Cisco PIX 的配置实践 (2001/5/16)-IT外包官网-蓝盟集团

Cisco PIX 的配置实践 (2001/5/16)

发布者：上海IT外包来源：http://www.lanmon.net点击数：3751

CISCO PIX 防火墙配置实践

江西思创高新技术有限公司（330006）王洪杰

--------------------------------------------------------------------------------

----本文介绍一个PIX 防火墙实际配置案例，因为路由器的配置在安全性方面和PIX 防火墙是相辅相成的，所以路由器的配置实例也一并列出。

PIX 防火墙

设置PIX 防火墙的外部地址：

ip address outside 131.1.23.2

设置PIX 防火墙的内部地址：

ip address inside 10.10.254.1

设置一个内部计算机与Internet 上计算机进行通信时所需的全局地址池：

global 1 131.1.23.10-131.1.23.254

允许网络地址为10.0.0.0 的网段地址被PIX 翻译成外部地址：

nat 1 10.0.0.0

网管工作站固定使用的外部地址为131.1.23.11：

static 131.1.23.11 10.14.8.50

允许从RTRA 发送到到网管工作站的系统日志包通过PIX 防火墙：

conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255

允许从外部发起的对邮件服务器的连接（131.1.23.10）：

mailhost 131.1.23.10 10.10.254.3

允许网络管理员通过远程登录管理IPX 防火墙：

telnet 10.14.8.50

在位于网管工作站上的日志服务器上记录所有事件日志：

syslog facility 20.7

syslog host 10.14.8.50

路由器 RTRA

----RTRA 是外部防护路由器，它必须保护PIX 防火墙免受直接攻击，保护FTP/HTTP 服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以立即被通知。

阻止一些对路由器本身的攻击：

no service tcp small-servers

强制路由器向系统日志服务器发送在此路由器发生的每一个事件，包括被存取列表拒绝的包和路由器配置的改变；这个动作可以作为对系统管理员的早期预警，预示有人在试图攻击路由器，或者已经攻入路由器，正在试图攻击防火墙：

logging trap debugging

此地址是网管工作站的外部地址，路由器将记录所有事件到此主机上：

logging 131.1.23.11

保护PIX 防火墙和HTTP/FTP 服务器以及防卫欺骗攻击（见存取列表）：

enable secret xxxxxxxxxxx

interface Ethernet 0

ip address 131.1.23.1 255.255.255.0

interface Serial 0

ip unnumbered ethernet 0

ip access-group 110 in

禁止任何显示为来源于路由器RTRA 和PIX 防火墙之间的信息包，这可以防止欺骗攻击：

access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

防止对PIX 防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接PIX 防火墙外部接口的事件：

access-list 110 deny ip any host 131.1.23.2 log

shijian.jpg (6423 bytes)

允许已经建立的TCP 会话的信息包通过：

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

允许和FTP/HTTP 服务器的FTP 连接：

access-list 110 permit tcp any host 131.1.23.3 eq ftp

允许和FTP/HTTP 服务器的FTP 数据连接：

access-list 110 permit tcp any host 131.1.23.2 eq ftp-data

允许和FTP/HTTP 服务器的HTTP 连接：

access-list 110 permit tcp any host 131.1.23.2 eq www

禁止和FTP/HTTP 服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP 的事件：

access-list 110 deny ip any host 131.1.23.2 log

允许其他预定在PIX 防火墙和路由器RTRA 之间的流量：

access-list 110 permit ip any 131.1.23.0 0.0.0.255

限制可以远程登录到此路由器的IP 地址：

line vty 0 4

password xxxxxxxxxx

access-class 10 in

只允许网管工作站远程登录到此路由器，当你想从Internet 管理此路由器时，应对此存取控制列表进行修改：

access-list 10 permit ip 131.1.23.11

路由器 RTRB

----RTRB 是内部网防护路由器，它是你的防火墙的最后一道防线，是进入内部网的入口。

记录此路由器上的所有活动到网管工作站上的日志服务器，包括配置的修改：

logging trap debugging

logging 10.14.8.50

允许通向网管工作站的系统日志信息：

interface Ethernet 0

ip address 10.10.254.2 255.255.255.0

no ip proxy-arp

ip access-group 110 in

access-list 110 permit udp host 10.10.254.0 0.0.0.255

禁止所有别的从PIX 防火墙发来的信息包：

access-list 110 deny ip any host 10.10.254.2 log

允许邮件主机和内部邮件服务器的SMTP 邮件连接：

access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp

禁止别的来源与邮件服务器的流量：

access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

防止内部网络的信任地址欺骗：

access-list deny ip any 10.10.254.0 0.0.0.255

允许所有别的来源于PIX 防火墙和路由器RTRB 之间的流量：

access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255

限制可以远程登录到此路由器上的IP 地址：

line vty 0 4

password xxxxxxxxxx

access-class 10 in

只允许网管工作站远程登录到此路由器，当你想从Internet 管理此路由器时，应对此存取控制列表进行修改：

access-list 10 permit ip 10.14.8.50

----按以上设置配置好PIX 防火墙和路由器后，PIX 防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口，也不可能判断出内部任何一台主机的IP 地址，即使告诉了内部主机的IP 地址，要想直接对它们进行Ping 和连接也是不可能的。这样就可以对整个内部网进行有效的保护。

说明：

以上典型配置有很多已经是厂商停产产品，但是，不少设备往往还有运行，关于该设备的配置或者方案优化，你可以联系蓝盟，我们的资深工程师会给你意外的惊喜！上海蓝盟网络技术有限公司于2002年成立，业务涵盖IT外包、电脑维护、网络维护、网管外包、驻场服务、人员派驻、应急支持、系统集成、网络搬迁、网络升级、数据备份、综合布线、电脑维修、计算机维护、计算机维修，网络改造、网络整理、网络调试、局域网组建、应急上门、数据恢复、网络咨询、服务管理、运维咨询、ITIL培训、ITSS咨询等，拥有近200名工程师，正在为近500家客户提供“一站式” 的IT外包服务。网址：www.lanmon.com www.lanmon.net 官方微博：http://weibo.com/lanmon2012 咨询电话：4008200159 蓝色学苑：www.bluestudy.net

上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
下一篇: Cisco PIX 两界面多服务配置
分享到：

微软云

IT采购

弱电工程

系统集成

客户故事

Cisco PIX 的配置实践 (2001/5/16)

400-635-8089