Cisco PIX 的多点服务配置
结构图如下:
PIX 520
Two Interface Multiple Server Configuration
nameif ethernet0 outside security0
nameif ethernet0 inside security100
interface ethernet0 auto
interface ethernet1 auto
ip address inside 10.1.1.1 255.0.0.0
ip address outside 204.31.17.10 255.255.255.0
logging on
logging host 10.1.1.11
logging trap 7
logging facility 20
no logging console
arp timeout 600
nat (inside) 1 10.0.0.0 255.0.0.0
nat (inside) 2 192.168.3.0 255.255.255.0
global (outside) 1 204.31.1.25-204.31.17.27
global (outside) 1 204.31.1.24
global (outside) 2 192.159.1.1-192.159.1.254
conduit permit icmp any any
outbound 10 deny 192.168.3.3 255.255.255.255 1720
outbound 10 deny 0 0 80
outbound 10 permit 192.168.3.3 255.255.255.255 80
outbound 10 deny 192.168.3.3 255.255.255.255 java
outbound 10 permit 10.1.1.11 255.255.255.255 80
apply (inside) 10 outgoing_src
no rip outside passive
no rip outside default
rip inside passive
rip inside default
route outside 0 0 204.31.17.1.1
tacacs-server host 10.1.1.12 lq2w3e
aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 tacacs+
aaa authentication any inside 192.168.3.0 255.255.255.0 0 0
static (inside,outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0
conduit permit tcp 204.31.19.0 255.255.255.0 eg h323 any
static (inside,outside) 204.31.17.29 10.1.1.11
conduit permit tcp host 204.31.17.29 eq 80 any
conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17
conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17
static (inside.outside) 204.31.1.30 10.1.1.3 netmask 255.255.255.255 10 10
conduit permit tcp host 204.31.1.30 eq smtp any
conduit permit tcp host 204.31.1.30 eq 113 any
snmp-server host 192.168.3.2
snmp-server location building 42
snmp-server contact polly hedra
snmp-server community ohwhatakeyisthee
telnet 10.1.1.11 255.255.255.255
telnet 192.168.3.0 255.255.255.0
CISCOPIX防火墙配置实践——介绍一个PIX防火墙实际配置案例,因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。
PIX防火墙
设置PIX防火墙的外部地址:
ip address outside 131.1.23.2
设置PIX防火墙的内部地址:
ip address inside 10.10.254.1
设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池:
global 1 131.1.23.10-131.1.23.254
允许网络地址为10.0.0.0的网段地址被PIX翻译成外部地址:
nat 1 10.0.0.0
网管工作站固定使用的外部地址为131.1.23.11:
static 131.1.23.1110.14.8.50
允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙:
conduit 131.1.23.11 514 udp 131.1.23.1255.255.255.255
允许从外部发起的对邮件服务器的连接(131.1.23.10):
mailhost 131.1.23.1010.10.254.3
telnet 10.14.8.50
在位于网管工作站上的日志服务器上记录所有事件日志:
syslog facility 20.7
syslog host 10.14.8.50
路由器RTRA
----RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通
知。
阻止一些对路由器本身的攻击:
no service tcp small-servers
强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取列表拒绝的包和路由器配置的改变;这个动作可以作为对系统管理员的早期预警,
预示有人在试图攻击路由器,或者已经攻入路由器,正在试图攻击防火墙:
logging trap debugging
此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上:
logging 131.1.23.11
更多内容请看Cisco IOS技术手册 Cisco防火墙安装配置 CISCO防火墙产品专题,或进入讨论组讨论。
·路由安全配置专题 (11376篇文章)
·电子邮件安全 (8020篇文章)
·SSH安全技术 (7862篇文章)
·数据库安全技术专题 (12706篇文章)
·Linux防火墙 (9230篇文章)
·FreeBSD系统安全管理 (8439篇文章)
·局域网安全管理 (9145篇文章)
·Windows操作系统安全集 (17896篇文章)
·数据库安装与卸载 (10330篇文章)
·李进良:WiMAX成为3G标准将影响中国TD发展 (20次浏览)
·3G将是中国互联网最强劲的增长点 (19次浏览)
·中国不支持WiMAX成3G标准 (18次浏览)
·中国3G终端瓶颈被突破 巨头谋划抢滩市场 (16次浏览)
·联通未获香港3G牌照或考虑与电盈合作 (13次浏览)
·中国移动计划内地上市 称已做好建3G网络准备 (12次浏览)
·希捷关注机顶盒 将参加IPTV全球论坛亚洲年会 (12次浏览)
·WiMax成第四大3G标准 TD将受冲击 (11次浏览)
·上海贝尔阿尔卡特9110E GSM微蜂窝基站 (10次浏览)
·中兴3G核心网及其演进策略 12-08
·Rotani 推出WiFi IPTV技术 12-08
·专家指出IPv4到IPv6宜平稳过渡 12-08
·产业链协作力推3G低价手机掀浪潮 12-08
·爱立信CEO:中国3G牌照要到明年发放 12-08
·中兴获中移动巴基斯坦GSM扩容最大定单 12-08
·广东手机上网资费再降 运营商3G前夕加紧圈地 12-08
·中国电子报:室内覆盖从2G向3G跨越 12-08
·3G先锋融资3300万美元 12-08
