日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何進行CISCO PIX防火墻網(wǎng)絡安全配置

防火墻是互聯(lián)網(wǎng)安全最早的、也是最常用的技術。企業(yè)為了保證自己的內網(wǎng)安全,通常會設置專用的防火墻對自身進行保護。本文文章講述了CISCO PIX防火墻如何通過路由器向外部連接,對企業(yè)互聯(lián)網(wǎng)進行篩選和保護。

一.CISCO PIX防火墻設置

ip address outside 131.1.23.2 

//設置PIX防火墻的外部地址 

ip address inside 10.10.254.1 

//設置PIX防火墻的內部地址 

global 1 131.1.23.10-131.1.23.254 

//設置一個內部計算機與INTERNET 

上計算機進行通信時所需的全局地址池 

nat 1 10.0.0.0 

//允許網(wǎng)絡地址為10.0.0.0 

的網(wǎng)段地址被PIX翻譯成外部地址 

static 131.1.23.11 10.14.8.50 

//網(wǎng)管工作站固定使用的外部地址為131.1.23.11 

conduit 131.1.23.11 514 udp 

131.1.23.1 255.255.255.255 

//允許從RTRA發(fā)送到到 

網(wǎng)管工作站的系統(tǒng)日志包通過PIX防火墻 

mailhost 131.1.23.10 10.10.254.3 

//允許從外部發(fā)起的對 

郵件服務器的連接(131.1.23.10) 

telnet 10.14.8.50 

//允許網(wǎng)絡管理員通過 

遠程登錄管理IPX防火墻 

syslog facility 20.7 

syslog host 10.14.8.50 

//在位于網(wǎng)管工作站上的 

日志服務器上記錄所有事件日志

二.路由器RTRA設置

RTRA是外部防護路由器,它必須保護CISCO PIX防火墻免受直接攻擊,保護FTP/HTTP服務器,同時作為一個警報系統(tǒng),如果有人攻入此路由器,管理可以立即被通知。

no service tcp small-servers 

//阻止一些對路由器本身的攻擊 

logging trap debugging 

//強制路由器向系統(tǒng)日志服務器 

發(fā)送在此路由器發(fā)生的每一個事件, 

包括被存取列表拒絕的包和路由器配置的改變; 

這個動作可以作為對系統(tǒng)管理員的早期預警, 

預示有人在試圖攻擊路由器,或者已經(jīng)攻入路由器, 

正在試圖攻擊防火墻 

logging 131.1.23.11 

//此地址是網(wǎng)管工作站的外部地址, 

路由器將記錄所有事件到此 

主機上enable secret xxxxxxxxxxx

interface Ethernet 0 

ip address 131.1.23.1 255.255.255.0

interface Serial 0 

ip unnumbered ethernet 0 

ip access-group 110 in 

//保護PIX防火墻和HTTP/FTP 

服務器以及防衛(wèi)欺騙攻擊(見存取列表) 

access-list 110 deny ip 131.1.23.0 0.0.0.255 any log 

// 禁止任何顯示為來源于路由器RTRA 

和PIX防火墻之間的信息包,這可以防止欺騙攻擊 

access-list 110 deny ip any host 131.1.23.2 log 

//防止對PIX防火墻外部接口的直接 

攻擊并記錄到系統(tǒng)日志服務器任何企圖連接 

PIX防火墻外部接口的事件r 

access-list 110 permit tcp any 

131.1.23.0 0.0.0.255 established 

//允許已經(jīng)建立的TCP會話的信息包通過 

access-list 110 permit tcp any host 131.1.23.3 eq ftp 

//允許和FTP/HTTP服務器的FTP連接 

access-list 110 permit tcp any host 131.1.23.2 eq ftp-data 

//允許和FTP/HTTP服務器的FTP數(shù)據(jù)連接 

access-list 110 permit tcp any host 131.1.23.2 eq www 

//允許和FTP/HTTP服務器的HTTP連接 

access-list 110 deny ip any host 131.1.23.2 log 

//禁止和FTP/HTTP服務器的別的連接 

并記錄到系統(tǒng)日志服務器任何 

企圖連接FTP/HTTP的事件 

access-list 110 permit ip any 131.1.23.0 0.0.0.255 

//允許其他預定在PIX防火墻 

和路由器RTRA之間的流量

line vty 0 4 

login 

password xxxxxxxxxx 

access-class 10 in 

//限制可以遠程登錄到此路由器的IP地址 

access-list 10 permit ip 131.1.23.11 

//只允許網(wǎng)管工作站遠程登錄到此路由器, 

當你想從INTERNET管理此路由器時, 

應對此存取控制列表進行修改

三. 路由器RTRB設置

logging trap debugging 

logging 10.14.8.50 

//記錄此路由器上的所有活動到 

網(wǎng)管工作站上的日志服務器,包括配置的修改

interface Ethernet 0 

ip address 10.10.254.2 255.255.255.0 

no ip proxy-arp 

ip access-group 110 in

access-list 110 permit udp host 10.10.254.0 0.0.0.255 

//允許通向網(wǎng)管工作站的系統(tǒng)日志信息 

access-list 110 deny ip any host 10.10.254.2 log 

//禁止所有別的從PIX防火墻發(fā)來的信息包 

access-list permit tcp host 10.10.254.3 

10.0.0.0 0.255.255.255 eq smtp 

//允許郵件主機和內部郵件服務器的SMTP郵件連接 

access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255 

//禁止別的來源與郵件服務器的流量 

access-list deny ip any 10.10.254.0 0.0.0.255 

//防止內部網(wǎng)絡的信任地址欺騙 

access-list permit ip 10.10.254.0 

0.0.0.255 10.0.0.0 0.255.255.255 

//允許所有別的來源于PIX防火墻 

和路由器RTRB之間的流量

line vty 0 4 

login 

password xxxxxxxxxx 

access-class 10 in 

//限制可以遠程登錄到此路由器上的IP地址

access-list 10 permit ip 10.14.8.50 

//只允許網(wǎng)管工作站遠程登錄到此路由器, 

當你想從INTERNET管理此路由器時, 

應對此存取控制列表進行修改 

按以上設置配置好CISCO PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口,也不可能判斷出內部任何一臺主機的IP地址,即使告訴了內部主機的IP地址,要想直接對它們進行Ping和連接也是不可能的。

這樣就可以對整個內部網(wǎng)進行有效的保護,防止外部的非法攻擊。

【編輯推薦】

  1. Web應用防火墻的功能與價值
  2. xss攻擊 Web安全新挑戰(zhàn)
  3. 百家爭鳴:web攻擊與web防護
  4. Web應用防火墻的主要特性
  5. 防止入侵從Web應用安全漏洞做起

分享題目:如何進行CISCO PIX防火墻網(wǎng)絡安全配置
分享地址:http://m.5511xx.com/article/djjegii.html