巧配置Cisco PIX防火墻

2019-11-04 23:18:22

字體：大中小

來源：轉載

供稿：網友

　本文介紹一個PIX防火墻實際配置案例，因為路由器的配置在安全性方面和PIX防火墻是相輔相成的，所以路由器的配置實例也一并列出。
　　
　　PIX防火墻
　　
　　1.設置PIX防火墻的外部地址：ipaddressoutside
　　
　　131.1.23.2
　　
　　2.設置PIX防火墻的內部地址：ipaddressinside
　　
　　10.10.254.1
　　
　　3.設置一個內部計算機與Internet上計算機進行通信時所需的全局地址池：global1131.1.23.10-131.1.23.254
　　
　　4.答應網絡地址為10.0.0.0的網段地址被PIX翻譯成外部地址：nat110.0.0.0
　　
　　5.網管工作站固定使用的外部地址為131.1.23.
　　
　　11：static131.1.23.1110.14.8.50
　　
　　6.答應從RTRA發送到網管工作站的系統日志包通過PIX防火墻：conduit131.1.23.11514udp131.1.
　　
　　23.1255.255.255.255
　　
　　7.答應從外部發起的對郵件服務器的連接（131.1.23.10）：mailhost131.1.23.1010.10.254.3
　　
　　8.答應網絡治理員通過遠程登錄治理IPX防火墻：telnet10.14.8.50
　　
　　9.在位于網管工作站上的日志服務器上記錄所有事件日志：syslogfacility20.7
　　
　　sysloGhost10.14.8.50
　　
　　路由器RTRA
　　
　　RTRA是外部防護路由器，它必須保護PIX防火墻免受直接攻擊，保護FTP/HTTP服務器，同時作為一個警報系統，假如有人攻入此路由器，治理可以立即被通知。
　　
　　1.阻止一些對路由器本身的攻擊：
　　
　　noservicetcpsmall-servers
　　
　　2.強制路由器向系統日志服務器發送在此路由器發生的每一個事件，包括被存取列表拒絕的包和路由器配置的改變；這個動作可以作為對系統治理員的早期預警，預示有人在試圖攻擊路由器，或者已經攻入路由器，正在試圖攻擊防火墻：
　　
　　loggingtrapdebugging
　　
　　3.此地址是網管工作站的外部地址，路由器將記錄所有事件到此主機上：
　　
　　logging131.1.23.11
　　
　　4.保護PIX防火墻和HTTP/FTP服務器以及防衛欺騙攻擊。
　　
　　5.禁止任何顯示為來源于路由器RTRA和PIX防火墻之間的信息包，防止欺騙攻擊：
　　
　　access-list110denyip131.1.23.00.0.0.255anylog
　　
　　6.防止對PIX防火墻外部接口的直接攻擊并將任何企業連接PIX防火墻外部接口的事件記錄到系統日志服務器：
　　
　　access-list110denyipanyhost131.1.23.2log
　　
　　
　　7. 答應已經建立的TCP會話的信息包通過：
　　
　　access-list110permittcpany131.1.23.00.0.0.255
　　
　　established
　　
　　8. 答應和FTP/HTTP服務器的FTP連接：
　　
　　access-list110permittcpanyhost131.1.23.3eqftp
　　
　　9. 答應和FTP/HTTP服務器的FTP數據連接：
　　
　　access-list110permittcpanyhost131.1.23.2eqftp-data
　　
　　10. 答應和FTP/HTTP服務器的HTTP連接：
　　
　　access-list110permittcpanyhost
　　
　　131.1.23.2eqwww
　　
　　11. 禁止和FTP/HTTP服務器的別的連接并將何企圖連接FTP/HTTP的事件記錄到系統日志服務器任：
　　
　　access-list110denyipanyhost
　　
　　131.1.23.2log
　　
　　12. 答應其他預定在PIX防火墻和路由器RTRA之間的流量：
　　
　　access-list110permitipany
　　
　　131.1.23.00.0.0.255
　　
　　13.限制可以遠程登錄到此路由器的IP地址。
　　
　　14. 只答應網管工作站遠程登錄到此路由器，當你想從Internet治理此路由器時，應對此存取控制列表進行修改：
　　
　　access-list10permitip131.1.23.11
　　
　　路由器RTRB
　　
　　RTRB是內部網防護路由器，它是你的防火墻的最后一道防線，是進入內部網的入口。

　　
　　1. 將此路由器上的所有活動記錄到網管工作站上的日志服務器，包括配置的修改：
　　
　　loggingtrapdebugging
　　
　　logging10.14.8.50
　　
　　2. access-list110permitudphost10.10.254.00.0.0.255
　　
　　
　　3. 禁止所有別的從PIX防火墻發來的信息包：
　　
　　access-list110denyipanyhost10.10.254.2log
　　
　　4. 答應郵件主機和內部郵件服務器的SMTP郵件連接：
　　
　　access-listpermittcphost10.10.254.310.0.0.00.255.
　　
　　255.255eqsmtp
　　
　　5. 禁止別的來源與郵件服務器的流量：
　　
　　access-listdenyiphost10.10.254.310.0.0.00.255.255.
　　
　　255
　　
　　6. 防止內部網絡的信任地址欺騙：
　　
　　access-listdenyipany10.10.254.00.0.0.255
　　
　　7. 答應所有別的來源于PIX防火墻和路由器RTRB之間的流量：
　　
　　access-listpermitip10.10.254.00.0.0.25510.0.0.00.255.
　　
　　255.255
　　
　　8. 限制可以遠程登錄到此路由器的IP地址。
　　
　　9. 只答應網管工作站遠程登錄到此路由器，當想從Internet治理此路由器時，應對此存取控制列表進行修改：
　　access-list10permitip10.14.8.50
　　
　　按以上設置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判定出內部任何一臺主機的IP地址，即使告訴了內部主機的IP地址，要想直接對它們進行Ping和連接也是不可能的。這樣就可以對整個內部網進行有效的保護。
　　
　　作者：王洪杰

上一篇：CCNA專業英文詞匯全集(1)

下一篇：配置Cisco路由器中的Modem