防火墙实施策略--最高级防火墙.doc

最高级防火墙（思科pix525防火墙）配置命令：PIX525有三个以太接口，分别接入内网，外网和中间区域。 设置：(pix515只有两个口而且固定的优先级)ePix525#conf tPix525(config)#nameif ethernet0 inside security100Pix525(config)#nameif ethernet1 dmz security50Pix525(config)#nameif ethernet2 outside security0 设置接口工作方式：Pix525(config)#interface ethernet0 autoPix525(config)#interface ethernet1 autoPix525(config)#interface ethernet2 auto设置接口IP地址：Pix525(config)#ip address outside 40Pix525(config)#ip address inside Pix525(config)#ip address dmz 设置时间：clock set 9:0:0 1 5 2010-5-21 指定接口的安全级别： pix525(config)#nameif ethernet0 outside security0 # outside是指pix525(config)#nameif ethernet0 dmz security50 # outside是指外部接口外部接口pix525(config)#nameif ethernet1 inside security100 # inside是指内部接口路由：route inside 1route outside NAT地址转换：将三部门网络地址分别划成一组,并转换成外部地址nat (inside) 1 nat (inside) 2 nat (inside) 3 global (outside) 1 -1netmask global (outside) 2 - netmask global (outside) 3 -2 netmask 设置内（telnet）外部（ssh）用户登录本地服务器或设备命令： telnet 10 insidepassword adminenable password adminssh outsideusername miaosen password miaosen aaa authernacation ssh local /使用本地认证认证：config#ca zeroiseconfig#ca generateconfig#ca save包过滤型防火墙的访问控制表（ACL）配置其他部分访问财务部门策略：禁止www，ftp，smtp允许管理主机访问财务access-list 100 deny tcp eq ftpaccess-list 100 deny tcp eq www access-list 100 deny tcp eq smtpaccess-list 100 deny tcp eq ftpaccess-list 100 denny tcp eq www access-list 100 deny tcp eq smtpaccess-list 100 permit tcp / eq smtpaccess-list 100 permit tcp / eq wwwaccess-list 100 permit tcp / eq icmpaccess-list 100 permit tcp any access-list 100 permit tcp 10 access-list 100 permit tcp any 地址映射：static (inside, outside) /重要的财务主机命令主机端口重定向：PIX525(config)#static (inside,outside) tcp telnet telnet netmask 55 0 0PIX525(config)#static (inside,outside) ftp telnet ftp netmask 55 0 0PIX525(config)#static (inside,outside) tcp www www netmask 55 0 0/到服务器的端口转换配置允许低级向高级的数据流 (config)#conduit deny tcp host eq www any/办公部不可上网上面已经设置可访问服务器Pix525(config)#conduit permit tcp host eq www any/财务的一台主机可上网Pix525(config)#conduit permit icmp any any/允许内外部的ICMP消息传送配置fixup协议Fixup protocol ftp 21Fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 使能化攻击：执行命令firewall defend ip-spoofing enable，使能IP欺骗攻击防范功能。执行命令firewall defend land enable，使能Land攻击防范功能。执行命令firewall defend smurf enable，使能Smurf攻击防范功能。执行命令firewall defend fraggle enable，使能Fraggle攻击防范功能。firewall defend winnuke enable，使能WinNuke攻击防范功能。firewall defend syn-flood enable，使能SYN Flood攻击防范功能。firewall defend icmp-flood enable，使能ICMP Flood攻击防范功能。firewall defend udp-flood enable，使能UDP Flood攻击防范功能。firewall defend icmp-redirect enable，使能ICMP重定向报文控制功能。firewall defend icmp-unreachable enable，使能ICMP不可达报文控制功能。firewall defend ip-sweep enable，使能地址扫描攻击防范功能。firewall defend port-scan enable，使能端口扫描攻击防范功能。firewall defend source-route enable，使能带源路由选项IP报文控制功能。firewall defend route-record enable，使能带路由记录选项IP报文攻击防firewall defend tracert enable，使能Tracert报文控制功能。firewall defend ping-of-death enable，使能Ping of Death攻击防范功能。firewall defend teardrop enable，使能TearDrop攻击防范功能。firewall defend tcp-flag enable，使能TCP报文标志合法性检测功能。firewall defend ip-fragment enable，使能IP分片报文检测功能。firewall defend time-stamp enable，使能带时间戳记录选项IP报文攻击防firewall defend large-icmp enable，使能超大ICMP报文控制功能。防攻击命令：firewall defend syn-flood trust max-rate 500 tcp-proxy on# 使能黑名单功能。firewall blacklist enable# 使能地址扫描攻击防范功能。firewall defend ip-sweep enable 配置抵制扫描攻击防范功能。firewall defend ip-sweep max-rate 1000firewall defend ip-sweep blacklist-timeout 20 /超过1000包/秒就将其加入黑名单20秒超大ICMP包限制：firewall defend large-icmp max-length 2000firewall defend udp-flood zone trust firewall defend icmp-flood zone trustTRUST区域的连接设置：# 进入Trust区域视图。Eudemon firewall zone trust# 使能Trust安全区域出方向上的基于安全区域的统计功能。Eudemon-zone-trust statistic enable zone outzone# 配置Trust安全区域的出方向TCP连接数量限制上限为200000，下限为10000。Eudemon-zone-trust statistic connect-number zone outzone tcp high 200000 low 10000# 配置Trust安全区域入方向上的基于安全区域的统计功能。Eudemon-zone-trust statistic enable zone inzo