.23.2 eq www \r\n\r\n11.禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的事件: \r\naccess-list 110 deny ip any host 131.1.23.2 log \r\n\r\n12.允许其它预定在PIX防火墙和路由器RTRA之间的流量: \r\naccess-list 110 permit ip any 131.1.23.0 0.0.0.255 \r\n\r\n13.限制可以远程登录到此路由器的IP地址: \r\nline vty 0 4 \r\nlogin \r\npassword xxxxxxxxxx \r\naccess-class 10 in \r\n\r\n14.只允许网管工作站远程登录到此路由器,当你想从Internet管理此路由器时,\r\n应对此存取控制列表进行修改: \r\naccess-list 10 permit ip 131.1.23.11 \r\n\r\n**路由器RTRB \r\n\r\n----RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口。 \r\n\r\n1.记录此路由器上的所有活动到网管工作站上的日志服务器,包括配置的修改: \r\nlogging trap debugging \r\nlogging 10.14.8.50 \r\n\r\n2.允许通向网管工作站的系统日志信息: \r\ninterface Ethernet 0 \r\nip address 10.10.254.2 255.255.255.0 \r\nno ip proxy-arp \r\nip access-group 110 in \r\naccess-list 110 permit udp host 10.10.254.0 0.0.0.255 \r\n\r\n3. 禁止所有别的从PIX防火墙发来的信息包: \r\naccess-list 110 deny ip any host 10.10.254.2 log \r\n\r\n4.允许邮件主机和内部邮件服务器的SMTP邮件连接: \r\naccess-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp \r\n\r\n5.禁止别的来源与邮件服务器的流量: \r\naccess-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255 \r\n\r\n6. 防止内部网络的信任地址欺骗: \r\naccess-list deny ip any 10.10.254.0 0.0.0.255 \r\n\r\n7.允许所有别的来源于PIX防火墙和路由器RTRB之间的流量: \r\naccess-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255 \r\n\r\n8.限制可以远程登录到此路由器上的IP地址: \r\nline vty 0 4 \r\nlogin \r\npassword xxxxxxxxxx \r\naccess-class 10 in \r\n\r\n9.只允许网管工作站远程登录到此路由器,当你想从Internet管理此路由器时,\r\n应对此存取控制列表进行修改: \r\naccess-list 10 permit ip 10.14.8.50 \r\n\r\n----按以上设置配置好PIX防火墙和路由器后,\r\nPIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,\r\n也不可能判断出内部任何一台主机的IP地址,即使告诉了内部主机的IP地址,\r\n要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
abcdecho

论坛徽章:
0
5 [报告]
发表于 2002-02-20 15:08 |只看该作者
本案例通过PIX515实现外网主机只能访问内网10.10.1.6服务器的所有服务,防止外网攻击内网其他主机 \r\n\r\n“# #”为配置命令的注解 \r\nnameif ethernet0 outside security0     # 定义e0为外部接口,安全等级为0 # \r\nnameif ethernet1 inside security100    # 定义e1为内部接口,安全等级为100 # \r\nenable password 8Ry2YjIyt7RRXU24 encrypted # 设置enable密码 # \r\npasswd 2KFQnbNIdI.2KYOU encrypted     # 设置telnet密码 # \r\nhostname pixfirewall            # PIX主机名 # \r\nfixup protocol ftp 21            \r\nfixup protocol http 80           \r\nfixup protocol h323 1720          \r\nfixup protocol rsh 514           \r\nfixup protocol smtp 25           \r\nfixup protocol sqlnet 1521         \r\nfixup protocol sip 5060           \r\nnames                  \r\naccess-list acl_out permit ip any any # 定义外部访问控制列表 # \r\npager lines 24             \r\nlogging on               \r\nno logging timestamp          \r\nno logging standby           \r\nno logging console           \r\nno logging monitor           \r\nno logging buffered           \r\nno logging trap             \r\nno logging history            \r\nlogging facility 20           \r\nlogging queue 512            \r\ninterface ethernet0 auto       # 设置e0口自适应 # \r\ninterface ethernet1 auto       # 设置e1口自适应 # \r\nmtu outside 1500 \r\nmtu inside 1500 \r\nip address outside 192.168.1.1 255.255.255.0 # 外部端口ip # \r\nip address inside 10.10.1.230 255.255.255.0  # 内部端口ip # \r\nip audit info action alarm \r\nip audit attack action alarm \r\narp timeout 14400 \r\nglobal (outside) 1 192.168.1.244-192.168.1.254 netmask 255.255.255.0 # nat的ip-pool # \r\nnat (inside) 1 0.0.0.0 0.0.0.0 0 0 # 将内部所有的ip转换成外部地址 # \r\nstatic (inside,outside) 192.168.1.6 10.10.1.6 netmask 255.255.255.255 0 0 # 将内部服务器10.10.1.6map成外部地址192.168.1.6 # \r\naccess-group acl_out in interface outside # 在外部端口应用访问控制列表 # \r\nconduit permit ip host 192.168.1.6 192.168.1.0 255.255.255.0 # 允许192.168.1.0访问内部服务器的所有ip服务 # \r\nroute outside 0.0.0.0 0.0.0.0 192.168.1.2 1 # 设置默认路由192.168.1.2 # \r\ntimeout xlate 3:00:00 \r\ntimeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 s0 \r\ntimeout uauth 0:05:00 absolute \r\naaa-server TACACS+ protocol tacacs+ \r\naaa-server RADIUS protocol radius \r\nno snmp-server location \r\nno snmp-server contact \r\nsnmp-server community public \r\nno snmp-server enable traps \r\nfloodguard enable \r\nno sysopt route dnat \r\nisakmp identity hostname \r\ntelnet 10.10.1.0 255.255.255.0 inside # 只允许内部10.10.1.0网段的主机telnet到PIX # \r\ntelnet timeout 5 \r\nssh timeout 5 \r\nterminal width 80
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
whelk

论坛徽章:
0
6 [报告]
发表于 2002-02-20 16:27 |只看该作者

非常感谢!

谢谢上面的兄弟对在下的支持!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP