PIX525校園配置實(shí)例
PIX525作為網(wǎng)絡(luò)防護(hù)產(chǎn)品,不僅企業(yè)、政府的網(wǎng)絡(luò)安全管理員為提升自身安全進(jìn)行配置。校園服務(wù)器也可以使用PIX525提升自身安全性能。本篇文章為大家呈現(xiàn)某學(xué)校的PIX525配置實(shí)例,并為關(guān)鍵語(yǔ)句給出了詳細(xì)注釋。
Welcome to the PIX firewall
Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config
Saved
PIX Version 6.0(1)
PIX當(dāng)前的操作系統(tǒng)版本為6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100
顯示目前pix只有2個(gè)接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted
pix防火墻密碼在默認(rèn)狀態(tài)下已被加密,在配置文件中不會(huì)以明文顯示,telnet 密碼缺省為cisco
Hostname PIX525
主機(jī)名稱為PIX525
Domain-name 123.com
本地的一個(gè)域名服務(wù)器123.com,通常用做外部訪問(wèn)
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
當(dāng)前啟用的一些服務(wù)或協(xié)議,注意rsh服務(wù)是不能改變端口號(hào)。
names
解析本地主機(jī)名到ip地址,在配置中可以用名字代替ip地址,當(dāng)前沒(méi)有設(shè)置,所以列表中為空。
pager lines 24
每24行一分頁(yè)。
interface ethernet0 auto
interface ethernet1 auto
設(shè)置兩個(gè)網(wǎng)卡的類型為自適應(yīng)。
mtu outside 1500
mtu inside 1500
以太網(wǎng)標(biāo)準(zhǔn)的MTU長(zhǎng)度為1500字節(jié)。
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0
pix外網(wǎng)的ip地址61.144.51.42,內(nèi)網(wǎng)的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm
pix入侵檢測(cè)的2個(gè)命令。當(dāng)有數(shù)據(jù)包具有攻擊或報(bào)告型特征碼時(shí),pix將采取報(bào)警動(dòng)作(缺省動(dòng)作),向指定的日志記錄主機(jī)產(chǎn)生系統(tǒng)日志消息;此外還可以作出丟棄數(shù)據(jù)包和發(fā)出tcp連接復(fù)位信號(hào)等動(dòng)作,需另外配置。
pdm history enable#p#
PIX設(shè)備管理器可以圖形化的監(jiān)視PIX
arp timeout 14400
arp表的超時(shí)時(shí)間
global (outside) 1 61.144.51.46
如果你訪問(wèn)外部論壇或用QQ聊天等等,上面顯示的ip就是這個(gè),也就是內(nèi)部網(wǎng)絡(luò)都使用61.144.51.46這個(gè)IP和外界通訊。
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any
用61.144.51.43這個(gè)ip地址提供domain-name服務(wù),而且只允許外部用戶訪問(wèn)domain的udp端口。
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1
外部網(wǎng)關(guān)61.144.51.61
timeout xlate 3:00:00
某個(gè)內(nèi)部設(shè)備向外部發(fā)出的ip包經(jīng)過(guò)翻譯(global)后,在缺省3個(gè)小時(shí)之后此數(shù)據(jù)包若沒(méi)有活動(dòng),此前創(chuàng)建的表項(xiàng)將從翻譯表中刪除,釋放該設(shè)備占用的全局地址。
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
AAA認(rèn)證的超時(shí)時(shí)間,absolute表示連續(xù)運(yùn)行uauth定時(shí)器,用戶超時(shí)后,將強(qiáng)制重新認(rèn)證。
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
AAA服務(wù)器的兩種協(xié)議。AAA是指認(rèn)證,授權(quán),審計(jì)。Pix防火墻可以通過(guò)AAA服務(wù)器增加內(nèi)部網(wǎng)絡(luò)的安全。
no snmp-server location
no snmp-server contact
snmp-server community public
由于沒(méi)有設(shè)置snmp工作站,也就沒(méi)有snmp工作站的位置和聯(lián)系人。
no snmp-server enable traps
發(fā)送snmp陷阱。
floodguard enable
防止有人偽造大量認(rèn)證請(qǐng)求,將pix的AAA資源用完。
no sysopt route dnat
telnet timeout 5
ssh timeout 5
使用ssh訪問(wèn)pix的超時(shí)時(shí)間
terminal width 80
Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory
將配置保存
上面這個(gè)配置實(shí)例還需要說(shuō)明一下,該pix防火墻直接擺在了與internet接口處,此處網(wǎng)絡(luò)環(huán)境有十幾個(gè)公有ip,當(dāng)然如果你的公司公網(wǎng)IP不夠用的話可以使用global命令強(qiáng)制使用單一ip地址,該IP地址和外部接口的ip地址相同即可。
在實(shí)際工作中我們可以使用show interface查看端口狀態(tài),show static查看靜態(tài)地址映射,show ip查看接口ip地址,ping outside|inside ip_address確定連通性。這些都是在故障發(fā)生后調(diào)試所必須的命令。
【編輯推薦】
