PIX防火墻配置示例

來源:本站原創 CISCO 超過773 views圍觀 0條評論

nameif ethernet0 outside security0

nameif ethernet1 inside security100

interface ethernet0 auto

interface ethernet1 auto

PIX 防火墻缺省配置中的接口提供nameif 和interface 命令語句

lp address inside 10.1.1.1 255.255.255.0

lp address outside 204.31.17.10 255.255.255.0

標識兩個端口的IP 地址

logging on

logging host 10.1.1.11

logging host 命令確定哪一個主機充當系統日志服務器,此命令還觸發PIX 防火墻開始向該主機發送系統日志信息。

logging trap 7

logging facility 20

logging trap 命令設置系統日志發送所有可能出現的信息給系統日志主機。

no logging console

no logging console 命令禁止將信息顯示到控制臺

arp timeout 600 設置ARP 超時為600 秒(10 分鐘)。當用戶設置網絡或改變內部,外部主機地址時常使用此命令

nat (inside) 1 0.0.0.0 0.0.0.0

nat(inside) 2 192.168.3.0 255.255.255.0

允許所有的內部用戶使用從全局地址池中轉換的IP地址啟動向外的連接

global (outside)1 204.31.17.25-204.31.17.27

global (outside)1 204.31.17.24

global (outside)2 192.159.1.1-192.159.1.254

建立兩個nat 命令用來完成內部地址與外部地址轉換使用的全局地址池。每個池由nat 命令參數指派,本例中為1 和2

conduit permit icmp any any 允許向內和向外ping 操作

outbound 10 deny 192.168.3.3 255.255.255.255 1720

建立訪問列表決定哪個主機可以訪問服務。第一條outbound 命令拒絕主機192.168.3.3 訪問H.323 服務(端口1720) ,如NetMeeting 和InternetPhone。

outbound 10 deny 0 0 80

第二條命令拒絕所有的主機訪問web 服務(端口80)。

outbound 10 permit 192.168.3.3 255.255.255.255 80

outbound 10 deny 192.168.3.3 255.255.255.255 java

第三條第四條命令允許主機192.168.3.3 使用web 服務但不允許他的用戶下載JAVA applets。

Outbound 10 permit 10.1.1.11 255.255.255.255 80

最后一條命令允許主機10.1.1.11 訪問端口80(web 服務)和下載Java applets.permit 命令使前面的deny命令無效,而將新的配置寫入配置表中

apply (inside)10 outgoing_src  指定outbound 向外的組以調節內部主機啟動向外連接的活動

no rip outside passive       第一條命令禁止RIP 監聽外部接口。

no rip outside default       第二條命令禁止向外部廣播缺省路由。

rip inside passive          第三條命令允許RIP 監聽內部網絡。

rip inside default           第四條命令引起PIX 防火墻在內部接口上廣播一條缺省路由

route outside 0 0 204.31.17.1 1       設置外部網絡的缺省路由204.31.17.1 該地址為連到因特網的主機

aaa-server TACACS+(inside) host 10.1.1.12 lq2w3e

aaa-server 命令指定TACACS+鑒別服務器的IP 地址。

aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 TACACS+

aaa authorization any inside 192.168.3.0 255.255.255.0 0 0

aaa authentication 命令語句指定在192.168.3.0子網上的用戶從內部接口啟動FTP,HTTP,Web

連接去訪問其他接口上的服務器,在允許訪問之前在內部接口處需提交用戶名和密碼。aaa

authorization 命令語句允許192.168.3.0 子網上的用戶訪問FTP,HTTP 或TELNET 和任何被AAA 服務器授權地址的TCP 連接,看上去是aaa 命令讓PIX防火墻建立安全機制,但實際上哪一個用戶通過了認證,及授權允許時用戶可以訪問那些服務,則由鑒別服務器決定

 

 

static (insideoutside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0

conduit permit tcp 204.31.19.0 255.255.255.0 eq h323 any

static 創建了一個網絡static 命令語句,這種語句用于某一類別的IP 地址(本例中為204.31.19.1 到204.31.19.254)。 static 命令說明了連接限制和初創限制變量的用法。連接的最大數定義了一個主機所能使用的連接數。這條命令允許接入10 個用戶和至多30SYNS(初創連接)。static 命令的最大連接對向內和向外連接都適用。conduit 命令允許因特網用戶向192.168.3.x 地址用戶發送InternetPhone(端口 h323)請求(按204.31.19.x 尋址用戶)

Static (insideoutside) 204.31.17.29 10.1.1.11

conduit permit tcp host 204.31.17.29 eq 80 any

static 命令和conduit 命令為web 接入(conduit 命令

中為端口80)建立一個外部可見的IP 地址

Conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17

通過允許 UDP 端口111 上的端口映射基礎上的sunRPC,提高static 命令的可訪問性(參考UNIX/etc/rpc文件和UNIX rpc(3N) 的命令頁以獲取更多的信息)。為RPC 建立了一個管道之后, 你可以從外部主機204.31.17.17 上使用如下命令捕捉在RPC150001 上的PCNFSD 的活動:

rpcinfo –u 204.31.17.29 150001另一種rpc 的用法是如果你想允許NFS 從外部裝載,使用下面的命令查看204.31.17.29 的輸出:showmount -e 204.31.17.29RPC 基礎上的許多協議如NFS 并不安全,應小心使用。在允許訪問 RPC 之前必須首先檢查你的安全性規則

Conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17

允許建在端口2049 上提供內部外部間訪問的NFS訪問,如204.31.17.17 可以訪問10.1.1.11

static (insideoutside) 204.31.17.30 10.1.1.3 netmask 255.255.255.255 10 10

conduit permit tcp host 204.31.17.30 eq smtp any

通過全局地址204.31.17.30 標志對10.1.1.3 郵件服務器的訪問。conduit 允許任何外部主機經過

SMTP(端口 25)訪問靜態地址。缺省狀態下,PIX防火墻限制所有的到郵件服務器(按照RFC821

4.5.1 節命令DATA,HELLO,MAIL,NOOP,QUIT,RCPT和RSET)的 訪 問,這些情況由如下缺省配置命令設定的郵件控制服務實現:fixup protocol smtp 25提供郵件服務訪問的另一個方面是設定確保有一個保存靜態全局地址的DNS MX,外部用戶向你的站點發送郵件時訪問該DNS MX

conduit permit tcp host 204.31.17.30 eq 113 any

建立對113 號端口(IDENT 協議)的訪問。如果郵件服務器要與幾個和已過時的、受到很多批評的IDENT 協議相連的外部郵件服務器對話,則使用conduit 命令來加速郵件傳送

snmp-server host 192.168.3.2

snmp-server location building 42

snmp-server contact polly hedra

snmp-server community

ohwhatakeyisthee

這些命令設定主機192.168.3.2 可以接收防火墻通過系統日志發送的SNMP 事件。location 和contact命令標識主機在哪里及管理者是誰。community命令描述SMPT 服務器上正在使用的密碼

telnet 10.1.1.11 255.255.255.255

telnet 192.168.3.0 255.255.255.0

這些命令允許主機訪問 PIX 防火墻控制臺。第一條telnet 命令允許單個主機10.1.1.11 用telnet 訪問防火墻控制臺。網絡掩碼中最后8 位的值255 表明只有特定的主機才能訪問控制臺。第二條telnet 命令允許192.168.3.0 子網中所有主機訪問防火墻控制臺。子網掩碼中的0 表示此子網中的所有主機均能訪問控制臺但是telnet 僅允許最多16 個主機同時訪問PIX 防火墻

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=392轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏