收藏
下载资源

防火墙CISCOPI525配置手册.docx

上传人:pu****.1 文档编号:562257175 上传时间:2023-09-13 格式:DOCX 页数:12 大小:82.45KB
返回 下载 相关 举报
防火墙CISCOPI525配置手册.docx_第1页
第1页 / 共12页
防火墙CISCOPI525配置手册.docx_第2页
第2页 / 共12页
防火墙CISCOPI525配置手册.docx_第3页
第3页 / 共12页
防火墙CISCOPI525配置手册.docx_第4页
第4页 / 共12页
防火墙CISCOPI525配置手册.docx_第5页
第5页 / 共12页
点击查看更多>>
资源描述

《防火墙CISCOPI525配置手册.docx》由会员分享,可在线阅读,更多相关《防火墙CISCOPI525配置手册.docx(12页珍藏版)》请在金锄头文库上搜索。

1、防火墙 CISCO-PIX525 的配置根底学问现在,我们通过一个相对简洁的例如说明如何使用 Cisco PIX 对企业内部网络进展治理。网络拓扑图如附图所示。Cisco PIX 安装 2 个网络接口,一个连接外部网段,另一个连接内部网段,在外部网段上运行的主要是 DNS 效劳器,在内部网段上运行的有 WWW 效劳器和电子邮件效劳器,通过 Cisco PIX,我们期望到达的效果是: 对内部网络的全部机器进展保护,WWW 效劳器对外只开放 80 端口,电子邮件效劳器对外只开放 25 端口。具体*作步骤如下。2. 获得最 PIX 软件- 从 Cisco 公司的 WWW 或 FTP 站点上,我们可以

2、获得 PIX 的最软件,主要包括如下内容。pix44n.exePIX 防火墙的软件映像文件。pfss44n.exePIX Firewall Syslog Server 效劳器软件,能够供给一个 Windows NT 效劳,用来记录 PIX 的运行日志。pfm432b.exe图形化的 PIX 治理软件。rawrite.exe用于生成 PIX 的启动软盘。3. 配置网络路由- 在使用防火墙的内部网段上,需要将每台计算机的缺省网关指向防火墙,比方防火墙内部 IP 地址为10.0.0.250 ,则内部网段上的每台计算机的缺省网关都要设置为 10.0.0.250。具体设置在“掌握面板”*“网络”*“TC

3、P/IP 协议”中进展。4配置 PIX- 在配置 PIX 之前,应当对网络进展具体的规划和设计,搜集需要的网络配置信息。要获得的信息如下。- 1每个 PIX 网络接口的 IP 地址。(2) 假设要进展 NAT,则要供给一个 IP 地址池供 NAT 使用。NAT 是网络地址转换技术,它可以将使用保存地址的内部网段上的机器映射到一个合*的 IP 地址上以便进展 Internet 访问(3) 外部网段的路由器地址。- 进入 PIX 配置界面的方*是:连接好超级终端,翻开电源,在消灭启动信息和消灭提示符 pixfirewall 后输入“enable”,并输入密码,进入特权模式;当提示符变为 pixfi

4、rewall#后,输入“configure terminal”,再进入配置界面。- 在配置过程中,我们可以使用 write terminal 命令查看当前配置,使用 write memory 保存配置信息到Flash Memory。5配置网络接口- PIX 使用 nameif 和 ip address 命令进展网络接口配置。- 首先使用下面的语句定义内部网段和外部网段的网络接口。- nameif ethernet0 outside security0- nameif ethernet1 inside security100 (外低内高)- PIX 防火墙使用 Intel 的 10/100Mbp

5、s 网卡,使用下面的命令定义接口配置为自适应。- interface ethernet0 auto- interface ethernet1 auto- 最终,我们定义接口的 IP 地址和掩码。- ip address inside 10.0.0.250 255.255.255.0- ip address outside 202.12.29.205 255.255.255.248 6允许内部用户访问外部网段- 在前面,我们定义了内部网段安全值为 100,外部网段安全值为 0。用户在安全值高的区域访问安全值低的区域,需要使用 nat 和 global 命令;相反地,假设允许安全值低的区域的用户访

6、问安全值高的区域的用户,则需要使用 static 和 conduit 命令。- nat (inside) 1 0 0- global (outside) 1 202.12.29.206 netmask 255.255.255.248- 其中 1 为 NAT ID,两个语句中的 NAT ID 应一样。前一句表示允许全部机器对外访问,其次句定义 NAT 使用的地址池,由于大局部状况下,合*的 IP 地址并不多,因此在此例中只设置了一个合*IP 地址 202.12.29.206 用来做地址转换。7. 定义外部路由- 对于外部网段,还需要定义外部路由,它是防火墙外部网段的缺省路由:route outs

7、ide 0 0202.12.29.202 1。其中 0 0 表示外部网段的缺省路由,1 表示从防火墙到路由器只有一个 hop。7.1 播送 RIP-rip outside passive-rip inside passive 8允许使用 ping 命令- conduit permit icmp any any 此命令允许在内部网段和外部网段使用 ping 命令进展网络测试。由于 ping命令使用的是 ICMP 协议,在设置和调试期间,一般开放此功能,当防火墙工作正常后,也可以关闭此项功能。9保存设置和重启动- 使用 write memory 命令将配置信息写入 flash memory。使用

8、reload 命令重启动防火墙。- 10增加 telnet 访问掌握- 在 PIX 中,我们可以定义只允许某些机器通过 telnet 访问防火墙。需要留意的是,这里进展telnet 访问的机器必需在内部网段上,以增加安全性。- telnet 10.0.0.204 255.255.255.255- 即允许 10.0.0.204 这台机器使用 telnet 访问防火墙。- telnet timeout 15- 马上空闲时间设置为 15 分钟,当访问防火墙的机器 15 分钟内没有任何*作时,将自动断开连接。- telnet 访问的缺省口令是 cisco,可以通过 passwd 命令来修改口令。- 测

9、试 telnet 时,我们可以使用命令 debug icmp trace 来获得更多的信息。- 11增加效劳器访问掌握- 缺省状况下,PIX 拒绝全部来自外部网段的访问恳求。当 WWW 效劳器等设备放在防火墙的内部网段上时,为了使外部网络上的用户可以访问到,必需使用 static 和 conduit 命令来进展配置。- 下面,我们给出允许外部网络访问内部网络上的 WWW 效劳器的命令。- static (inside,outside) 202.12.29.204(外部的) 10.0.0.204(内部的) netmask 255.255.255.255 (作映射)- conduit permit

10、 tcp host 202.12.29.204 eq www any- 其中,第一个命令将在内部网段的 WWW 效劳器 10.0.0.204 映射一个外部合*地址 202.12.29.204;其次个命令允许全部外部主机通过 tcp port 80 访问 202.12.29.204 这台效劳器。- 接着,我们再给出一个允许外部网络访问内部网络上的邮件效劳器 10.0.0.203 的命令。- static (inside,outside) 202.12.29.203 10.0.0.203 netmask 255.255.255.255- conduit permit tcp host 202.12

11、.29.203 eq smtp any- 12掌握内部网段对外的访问- 使用 outbound 和 apply 命令进展组合,可以掌握内部网段的机器能否对外进展访问,举例说明如下。- outbound 10 deny 10.0.0.0 255.255.255.0 irc tcp- outbound 10 permit 10.0.0.204 255.255.255.255 irc tcp- apply (inside) 10 outgoing_src 假设不想让内部用户使用 CHAT 功能,可以承受第一条命令,制止10.0.0.1 10.0.0.255 的全部机器使用 CHAT 功能访问外部站点

12、;其次条命令允许 10.0.0.204 这台机器通过 irc协议访问外部站点;第三条命令将前面的命令应用在 inside,也就是内部网段上。Router(config)#hostname R1 R1(config)#int S0R1(config-if)#ip add 12.1.1.1255.255.255.0R1(config-if)#no shut R1(config-if)#int E0PIX525IPSEC-VPN 配置R1(config-if)#ip add 11.1.1.254 255.255.255.0 R1(config-if)#no shutR1(config-if)#rou

13、ter ripR1(config-router)#network 12.1.1.1R1(config-router)#network 11.1.1.0 R1(config-router)#endR1#sh run- outbound 20 deny 202.102.224.25 255.255.255.255 www tcp- apply (inside) 20 outgoing_dest- 通过对以上 2 条命令的组合使用,我们可以制止内部网段上的全部机器访问外部网络的 WWW 效劳配置 R2:Routeren Router#conf t器 202.102.224.25。Router(con

14、fig)#hostname R2- 到此为止,我们已经介绍了在网络治理中通常会使用到的一些设置命令,其实还有一些其他相关的R2(config)#int S0设置命令,大家可以查阅 PIX 的文档或者访问 Cisco 公司的网站以猎取最的资料。R2(config-if)#ip add 12.1.1.2255.255.255.0R2(config-if)#no shut- 总的来说,假设用户期望得到一台网络性能较高但不需要广泛的监视功能或应用程序过滤功能的企R2(config-if)#clock rate 64000业级防火墙,Cisco PIX 将会是一个不错的选择。R2(config-if)#

15、int E0R2(config-if)#ip add 23.1.1.2255.255.255.0R2(config-if)#no shutR2(config-if)#router ripPIX525IPSEC-VPN 配置在 PIX525 上进展配置,要求内网 PC2 能 telnet 登入到 PIX525 上;外网 PC1 可以通过 SSH 方式登入到PIX525;通过在 PIN525 上配置 NAT 使内网 PC2 可以 ping 通外网的 R1,R2,PC1;在 PIX525 上配置IPSEC-VPN,使 PC1 可以通过 IPSEC-VPN 方式登陆到内网上,并 PING 通内网主机 PC2。R2(config-router)

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 其它文档 > 租房合同

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号