Cisco PIX防火牆

PIX防火牆 　　 　　1.設置PIX防火牆的外部地址：ipaddressoutside 　　 　　131.1.23.2 　　 　　2.設置PIX防火牆的內部地址：ipaddressinside 　　 　　10.10.254.1 　　 　　3.設置一個內部計算機與Internet上計算機進行通訊時所需的全局地址池：global1131.1.23.10-131.1.23.254 　　 　　4.容許網絡地址爲10.0.0.0的網段地址被PIX翻譯成外部地址：nat110.0.0.0 　　 　　5.網管工做站固定使用的外部地址爲131.1.23. 　　 　　11：static131.1.23.1110.14.8.50 　　 　　6.容許從RTRA發送到網管工做站的系統日誌包經過PIX防火牆：conduit131.1.23.11514udp131.1. 　　 　　23.1255.255.255.255 　　 　　7.容許從外部發起的對郵件 服務器的鏈接（131.1.23.10）：mailhost131.1.23.1010.10.254.3 　　 　　8.容許網絡管理員經過遠程登陸管理IPX防火牆：telnet10.14.8.50 　　 　　9.在位於網管工做站上的日誌服務器上記錄全部事件日誌：syslogfacility20.7 　　 　　sysloghost10.14.8.50 　　 　　路由器RTRA 　　 　　RTRA是外部防禦路由器，它必須保護PIX防火牆免受直接***，保護FTP/HTTP服務器，同時做爲一個警報系統，若是有人攻入此路由器，管理能夠當即被通知。 　　 　　1.阻止一些對路由器自己的***： 　　 　　noservicetcpsmall-servers 　　 　　2.強制路由器向系統日誌服務器發送在此路由器發生的每個事件，包括被存取列表拒絕的包和路由器配置的改變；這個動做能夠做爲對系統管理員的早期預警，預示有人在試圖***路由器，或者已經攻入路由器，正在試圖***防火牆： 　　 　　loggingtrapdebugging 　　 　　3.此地址是網管工做站的外部地址，路由器將記錄全部事件到此主機上： 　　 　　logging131.1.23.11 　　 　　4.保護PIX防火牆和HTTP/FTP服務器以及防衛欺騙***。 　　 　　5.禁止任何顯示爲來源於路由器RTRA和PIX防火牆之間的信息包，防止欺騙***： 　　 　　access-list110denyip131.1.23.00.0.0.255anylog 　　 　　6.防止對PIX防火牆外部接口的直接***並將任何企業鏈接PIX防火牆外部接口的事件記錄到系統日誌服務器： 　　 　　access-list110denyipanyhost131.1.23.2log 　　 　　 　　7. 容許已經創建的TCP會話的信息包經過： 　　 　　access-list110permittcpany131.1.23.00.0.0.255 　　 　　established 　　 　　8. 容許和FTP/HTTP服務器的FTP鏈接： 　　 　　access-list110permittcpanyhost131.1.23.3eqftp 　　 　　9. 容許和FTP/HTTP服務器的FTP數據鏈接： 　　 　　access-list110permittcpanyhost131.1.23.2eqftp-data 　　 　　10. 容許和FTP/HTTP服務器的HTTP鏈接： 　　 　　access-list110permittcpanyhost 　　 　　131.1.23.2eqwww 　　 　　11. 禁止和FTP/HTTP服務器的別的鏈接並將何企圖鏈接FTP/HTTP的事件記錄到系統日誌服務器任： 　　 　　access-list110denyipanyhost 　　 　　131.1.23.2log 　　 　　12. 容許其餘預約在PIX防火牆和路由器RTRA之間的流量： 　　 　　access-list110permitipany 　　 　　131.1.23.00.0.0.255 　　 　　13.限制能夠遠程登陸到此路由器的IP地址。 　　 　　14. 只容許網管工做站遠程登陸到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改： 　　 　　access-list10permitip131.1.23.11 　　 　　路由器RTRB 　　 　　RTRB是內部網防禦路由器，它是你的防火牆的最後一道防線，是進入內部網的入口。 　　 　　1. 將此路由器上的全部活動記錄到網管工做站上的日誌服務器，包括配置的修改： 　　 　　loggingtrapdebugging 　　 　　logging10.14.8.50 　　 　　2. access-list110permitudphost10.10.254.00.0.0.255 　　 　　 　　3. 禁止全部別的從PIX防火牆發來的信息包： 　　 　　access-list110denyipanyhost10.10.254.2log 　　 　　4. 容許郵件主機和內部郵件服務器的SMTP郵件鏈接： 　　 　　access-listpermittcphost10.10.254.310.0.0.00.255. 　　 　　255.255eqsmtp 　　 　　5. 禁止別的來源與郵件服務器的流量： 　　 　　access-listdenyiphost10.10.254.310.0.0.00.255.255. 　　 　　255 　　 　　6. 防止內部網絡的信任地址欺騙： 　　 　　access-listdenyipany10.10.254.00.0.0.255 　　 　　7. 容許全部別的來源於PIX防火牆和路由器RTRB之間的流量： 　　 　　access-listpermitip10.10.254.00.0.0.25510.0.0.00.255. 　　 　　255.255 　　 　　8. 限制能夠遠程登陸到此路由器的IP地址。 　　 　　9. 只容許網管工做站遠程登陸到此路由器，當想從Internet管理此路由器時，應對此存取控制列表進行修改： 　　access-list10permitip10.14.8.50 　　 　 　按以上設置配置好PIX防火牆和路由器後，PIX防火牆外部的***者將沒法在外部鏈接上找到能夠鏈接的開放端口，也不可能判斷出內部任何一臺主機的IP 地址，即便告訴了內部主機的IP地址，要想直接對它們進行Ping和鏈接也是不可能的。這樣就能夠對整個內部網進行有效的保護。