Cisco PIX防火墙详细安装流程及安全配置.doc

Cisco PIX防火墙详细安装流程及安全配置Cisco PIX防火墙详细安装流程及安全配置218.246.232.* 1楼 1. 将PIX安放至机架，经检测电源系统后接上电源，并加电主机。 2. 将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall. 3. 输入命令:enable，进入特权模式，此时系统提示为 pixfirewall#. 4. 输入命令: configure terminal，对系统进行初始化设置。 5. 配置以太口参数: nameif ethernet0 outside security0 nameif ethernet1 inside security100 interface ethernet0 auto (auto选项表明系统自适应网卡类型 ) interface ethernet1 auto 6. 配置内外网卡的IP地址: ip address inside ip_address netmask ip address outside ip_address netmask 7. 指定外部地址范围: global 1 ip_address-ip_address 8. 指定要进行转换的内部地址: nat 1 ip_address netmask 9. 设置指向内部网和外部网的缺省路由 route inside 0 0 inside_default_router_ip_address route outside 0 0 outside_default_router_ip_address 10. 配置静态IP地址对映: static outside ip_addressinside ip_address 11. 设置某些控制选项: conduit global_ip port-port protocol foreign_ip netmask global_ip 指的是要控制的地址 port指的是所作用的端口，其中0代表所有端口 protocol指的是连接协议，比如:TCP、UDP等 foreign_ip表示可访问global_ip的外部ip，其中表示所有的ip. 12. 设置telnet选项: telnet local_ip netmask l ocal_ip表示被允许通过telnet访问到pix的ip地址(如果不设此项，PIX的配置只能由consle方式进行)。 13. 将配置保存: wr mem 14. 几个常用的网络测试命令: #ping #show interface查看端口状态 #show static 查看静态地址映射 Cisco PIX 520 是一款性能良好的网络安全产品，如果再加上Check Point 的软件防火墙组成两道防护，可以得到更加完善的安全防范。主要用于局域网的外连设备(如路由器、拨号访问服务器等)与内部网络之间，实现内部网络的安全防范，避免来自外部的恶意攻击。 Cisco PIX 520的默认配置允许从内到外的所有信息请求，拒绝一切外来的主动访问，只允许内部信息的反馈信息进入。当然也可以通过某些设置，例如:访问表等，允许外部的访问。因为，远程用户的访问需要从外到内的访问。另外，可以通过NAT地址转换，实现公有地址和私有地址的转换。 简单地讲，PIX 520的主要功能有两点: 1.实现网络安全 2.实现地址转换 下面简单列出PIX 520 的基本配置 1.Configure without NAT nameif ethernet0 outside security0 nameif ethernet1 inside security100 interface ethernet0 auto interface ethernet1 auto ip address outside (假设对外端口地址) ip address inside (假设内部网络为:) hostname bluegarden arp timeout 14400 no failover names pager lines 24 logging buffered debugging nat (inside) 0 0 0 rip inside default no rip inside passive no rip outside default rip outside passive route outside 1(外连设备的内部端口地址) timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server community public mtu outside 1500 mtu inside 1500 2006-06-19 22:16回复举报 | 218.246.232.* 2楼 2.Configure with NAT nameif ethernet0 outside security0 nameif ethernet1 inside security100 interface ethernet0 auto interface ethernet1 auto ip address outside (假设对外端口地址) ip address inside (假设内部网络为:) hostname bluegarden arp timeout 14400 no failover names pager lines 24 logging buffered debugging nat (inside) 1 0 0 global (outside) 1 0-0 global (outside) 1 1 no rip inside default no rip inside passive no rip outside default no rip outside passive conduit permit icmp any any route outside 1(外连设备的内部端口地址) timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server community public mtu outside 1500 mtu inside 1500 Cisco PIX 的多点服务配置 结构图如下: PIX 520 Two Interface Multiple Server Configuration nameif ethernet0 outside security0 nameif ethernet0 inside security100 interface ethernet0 auto interface ethernet1 auto ip address inside ip address outside 0 logging on logging host 1 logging trap 7 logging facility 20 no logging console arp timeout 600 nat (inside) 1 nat (inside) 2 global (outside) 1 5-7 global (outside) 1 4 global (outside) 2 -54 conduit permit icmp any any outbound 10 deny 55 1720 outbound 10 deny 0 0 80 outbound 10 permit 55 80 outbound 10 deny 55 java outbound 10 permit 1 55 80 apply (inside) 10 outgoing_src no rip outside passive no rip outside default rip inside passive rip inside default route outside 0 0 .1 tacacs-server host 2 lq2w3e aaa authentication any inside 0 0 tacacs+ aaa authentication any inside 0 0 static (inside,outside) netmask conduit permit tcp eg h323 any static (inside,outside) 9 1 conduit permit tcp host 9 eq 80 any conduit permit udp host 9 eq rpc host 7 conduit permit udp host 9 eq 2049 host 7 static (inside.outside) 0 netmask 55 10 10 conduit permit tcp host 0 eq smtp any conduit permit tcp host 0 eq 113 any snmp-server host snmp-server location building 42 2006-06-19 22:16回复举报 | 218.246.232.* 3楼 snmp-server contact polly hedra snmp-server community ohwhatakeyisthee telnet 1 55 telnet CISCOPIX防火墙配置实践介绍一个PIX防火墙实际配置案例，因为路由器的配置在安全性方面和PIX防火墙是相辅相成的，所以路由器的配置实例也一并列出。 PIX防火墙 设置PIX防火墙的外部地址: ip address outside 设置PIX防火墙的内部地址: ip address inside 设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池: global 1 0-54 允许网络地址为的网段地址被PIX翻译成外部地址: nat 1 网管工作站固定使用的外部地址为1: static 0 允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙: conduit 1 514 udp 55 允许从外部发起的对邮件服务器的连接(0): mailhost 0 允许网络管理员通过远程登录管理IPX防火墙: telnet 0 在位于网管工作站上的日志服务器上记录所有事件日志: syslog facility 20.7 syslog host 0 路由器RTRA -RTRA是外部防护路由器，它必须保护PIX防火墙免受直接攻击，保护FTP/HTTP服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以立即被通 知。 阻止一些对路由器本身的攻击: no service tcp small-servers 强制路由器向系统日志服务器发送在此路由器发生的每一个事件，包括被存取列表拒绝的包和路由器配置的改变;这个动作可以作为对系统管理员的早期预警， 预示有人在试图攻击路由器，或者已经攻入路由器，正在试图攻击防火墙: logging trap debugging 此地址是网管工作站的外部地址，路由器将记录所有事件到此主机上: logging 1 保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击(见存取列表): enable secret xxxxxxxxxxx interface Ethernet 0 ipaddress interface Serial 0 ip unnumbered ethernet 0 ipaccess-group 110 in 禁止任何显示为来源于路由器RTRA和PIX防火墙之间的信息包，这可以防止欺骗攻击: access-list 110 deny ip 55 anylog 防止对PIX防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接PIX防火墙外部接口的事件: access-list 110 deny ip anyhost log 允许已经建立的TCP会话的信息包通过: access-list 110 permit tcp any 55 established 允许和FTP/HTTP服务器的FTP连接: access-list 110 permit tcp anyhost eqftp 允许和FTP/HTTP服务器的FTP数据连接: access-list 110 permit tcp anyhost eqftp-data 允许和FTP/HTTP服务器的HTTP连接: access-list 110 permit tcp anyhost eqwww 禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的事件: access-list 110 deny ip anyhost log 允许其他预定在PIX防火墙和路由器RTRA之间的流量: access-list 110 permit ip any 55 限制可以远程登录到此路由器的IP地址: line vty 04 login password xxxxxxxxxx access-class 10 in 只允许网管工作站远程登录到此路由器，当你想从Internet管理此路由器时，应对此存取控制列表进行修改: access-list 10 permit ip 1 路由器RTRB -RTRB是内部网防护路由器，它是你的防火墙的最后一道防线，是进入内部网的入口。 记录此路由器上的所有活动到网管工作站上的日志服务器，包括配置的修改: logging trap debugging logging 0 允许通向网管工作站的系统日志信息: interface Ethernet 0 ipaddress 255.255.255.