Cisco PIX 的基本配置

2019-11-04 23:25:58

字體：大中小

供稿：網(wǎng)友

　　Cisco PIX 520 是一款性能良好的網(wǎng)絡(luò)安全產(chǎn)品，假如再加上Check Point 的軟件防火墻組成兩道防護(hù)，可以得到更加完善的安全防范。
　　
　　主要用于局域網(wǎng)的外連設(shè)備（如路由器、撥號(hào)訪問(wèn)服務(wù)器等）與內(nèi)部網(wǎng)絡(luò)之間，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全防范，避免來(lái)自外部的惡意攻擊。
　　
　　 Cisco PIX 520的默認(rèn)配置答應(yīng)從內(nèi)到外的所有信息請(qǐng)求，拒絕一切外來(lái)的主動(dòng)訪問(wèn)，只答應(yīng)內(nèi)部信息的反饋信息進(jìn)入。當(dāng)然也可以通過(guò)某些設(shè)置，例如：訪問(wèn)表等，答應(yīng)外部的訪問(wèn)。因?yàn)椋h(yuǎn)程用戶的訪問(wèn)需要從外到內(nèi)的訪問(wèn)。另外，可以通過(guò)NAT地址轉(zhuǎn)換，實(shí)現(xiàn)公有地址和私有地址的轉(zhuǎn)換。
　　
　　簡(jiǎn)單地講，PIX 520的主要功能有兩點(diǎn)：
　　
　　 1.實(shí)現(xiàn)網(wǎng)絡(luò)安全
　　
　　　
　　
　　2.實(shí)現(xiàn)地址轉(zhuǎn)換
　　
　　下面簡(jiǎn)單列出PIX 520 的基本配置
　　
　　 1.Configure without NAT
　　 nameif ethernet0 outside security0
　　 nameif ethernet1 inside security100
　　 interface ethernet0 auto
　　 interface ethernet1 auto
　　 ip address outside 202.109.77.1 255.255.255.0 (假設(shè)對(duì)外端口地址)
　　
　　 ip address inside 10.1.0.9 255.255.255.0(假設(shè)內(nèi)部網(wǎng)絡(luò)為:10.1.0.0)
　　
　　 hostname bluegarden
　　
　　 arp timeout 14400
　　 no failover
　　 names
　　 pager lines 24
　　 logging buffered debugging
　　
　　 nat (inside) 0 0 0
　　
　　 rip inside default
　　
　　 no rip inside passive
　　
　　 no rip outside default
　　
　　 rip outside passive
　　 route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外連設(shè)備的內(nèi)部端口地址)
　　 timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00
　　
　　 timeout rpc 0:10:00 h323 0:05:00
　　
　　 timeout uauth 0:05:00 absolute
　　 no snmp-server location
　　
　　 no snmp-server contact
　　
　　 snmp-server community public
　　 mtu outside 1500
　　
　　 mtu inside 1500
　　 2.Configure with NAT
　　
　　 nameif ethernet0 outside security0
　　 nameif ethernet1 inside security100
　　 interface ethernet0 auto
　　 interface ethernet1 auto
　　 ip address outside 202.109.77.1 255.255.255.0 (假設(shè)對(duì)外端口地址)
　　
　　 ip address inside 10.1.0.9 255.255.255.0(假設(shè)內(nèi)部網(wǎng)絡(luò)為:10.1.0.0)
　　
　　 hostname bluegarden
　　
　　 arp timeout 14400
　　 no failover
　　 names
　　 pager lines 24
　　 logging buffered debugging
　　
　　 nat (inside) 1 0 0
　　
　　 global (outside) 1 202.109.77.10-202.109.77.20
　　
　　 global (outside) 1 202.109.22.21
　　 no rip inside default
　　
　　 no rip inside passive
　　
　　 no rip outside default
　　
　　 no rip outside passive
　　 conduit permit icmp any any
　　 route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外連設(shè)備的內(nèi)部端口地址)
　　 timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00
　　
　　 timeout rpc 0:10:00 h323 0:05:00
　　
　　 timeout uauth 0:05:00 absolute
　　 no snmp-server location
　　
　　 no snmp-server contact
　　
　　 snmp-server community public
　　 mtu outside 1500
　　
　　 mtu inside 1500

上一篇：在Cisco1700系列上實(shí)現(xiàn)PPPOE+NAT

下一篇：Cisco PIX防火墻的安裝流程