如何進(jìn)行CISCO PIX防火墻網(wǎng)絡(luò)安全配置
防火墻是互聯(lián)網(wǎng)安全最早的、也是最常用的技術(shù)。企業(yè)為了保證自己的內(nèi)網(wǎng)安全,通常會(huì)設(shè)置專用的防火墻對自身進(jìn)行保護(hù)。本文文章講述了CISCO PIX防火墻如何通過路由器向外部連接,對企業(yè)互聯(lián)網(wǎng)進(jìn)行篩選和保護(hù)。
一.CISCO PIX防火墻設(shè)置
ip address outside 131.1.23.2
//設(shè)置PIX防火墻的外部地址
ip address inside 10.10.254.1
//設(shè)置PIX防火墻的內(nèi)部地址
global 1 131.1.23.10-131.1.23.254
//設(shè)置一個(gè)內(nèi)部計(jì)算機(jī)與INTERNET
上計(jì)算機(jī)進(jìn)行通信時(shí)所需的全局地址池
nat 1 10.0.0.0
//允許網(wǎng)絡(luò)地址為10.0.0.0
的網(wǎng)段地址被PIX翻譯成外部地址
static 131.1.23.11 10.14.8.50
//網(wǎng)管工作站固定使用的外部地址為131.1.23.11
conduit 131.1.23.11 514 udp
131.1.23.1 255.255.255.255
//允許從RTRA發(fā)送到到
網(wǎng)管工作站的系統(tǒng)日志包通過PIX防火墻
mailhost 131.1.23.10 10.10.254.3
//允許從外部發(fā)起的對
郵件服務(wù)器的連接(131.1.23.10)
telnet 10.14.8.50
//允許網(wǎng)絡(luò)管理員通過
遠(yuǎn)程登錄管理IPX防火墻
syslog facility 20.7
syslog host 10.14.8.50
//在位于網(wǎng)管工作站上的
日志服務(wù)器上記錄所有事件日志
二.路由器RTRA設(shè)置
RTRA是外部防護(hù)路由器,它必須保護(hù)CISCO PIX防火墻免受直接攻擊,保護(hù)FTP/HTTP服務(wù)器,同時(shí)作為一個(gè)警報(bào)系統(tǒng),如果有人攻入此路由器,管理可以立即被通知。
no service tcp small-servers
//阻止一些對路由器本身的攻擊
logging trap debugging
//強(qiáng)制路由器向系統(tǒng)日志服務(wù)器
發(fā)送在此路由器發(fā)生的每一個(gè)事件,
包括被存取列表拒絕的包和路由器配置的改變;
這個(gè)動(dòng)作可以作為對系統(tǒng)管理員的早期預(yù)警,
預(yù)示有人在試圖攻擊路由器,或者已經(jīng)攻入路由器,
正在試圖攻擊防火墻
logging 131.1.23.11
//此地址是網(wǎng)管工作站的外部地址,
路由器將記錄所有事件到此
主機(jī)上enable secret xxxxxxxxxxx
interface Ethernet 0
ip address 131.1.23.1 255.255.255.0
interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in
//保護(hù)PIX防火墻和HTTP/FTP
服務(wù)器以及防衛(wèi)欺騙攻擊(見存取列表)
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
// 禁止任何顯示為來源于路由器RTRA
和PIX防火墻之間的信息包,這可以防止欺騙攻擊
access-list 110 deny ip any host 131.1.23.2 log
//防止對PIX防火墻外部接口的直接
攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接
PIX防火墻外部接口的事件r
access-list 110 permit tcp any
131.1.23.0 0.0.0.255 established
//允許已經(jīng)建立的TCP會(huì)話的信息包通過
access-list 110 permit tcp any host 131.1.23.3 eq ftp
//允許和FTP/HTTP服務(wù)器的FTP連接
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
//允許和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接
access-list 110 permit tcp any host 131.1.23.2 eq www
//允許和FTP/HTTP服務(wù)器的HTTP連接
access-list 110 deny ip any host 131.1.23.2 log
//禁止和FTP/HTTP服務(wù)器的別的連接
并記錄到系統(tǒng)日志服務(wù)器任何
企圖連接FTP/HTTP的事件
access-list 110 permit ip any 131.1.23.0 0.0.0.255
//允許其他預(yù)定在PIX防火墻
和路由器RTRA之間的流量
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
//限制可以遠(yuǎn)程登錄到此路由器的IP地址
access-list 10 permit ip 131.1.23.11
//只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器,
當(dāng)你想從INTERNET管理此路由器時(shí),
應(yīng)對此存取控制列表進(jìn)行修改
三. 路由器RTRB設(shè)置
logging trap debugging
logging 10.14.8.50
//記錄此路由器上的所有活動(dòng)到
網(wǎng)管工作站上的日志服務(wù)器,包括配置的修改
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
//允許通向網(wǎng)管工作站的系統(tǒng)日志信息
access-list 110 deny ip any host 10.10.254.2 log
//禁止所有別的從PIX防火墻發(fā)來的信息包
access-list permit tcp host 10.10.254.3
10.0.0.0 0.255.255.255 eq smtp
//允許郵件主機(jī)和內(nèi)部郵件服務(wù)器的SMTP郵件連接
access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255
//禁止別的來源與郵件服務(wù)器的流量
access-list deny ip any 10.10.254.0 0.0.0.255
//防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙
access-list permit ip 10.10.254.0
0.0.0.255 10.0.0.0 0.255.255.255
//允許所有別的來源于PIX防火墻
和路由器RTRB之間的流量
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
//限制可以遠(yuǎn)程登錄到此路由器上的IP地址
access-list 10 permit ip 10.14.8.50
//只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器,
當(dāng)你想從INTERNET管理此路由器時(shí),
應(yīng)對此存取控制列表進(jìn)行修改
按以上設(shè)置配置好CISCO PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口,也不可能判斷出內(nèi)部任何一臺(tái)主機(jī)的IP地址,即使告訴了內(nèi)部主機(jī)的IP地址,要想直接對它們進(jìn)行Ping和連接也是不可能的。
這樣就可以對整個(gè)內(nèi)部網(wǎng)進(jìn)行有效的保護(hù),防止外部的非法攻擊。
【編輯推薦】
