首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 软硬件防火墙 > 零起点配置PIX防火墙 高级配置 > 正文

零起点配置PIX防火墙 高级配置

出处:IT168 作者:十月天堂 时间:2006-6-28 15:24:00
今天我们来介绍pix防火墙的一些高级配置。

    配置静态IP地址翻译(static):

    如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。

    static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address,其中internal_if_name表示内部网络接口,安全级别较高。如inside.。external_if_name为外部网络接口,安全级别较低,如outside等。

    outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。 示例语句如下:

    Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8

    ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。PIX将把192.168.0.8映射为61.144.51.62以便NAT更好的工作。

    小提示:

    使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
管道命令(conduit):

    使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。

    对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。说得通俗一点管道命令(conduit)就相当于以往CISCO设备的访问控制列表(ACL)。

    conduit命令配置语法:

    conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask],其中permit|deny为允许|拒绝访问,global_ip指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。

    port指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议,比如:TCP、UDP、ICMP等。foreign_ip表示可访问global_ip的外部ip。对于任意主机可以用any表示。如果foreign_ip是一台主机,就用host命令参数。示例语句如下:

    Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any

    表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp就是指允许或拒绝只对ftp的访问。

    Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89

    设置不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

    Pix525(config)#conduit permit icmp any any

    设置允许icmp消息向内部和外部通过。

    Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any

    这两句是将static和conduit语句结合而生效的,192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射把内部IP192.168.0.3转换为全局IP61.144.51.62,然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

    小提示:

    对于上面的情况不使用conduit语句设置容许访问规则是不可以的,因为默认情况下PIX不容许数据包主动从低安全级别的端口流向高安全级别的端口。

配置fixup协议:

    fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。示例例子如下:

    Pix525(config)#fixup protocol ftp 21

    启用ftp协议,并指定ftp的端口号为21

    Pix525(config)#fixup protocol http 80
    Pix525(config)#fixup protocol http 1080

    为http协议指定80和1080两个端口。

    Pix525(config)#no fixup protocol smtp 80

    禁用smtp协议。
设置telnet:

    在pix5.0之前只能从内部网络上的主机通过telnet访问pix。在pix 5.0及后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnet到PIX防火墙。

    我们可以使用telnet语句管理登录PIX的权限,telnet配置语法:telnet local_ip [netmask] local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。也就是说默认情况下只有通过console口才能配置PIX防火墙。

    小提示:

    由于管理PIX具有一定的危险性,需要的安全级别非常高,所以不建议大家开放提供外网IP的telnet管理PIX的功能。如果实际情况一定要通过外网IP管理PIX则使用SSH加密手段来完成。

    总结:

    通过六个基本命令和四个高级命令我们就可以合理配置PIX设备,对于其他公司的PIX配置命令我们也可以一句句的看懂了。下一篇我们就为大家呈现一套PIX的配置实例,对于关键地方将为大家加上注释。希望各位读者真正掌握每条语句。

相关文章 热门文章
  • Exchange部署吐血故障连载三:被CiscoPIX剥离了的ESMTP导致外部smtp请求无法正确连接服务器
  • 一个思科PIX防火墙的实际应用配置
  • Cisco Secure PIX Firewall上的alias命令
  • 巧配PIX思科防火墙 加固企业网络
  • 思科PIX防火墙命令集解释说明
  • 打造企业坚固的城墙 Cisco PIX防火墙特殊配置
  • Cisco PIX防火墙PPTP VPN相关配置
  • 打造企业坚固的城墙 PIX防火墙特殊配置
  • cisco pix防火墙接管smtp的问题
  • 在PIX防火墙上实现VPN的配置步骤
  • 思科PIX防火墙设置详解
  • PIX防火墙校园网配置实例
  • [图解]如何设置代理服务器?
  • Kerio Winroute Firewall 6.01 VPN使用详解
  • Kerio WinRoute Firewall安装全攻略
  • Kerio Network Monitor完全使用教程
  • CISCO PIX 防火墙及网络安全配置
  • 路由器典型防火墙设置
  • 惊爆!腾讯QQ2003Ⅲ正式版安全出现漏洞(图)
  • PIX防火墙系统管理
  • 邮件服务器与代理服务器软件配合方案
  • 完整的pix525配置
  • 用PIX构筑铜墙铁壁
  • CISCO PIX515E 防火墙的设置
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号