首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 软硬件防火墙 > Cisco PIX防火墙的安装流程 > 正文

Cisco PIX防火墙的安装流程

出处:收集整理 作者:收集整理 时间:2006-5-22 10:10:00
 1. 将PIX安放至机架,经检测电源系统后接上电源,并加电主机。

    2. 将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall>.

    3. 输入命令:enable,进入特权模式,此时系统提示为pixfirewall#.

    4. 输入命令: configure terminal,对系统进行初始化设置。

    5. 配置以太口参数:
    interface ethernet0 auto  (auto选项表明系统自适应网卡类型 )
    interface ethernet1 auto

    6. 配置内外网卡的IP地址:
    ip address inside ip_address netmask
    ip address outside ip_address netmask

    7. 指定外部地址范围:
    global 1 ip_address-ip_address

    8. 指定要进行要转换的内部地址:
    nat 1 ip_address netmask

    9. 设置指向内部网和外部网的缺省路由
    route inside 0 0 inside_default_router_ip_address
    route outside 0 0 outside_default_router_ip_address

   10. 配置静态IP地址对映:
    static outside ip_address  inside ip_address

   11. 设置某些控制选项:
    conduit global_ip port[-port] protocol foreign_ip [netmask]
    global_ip  指的是要控制的地址
    port    指的是所作用的端口,其中0代表所有端口
    protocol  指的是连接协议,比如:TCP、UDP等
    foreign_ip 表示可访问global_ip的外部ip,其中表示所有的ip.

   12. 设置telnet选项:
    telnet local_ip [netmask] l
    ocal_ip  表示被允许通过telnet访问到pix的ip地址(如果不设此项,PIX的配置只能由consle方式进行)。

    13. 将配置保存:
    wr mem

    14. 几个常用的网络测试命令:
    #ping
    #show interface   查看端口状态
    #show static     查看静态地址映射

    Cisco PIX 520 是一款性能良好的网络安全产品,如果再加上Check Point 的软件防火墙组成两道防护,可以得到更加完善的安全防范。

    主要用于局域网的外连设备(如路由器、拨号访问服务器等)与内部网络之间,实现内部网络的安全防范,避免来自外部的恶意攻击。

    Cisco PIX 520的默认配置允许从内到外的所有信息请求,拒绝一切外来的主动访问,只允许内部信息的反馈信息进入。当然也可以通过某些设置,例如:访问表等,允许外部的访问。因为,远程用户的访问需要从外到内的访问。另外,可以通过NAT地址转换,实现公有地址和私有地址的转换。

    简单地讲,PIX 520的主要功能有两点:

    1.实现网络安全

    2.实现地址转换

    下面简单列出PIX 520 的基本配置

1.Configure without NAT

nameif ethernet0 outside security0

nameif ethernet1 inside security100

interface ethernet0 auto

interface ethernet1 auto

     ip address outside 202.109.77.1 255.255.255.0 (假设对外端口地址)    

     ip address inside 10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0)

     hostname bluegarden

arp timeout 14400

no failover

names

pager lines 24

     logging buffered debugging

     nat (inside) 0 0 0

rip inside default no rip inside passive no rip outside default rip outside passive

route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)

timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute

no snmp-server location no snmp-server contact snmp-server community public

mtu outside 1500 mtu inside 1500

2.Configure with NAT

nameif ethernet0 outside security0

nameif ethernet1 inside security100

interface ethernet0 auto

interface ethernet1 auto

     ip address outside 202.109.77.1 255.255.255.0 (假设对外端口地址)    

     ip address inside 10.1.0.9 255.255.255.0(假设内部网络为:10.1.0.0)

     hostname bluegarden

arp timeout 14400

no failover

names

pager lines 24

     logging buffered debugging

     nat (inside) 1 0 0

global (outside) 1 202.109.77.10-202.109.77.20 global (outside) 1 202.109.22.21

no rip inside default no rip inside passive no rip outside default no rip outside passive

conduit permit icmp any any

route outside 0.0.0.0 0.0.0.0 202.109.77.2 1(外连设备的内部端口地址)

timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute

no snmp-server location no snmp-server contact snmp-server community public

mtu outside 1500 mtu inside 1500

Cisco PIX 的多点服务配置

 结构图如下:

 PIX 520

 Two Interface Multiple Server Configuration

 nameif ethernet0 outside security0

 nameif ethernet0 inside security100

 interface ethernet0 auto

 interface ethernet1 auto

 ip address inside 10.1.1.1 255.0.0.0

 ip address outside 204.31.17.10 255.255.255.0

 logging on

 logging host 10.1.1.11

 logging trap 7

 logging facility 20

 no logging console

 arp timeout 600

 nat (inside) 1 10.0.0.0 255.0.0.0

 nat (inside) 2 192.168.3.0 255.255.255.0

 global (outside) 1 204.31.1.25-204.31.17.27

 global (outside) 1 204.31.1.24

 global (outside) 2 192.159.1.1-192.159.1.254

 conduit permit icmp any any

 outbound 10 deny 192.168.3.3 255.255.255.255 1720

 outbound 10 deny 0 0 80

 outbound 10 permit 192.168.3.3 255.255.255.255 80

 outbound 10 deny 192.168.3.3 255.255.255.255 java

 outbound 10 permit 10.1.1.11 255.255.255.255 80

 apply (inside) 10 outgoing_src

 no rip outside passive

 no rip outside default

 rip inside passive

 rip inside default

 route outside 0 0 204.31.17.1.1

 tacacs-server host 10.1.1.12 lq2w3e

 aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 tacacs+

 aaa authentication any inside 192.168.3.0 255.255.255.0 0 0

 static (inside,outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0

 conduit permit tcp 204.31.19.0 255.255.255.0 eg h323 any

 static (inside,outside) 204.31.17.29 10.1.1.11

 conduit permit tcp host 204.31.17.29 eq 80 any

 conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17

 conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17

 static (inside.outside) 204.31.1.30 10.1.1.3 netmask 255.255.255.255 10 10

 conduit permit tcp host 204.31.1.30 eq smtp any

 conduit permit tcp host 204.31.1.30 eq 113 any

 snmp-server host 192.168.3.2

 snmp-server location building 42

 snmp-server contact polly hedra

 snmp-server community ohwhatakeyisthee

 telnet 10.1.1.11 255.255.255.255

 telnet 192.168.3.0 255.255.255.0

    CISCO PIX 防 火 墙 配 置 实 践 —— 介 绍 一 个PIX 防 火 墙 实 际 配 置 案 例, 因 为 路 由 器 的 配置在 安 全 性 方 面 和PIX 防 火 墙 是 相 辅 相 成 的, 所 以 路 由器的 配 置 实 例 也 一 并 列 出。

PIX 防 火 墙

设 置PIX 防 火 墙 的 外 部地址:

ip address outside 131.1.23.2

设 置PIX 防 火 墙 的 内 部地址:

ip address inside 10.10.254.1

设 置 一 个 内 部 计 算机与Internet 上 计 算 机 进 行 通 信 时 所 需 的 全 局 地 址池:

global 1 131.1.23.10-131.1.23.254

允 许 网 络 地 址 为10.0.0.0 的网段 地 址 被PIX 翻 译 成 外 部 地 址:

nat 1 10.0.0.0

网 管 工 作 站 固 定 使 用 的 外部地 址 为131.1.23.11:

static 131.1.23.11 10.14.8.50

允 许 从RTRA 发 送 到 到 网 管 工作站 的 系 统 日 志 包 通 过PIX 防 火 墙:

conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255

允 许 从 外 部 发 起 的 对 邮 件服务 器 的 连 接(131.1.23.10):

mailhost 131.1.23.10 10.10.254.3

允 许 网 络 管 理 员 通 过 远 程登录 管 理IPX 防 火 墙:

telnet 10.14.8.50

在 位 于 网 管 工 作 站 上 的 日志服 务 器 上 记 录 所 有 事 件 日 志:

syslog facility 20.7

syslog host 10.14.8.50

路 由 器 RTRA

----RTRA 是 外 部 防 护 路 由器,它 必 须 保 护PIX 防 火 墙 免 受 直 接 攻 击, 保 护FTP/HTTP 服务器, 同 时 作 为 一 个 警 报 系 统, 如 果 有 人 攻 入 此 路由器, 管 理 可 以 立 即 被 通 知。


阻 止 一 些 对 路 由 器 本 身 的攻击:

no service tcp small-servers

强 制 路 由 器 向 系 统 日 志 服务器 发 送 在 此 路 由 器 发 生 的 每 一 个 事 件, 包 括 被 存 取列表 拒 绝 的 包 和 路 由 器 配 置 的 改 变; 这 个 动 作 可 以 作为对 系 统 管 理 员 的 早 期 预 警, 预 示 有 人 在 试 图 攻 击 路由器, 或 者 已 经 攻 入 路 由 器, 正 在 试 图 攻 击 防 火墙:

logging trap debugging

此 地 址 是 网 管 工 作 站 的 外部地 址, 路 由 器 将 记 录 所 有 事 件 到 此 主 机 上:

logging 131.1.23.11

保 护PIX 防 火 墙 和HTTP/FTP 服务器 以 及 防 卫 欺 骗 攻 击( 见 存 取 列 表):

    enable secret xxxxxxxxxxx

    interface Ethernet 0

    ip address 131.1.23.1 255.255.255.0

    interface Serial 0

    ip unnumbered ethernet 0

    ip access-group 110 in

禁 止 任 何 显 示 为 来 源 于 路由器RTRA 和PIX 防 火 墙 之 间 的 信 息 包, 这 可 以 防 止 欺 骗攻击:

access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

防 止 对PIX 防 火 墙 外 部 接 口的直 接 攻 击 并 记 录 到 系 统 日 志 服 务 器 任 何 企 图 连 接PIX 防 火 墙 外 部 接 口 的 事 件:

access-list 110 deny ip any host 131.1.23.2 log

 

允 许 已 经 建 立 的TCP 会 话 的信息 包 通 过:

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

允 许 和FTP/HTTP 服 务 器 的FTP 连接:

access-list 110 permit tcp any host 131.1.23.3 eq ftp

允 许 和FTP/HTTP 服 务 器 的FTP 数据 连 接:

access-list 110 permit tcp any host 131.1.23.2 eq ftp-data

允 许 和FTP/HTTP 服 务 器 的HTTP 连接:

access-list 110 permit tcp any host 131.1.23.2 eq www

禁 止 和FTP/HTTP 服 务 器 的 别的连 接 并 记 录 到 系 统 日 志 服 务 器 任 何 企 图 连 接FTP/HTTP 的事 件:

access-list 110 deny ip any host 131.1.23.2 log

允 许 其 他 预 定 在PIX 防 火 墙和路 由 器RTRA 之 间 的 流 量:

access-list 110 permit ip any 131.1.23.0 0.0.0.255

限 制 可 以 远 程 登 录 到 此 路由器 的IP 地 址:

    line vty 0 4

    login

    password xxxxxxxxxx

    access-class 10 in

只 允 许 网 管 工 作 站 远 程 登录到 此 路 由 器, 当 你 想 从Internet 管 理 此 路 由 器 时, 应对此 存 取 控 制 列 表 进 行 修 改:

access-list 10 permit ip 131.1.23.11

路 由 器 RTRB

----RTRB 是 内 部 网 防 护 路由器, 它 是 你 的 防 火 墙 的 最 后 一 道 防 线, 是 进 入 内 部网的 入 口。


记 录 此 路 由 器 上 的 所 有 活动到 网 管 工 作 站 上 的 日 志 服 务 器, 包 括 配 置 的 修改:

logging trap debugging

logging 10.14.8.50

允 许 通 向 网 管 工 作 站 的 系统日 志 信 息:

    interface Ethernet 0

    ip address 10.10.254.2 255.255.255.0

    no ip proxy-arp

    ip access-group 110 in

    access-list 110 permit udp host 10.10.254.0 0.0.0.255

禁 止 所 有 别 的 从PIX 防 火 墙发来 的 信 息 包:

access-list 110 deny ip any host 10.10.254.2 log

允 许 邮 件 主 机 和 内 部 邮 件服务 器 的SMTP 邮 件 连 接:

access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp

禁 止 别 的 来 源 与 邮 件 服 务器的 流 量:

access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

防 止 内 部 网 络 的 信 任 地 址欺骗:

access-list deny ip any 10.10.254.0 0.0.0.255

允 许 所 有 别 的 来 源 于PIX 防火墙 和 路 由 器RTRB 之 间 的 流 量:

access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255

限 制 可 以 远 程 登 录 到 此 路由器 上 的IP 地 址:

         line vty 0 4

     login

     password xxxxxxxxxx

     access-class 10 in

只 允 许 网 管 工 作 站 远 程 登录到 此 路 由 器, 当 你 想 从Internet 管 理 此 路 由 器 时, 应对此 存 取 控 制 列 表 进 行 修 改:

access-list 10 permit ip 10.14.8.50

----按 以 上 设 置 配 置 好PIX 防火墙 和 路 由 器 后,PIX 防 火 墙 外 部 的 攻 击 者 将 无 法 在 外部连 接 上 找 到 可 以 连 接 的 开 放 端 口, 也 不 可 能 判 断 出内部 任 何 一 台 主 机 的IP 地 址, 即 使 告 诉 了 内 部 主 机的IP 地址, 要 想 直 接 对 它 们 进 行Ping 和 连 接 也 是 不 可 能的。 这样 就 可 以 对 整 个 内 部 网 进 行 有 效 的 保 护。


相关文章 热门文章
  • Exchange部署吐血故障连载三:被CiscoPIX剥离了的ESMTP导致外部smtp请求无法正确连接服务器
  • 一个思科PIX防火墙的实际应用配置
  • Cisco Secure PIX Firewall上的alias命令
  • 巧配PIX思科防火墙 加固企业网络
  • 思科PIX防火墙命令集解释说明
  • 打造企业坚固的城墙 Cisco PIX防火墙特殊配置
  • Cisco PIX防火墙PPTP VPN相关配置
  • 打造企业坚固的城墙 PIX防火墙特殊配置
  • cisco pix防火墙接管smtp的问题
  • 在PIX防火墙上实现VPN的配置步骤
  • 思科PIX防火墙设置详解
  • 零起点配置PIX防火墙 高级配置
  • [图解]如何设置代理服务器?
  • Kerio Winroute Firewall 6.01 VPN使用详解
  • Kerio WinRoute Firewall安装全攻略
  • Kerio Network Monitor完全使用教程
  • CISCO PIX 防火墙及网络安全配置
  • 路由器典型防火墙设置
  • 惊爆!腾讯QQ2003Ⅲ正式版安全出现漏洞(图)
  • PIX防火墙系统管理
  • 邮件服务器与代理服务器软件配合方案
  • 完整的pix525配置
  • 用PIX构筑铜墙铁壁
  • CISCO PIX515E 防火墙的设置
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号