PIX防火墙配置示例

来源:本站原创 CISCO 超过728 views围观 0条评论

nameif ethernet0 outside security0

nameif ethernet1 inside security100

interface ethernet0 auto

interface ethernet1 auto

PIX 防火墙缺省配置中的接口提供nameif 和interface 命令语句

lp address inside 10.1.1.1 255.255.255.0

lp address outside 204.31.17.10 255.255.255.0

标识两个端口的IP 地址

logging on

logging host 10.1.1.11

logging host 命令确定哪一个主机充当系统日志服务器,此命令还触发PIX 防火墙开始向该主机发送系统日志信息。

logging trap 7

logging facility 20

logging trap 命令设置系统日志发送所有可能出现的信息给系统日志主机。

no logging console

no logging console 命令禁止将信息显示到控制台

arp timeout 600 设置ARP 超时为600 秒(10 分钟)。当用户设置网络或改变内部,外部主机地址时常使用此命令

nat (inside) 1 0.0.0.0 0.0.0.0

nat(inside) 2 192.168.3.0 255.255.255.0

允许所有的内部用户使用从全局地址池中转换的IP地址启动向外的连接

global (outside)1 204.31.17.25-204.31.17.27

global (outside)1 204.31.17.24

global (outside)2 192.159.1.1-192.159.1.254

建立两个nat 命令用来完成内部地址与外部地址转换使用的全局地址池。每个池由nat 命令参数指派,本例中为1 和2

conduit permit icmp any any 允许向内和向外ping 操作

outbound 10 deny 192.168.3.3 255.255.255.255 1720

建立访问列表决定哪个主机可以访问服务。第一条outbound 命令拒绝主机192.168.3.3 访问H.323 服务(端口1720) ,如NetMeeting 和InternetPhone。

outbound 10 deny 0 0 80

第二条命令拒绝所有的主机访问web 服务(端口80)。

outbound 10 permit 192.168.3.3 255.255.255.255 80

outbound 10 deny 192.168.3.3 255.255.255.255 java

第三条第四条命令允许主机192.168.3.3 使用web 服务但不允许他的用户下载JAVA applets。

Outbound 10 permit 10.1.1.11 255.255.255.255 80

最后一条命令允许主机10.1.1.11 访问端口80(web 服务)和下载Java applets.permit 命令使前面的deny命令无效,而将新的配置写入配置表中

apply (inside)10 outgoing_src  指定outbound 向外的组以调节内部主机启动向外连接的活动

no rip outside passive       第一条命令禁止RIP 监听外部接口。

no rip outside default       第二条命令禁止向外部广播缺省路由。

rip inside passive          第三条命令允许RIP 监听内部网络。

rip inside default           第四条命令引起PIX 防火墙在内部接口上广播一条缺省路由

route outside 0 0 204.31.17.1 1       设置外部网络的缺省路由204.31.17.1 该地址为连到因特网的主机

aaa-server TACACS+(inside) host 10.1.1.12 lq2w3e

aaa-server 命令指定TACACS+鉴别服务器的IP 地址。

aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 TACACS+

aaa authorization any inside 192.168.3.0 255.255.255.0 0 0

aaa authentication 命令语句指定在192.168.3.0子网上的用户从内部接口启动FTP,HTTP,Web

连接去访问其他接口上的服务器,在允许访问之前在内部接口处需提交用户名和密码。aaa

authorization 命令语句允许192.168.3.0 子网上的用户访问FTP,HTTP 或TELNET 和任何被AAA 服务器授权地址的TCP 连接,看上去是aaa 命令让PIX防火墙建立安全机制,但实际上哪一个用户通过了认证,及授权允许时用户可以访问那些服务,则由鉴别服务器决定

 

 

static (insideoutside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0

conduit permit tcp 204.31.19.0 255.255.255.0 eq h323 any

static 创建了一个网络static 命令语句,这种语句用于某一类别的IP 地址(本例中为204.31.19.1 到204.31.19.254)。 static 命令说明了连接限制和初创限制变量的用法。连接的最大数定义了一个主机所能使用的连接数。这条命令允许接入10 个用户和至多30SYNS(初创连接)。static 命令的最大连接对向内和向外连接都适用。conduit 命令允许因特网用户向192.168.3.x 地址用户发送InternetPhone(端口 h323)请求(按204.31.19.x 寻址用户)

Static (insideoutside) 204.31.17.29 10.1.1.11

conduit permit tcp host 204.31.17.29 eq 80 any

static 命令和conduit 命令为web 接入(conduit 命令

中为端口80)建立一个外部可见的IP 地址

Conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17

通过允许 UDP 端口111 上的端口映射基础上的sunRPC,提高static 命令的可访问性(参考UNIX/etc/rpc文件和UNIX rpc(3N) 的命令页以获取更多的信息)。为RPC 建立了一个管道之后, 你可以从外部主机204.31.17.17 上使用如下命令捕捉在RPC150001 上的PCNFSD 的活动:

rpcinfo –u 204.31.17.29 150001另一种rpc 的用法是如果你想允许NFS 从外部装载,使用下面的命令查看204.31.17.29 的输出:showmount -e 204.31.17.29RPC 基础上的许多协议如NFS 并不安全,应小心使用。在允许访问 RPC 之前必须首先检查你的安全性规则

Conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17

允许建在端口2049 上提供内部外部间访问的NFS访问,如204.31.17.17 可以访问10.1.1.11

static (insideoutside) 204.31.17.30 10.1.1.3 netmask 255.255.255.255 10 10

conduit permit tcp host 204.31.17.30 eq smtp any

通过全局地址204.31.17.30 标志对10.1.1.3 邮件服务器的访问。conduit 允许任何外部主机经过

SMTP(端口 25)访问静态地址。缺省状态下,PIX防火墙限制所有的到邮件服务器(按照RFC821

4.5.1 节命令DATA,HELLO,MAIL,NOOP,QUIT,RCPT和RSET)的 访 问,这些情况由如下缺省配置命令设定的邮件控制服务实现:fixup protocol smtp 25提供邮件服务访问的另一个方面是设定确保有一个保存静态全局地址的DNS MX,外部用户向你的站点发送邮件时访问该DNS MX

conduit permit tcp host 204.31.17.30 eq 113 any

建立对113 号端口(IDENT 协议)的访问。如果邮件服务器要与几个和已过时的、受到很多批评的IDENT 协议相连的外部邮件服务器对话,则使用conduit 命令来加速邮件传送

snmp-server host 192.168.3.2

snmp-server location building 42

snmp-server contact polly hedra

snmp-server community

ohwhatakeyisthee

这些命令设定主机192.168.3.2 可以接收防火墙通过系统日志发送的SNMP 事件。location 和contact命令标识主机在哪里及管理者是谁。community命令描述SMPT 服务器上正在使用的密码

telnet 10.1.1.11 255.255.255.255

telnet 192.168.3.0 255.255.255.0

这些命令允许主机访问 PIX 防火墙控制台。第一条telnet 命令允许单个主机10.1.1.11 用telnet 访问防火墙控制台。网络掩码中最后8 位的值255 表明只有特定的主机才能访问控制台。第二条telnet 命令允许192.168.3.0 子网中所有主机访问防火墙控制台。子网掩码中的0 表示此子网中的所有主机均能访问控制台但是telnet 仅允许最多16 个主机同时访问PIX 防火墙

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=392转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!