如何進行CISCO PIX防火墻網絡安全配置
防火墻是互聯網安全最早的、也是最常用的技術。企業為了保證自己的內網安全,通常會設置專用的防火墻對自身進行保護。本文文章講述了CISCO PIX防火墻如何通過路由器向外部連接,對企業互聯網進行篩選和保護。
一.CISCO PIX防火墻設置
ip address outside 131.1.23.2
//設置PIX防火墻的外部地址
ip address inside 10.10.254.1
//設置PIX防火墻的內部地址
global 1 131.1.23.10-131.1.23.254
//設置一個內部計算機與INTERNET
上計算機進行通信時所需的全局地址池
nat 1 10.0.0.0
//允許網絡地址為10.0.0.0
的網段地址被PIX翻譯成外部地址
static 131.1.23.11 10.14.8.50
//網管工作站固定使用的外部地址為131.1.23.11
conduit 131.1.23.11 514 udp
131.1.23.1 255.255.255.255
//允許從RTRA發送到到
網管工作站的系統日志包通過PIX防火墻
mailhost 131.1.23.10 10.10.254.3
//允許從外部發起的對
郵件服務器的連接(131.1.23.10)
telnet 10.14.8.50
//允許網絡管理員通過
遠程登錄管理IPX防火墻
syslog facility 20.7
syslog host 10.14.8.50
//在位于網管工作站上的
日志服務器上記錄所有事件日志
二.路由器RTRA設置
RTRA是外部防護路由器,它必須保護CISCO PIX防火墻免受直接攻擊,保護FTP/HTTP服務器,同時作為一個警報系統,如果有人攻入此路由器,管理可以立即被通知。
no service tcp small-servers
//阻止一些對路由器本身的攻擊
logging trap debugging
//強制路由器向系統日志服務器
發送在此路由器發生的每一個事件,
包括被存取列表拒絕的包和路由器配置的改變;
這個動作可以作為對系統管理員的早期預警,
預示有人在試圖攻擊路由器,或者已經攻入路由器,
正在試圖攻擊防火墻
logging 131.1.23.11
//此地址是網管工作站的外部地址,
路由器將記錄所有事件到此
主機上enable secret xxxxxxxxxxx
interface Ethernet 0
ip address 131.1.23.1 255.255.255.0
interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in
//保護PIX防火墻和HTTP/FTP
服務器以及防衛欺騙攻擊(見存取列表)
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
// 禁止任何顯示為來源于路由器RTRA
和PIX防火墻之間的信息包,這可以防止欺騙攻擊
access-list 110 deny ip any host 131.1.23.2 log
//防止對PIX防火墻外部接口的直接
攻擊并記錄到系統日志服務器任何企圖連接
PIX防火墻外部接口的事件r
access-list 110 permit tcp any
131.1.23.0 0.0.0.255 established
//允許已經建立的TCP會話的信息包通過
access-list 110 permit tcp any host 131.1.23.3 eq ftp
//允許和FTP/HTTP服務器的FTP連接
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
//允許和FTP/HTTP服務器的FTP數據連接
access-list 110 permit tcp any host 131.1.23.2 eq www
//允許和FTP/HTTP服務器的HTTP連接
access-list 110 deny ip any host 131.1.23.2 log
//禁止和FTP/HTTP服務器的別的連接
并記錄到系統日志服務器任何
企圖連接FTP/HTTP的事件
access-list 110 permit ip any 131.1.23.0 0.0.0.255
//允許其他預定在PIX防火墻
和路由器RTRA之間的流量
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
//限制可以遠程登錄到此路由器的IP地址
access-list 10 permit ip 131.1.23.11
//只允許網管工作站遠程登錄到此路由器,
當你想從INTERNET管理此路由器時,
應對此存取控制列表進行修改
三. 路由器RTRB設置
logging trap debugging
logging 10.14.8.50
//記錄此路由器上的所有活動到
網管工作站上的日志服務器,包括配置的修改
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
//允許通向網管工作站的系統日志信息
access-list 110 deny ip any host 10.10.254.2 log
//禁止所有別的從PIX防火墻發來的信息包
access-list permit tcp host 10.10.254.3
10.0.0.0 0.255.255.255 eq smtp
//允許郵件主機和內部郵件服務器的SMTP郵件連接
access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255
//禁止別的來源與郵件服務器的流量
access-list deny ip any 10.10.254.0 0.0.0.255
//防止內部網絡的信任地址欺騙
access-list permit ip 10.10.254.0
0.0.0.255 10.0.0.0 0.255.255.255
//允許所有別的來源于PIX防火墻
和路由器RTRB之間的流量
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
//限制可以遠程登錄到此路由器上的IP地址
access-list 10 permit ip 10.14.8.50
//只允許網管工作站遠程登錄到此路由器,
當你想從INTERNET管理此路由器時,
應對此存取控制列表進行修改
按以上設置配置好CISCO PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口,也不可能判斷出內部任何一臺主機的IP地址,即使告訴了內部主機的IP地址,要想直接對它們進行Ping和連接也是不可能的。
這樣就可以對整個內部網進行有效的保護,防止外部的非法攻擊。
【編輯推薦】
