PIX 防火墙及网络安全配置.doc

PIX 防火墙及网络安全配置一.PIX 防火墙 ip address outside /设置PIX防火墙的外部地址ip address inside /设置PIX防火墙的内部地址global 1 0-54 /设置一个内部计算机与INTERNET上计算机进行通信时所需的全局地址池nat 1 /允许网络地址为 的网段地址被PIX翻译成外部地址static 1 0 /网管工作站固定使用的外部地址为1conduit 1 514 udp 55 /允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙mailhost 0 /允许从外部发起的对邮件服务器的连接（0）telnet 0 /允许网络管理员通过远程登录管理IPX防火墙syslog facility 20.7syslog host 0 /在位于网管工作站上的日志服务器上记录所有事件日志 二.路由器RTRA RTRA是外部防护路由器，它必须保护PIX防火墙免受直接攻击，保护FTP/HTTP服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以立即被通知。 no service tcp small-servers /阻止一些对路由器本身的攻击logging trap debugging /强制路由器向系统日志服务器发送在此路由器发生的每一个事件，包括被存取列表拒绝的包和路由器配置的改变； 这个动作可以作为对系统管理员的早期预警，预示有人在试图攻击路由器，或者已经攻入路由器，正在试图攻击防火墙logging 1 /此地址是网管工作站的外部地址，路由器将记录所有事件到此 主机上enable secret xxxxxxxxxxx interface Ethernet 0ip address interface Serial 0ip unnumbered ethernet 0ip access-group 110 in/保护PIX防火墙和HTTP/FTP 服务器以及防卫欺骗攻击（见存取列表） access-list 110 deny ip 55 any log/ 禁止任何显示为来源于路由器RTRA 和PIX防火墙之间的信息包,这可以防止欺骗攻击access-list 110 deny ip any host log/防止对PIX防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接 PIX防火墙外部接口的事件access-list 110 permit tcp any 55 established /允许已经建立的TCP会话的信息包通过access-list 110 permit tcp any host eq ftp /允许和FTP/HTTP服务器的FTP连接access-list 110 permit tcp any host eq ftp-data /允许和FTP/HTTP服务器的FTP数据连接access-list 110 permit tcp any host eq www /允许和FTP/HTTP服务器的HTTP连接access-list 110 deny ip any host log /禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的事件access-list 110 permit ip any 55 /允许其他预定在PIX防火墙和路由器RTRA之间的流量 line vty 0 4loginpassword xxxxxxxxxxaccess-class 10 in /限制可以远程登录到此路由器的IP地址access-list 10 permit ip 1 /只允许网管工作站远程登录到此路由器， 当你想从INTERNET管理此路由器时，应对此存取控制列表进行修改 三. 路由器RTRB RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口. logging trap debugginglogging 0/记录此路由器上的所有活动到网管工作站上的日志服务器,包括配置的修改 interface Ethernet 0ip address no ip proxy-arpip access-group 110 in access-list 110 permit udp host 55 /允许通向网管工作站的系统日志信息access-list 110 deny ip any host log /禁止所有别的从PIX防火墙发来的信息包access-list permit tcp host 55 eq smtp /允许邮件主机和内部邮件服务器的SMTP邮件连接access-list deny ip host 55 /禁止别的来源与邮件服务器的流量access-list deny ip any 55 /防止内部网络的信任地址欺骗access-list permit ip 55 55 /允许所有别的来源于PIX防火墙和路由器RTRB之间的流量 line vty 0 4loginpassword xxxxxxxxxxaccess-class 10 in /限制可以远程登录到此路由器上的IP地址 access-list 10 permit ip 0 /只允许网管工作站远程登录到此路由器,当你想从INTERNET管理此路由器时， 应对此存取控制列表进行修