零起點(diǎn)配置PIX防火墻 六大基本命令

本文格式為Word版，下載可任意編輯——零起點(diǎn)配置PIX防火墻六大基本命令

protocolforeign_ipglobal_ip指的是要控制的地址port指的是所作用的端口，其中0代表所有端口protocol指的是連接協(xié)議，譬如：TCP、UDP等

foreign_ip表示可訪(fǎng)問(wèn)global_ip的外部ip，其中表示所有的ip。12.設(shè)置telnet選項(xiàng)：telnetlocal_ip

local_ip表示被允許通過(guò)telnet訪(fǎng)問(wèn)到pix的ip地址（假使不設(shè)此項(xiàng)，PIX的配置只能由consle方式進(jìn)行）。13.將配置保存：wrmem

14.幾個(gè)常用的網(wǎng)絡(luò)測(cè)試命令：#ping

#showinterface查看端口狀態(tài)#showstatic查看靜態(tài)地址映射六、PIX與路由器的結(jié)合配置（一）、PIX防火墻

1、設(shè)置PIX防火墻的外部地址：ipaddressoutside2、設(shè)置PIX防火墻的內(nèi)部地址：ipaddressinside

3、設(shè)置一個(gè)內(nèi)部計(jì)算機(jī)與Internet上計(jì)算機(jī)進(jìn)行通信時(shí)所需的全局地址池：global10-54

4、允許網(wǎng)絡(luò)地址為的網(wǎng)段地址被PIX翻譯成外部地址：nat

5、網(wǎng)管工作站固定使用的外部地址為1：

13/17

static10

6、允許從RTRA發(fā)送到到網(wǎng)管工作站的系統(tǒng)日志包通過(guò)PIX防火墻：conduit1514udp557、允許從外部發(fā)起的對(duì)郵件服務(wù)器的連接（0）：mailhost0

8、允許網(wǎng)絡(luò)管理員通過(guò)遠(yuǎn)程登錄管理IPX防火墻：telnet0

9、在位于網(wǎng)管工作站上的日志服務(wù)器上記錄所有事件日志：syslogfacility20.7sysloghost0（二）、路由器RTRA

RTRA是外部防護(hù)路由器，它必需保護(hù)PIX防火墻免受直接攻擊，保護(hù)FTP/HTTP服務(wù)器，同時(shí)作為一個(gè)警報(bào)系統(tǒng)，假使有人攻入此路由器，管理可以馬上被通知。1、阻止一些對(duì)路由器本身的攻擊：noservicetcpsmall-servers

2、強(qiáng)制路由器向系統(tǒng)日志服務(wù)器發(fā)送在此路由器發(fā)生的每一個(gè)事件:

3、此地址是網(wǎng)管工作站的外部地址，路由器將記錄所有事件到此主機(jī)上：logging1

4、保護(hù)PIX防火墻和HTTP/FTP服務(wù)器以及防衛(wèi)欺騙攻擊（見(jiàn)存取列表）：enablesecretxxxxxxxxxxxinterfaceEthernet0

ipaddressinterfaceSerial0

ipunnumberedethernet0ipaccess-group110in

5、阻止任何顯示為來(lái)源于路由器RTRA和PIX防火墻之間的信息包，這可以防止欺騙攻擊：access-list110denyip55anylog6、防止對(duì)PIX防火墻外部接口的直接攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接PIX防火墻外部接口的事件：

access-list110denyipanyhostlog7、允許已經(jīng)建立的TCP會(huì)話(huà)的信息包通過(guò)：

access-list110permittcpany55established8、允許和FTP/HTTP服務(wù)器的FTP連接：

access-list110permittcpanyhosteqftp9、允許和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接：

access-list110permittcpanyhosteqftp-data10、允許和FTP/HTTP服務(wù)器的HTTP連接：

access-list110permittcpanyhosteq

11、阻止和FTP/HTTP服務(wù)器的別的連接并記錄到系統(tǒng)日志服務(wù)器任何企圖連接FTP/HTTP的事件：access-list110denyipanyhostlog

12、允許其他預(yù)定在PIX防火墻和路由器RTRA之間的流量：access-list110permitipany5513、限制可以遠(yuǎn)程登錄到此路由器的IP地址：linevty04login

passwordxxxxxxxxxxaccess-class10in

14、只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器，當(dāng)你想從Internet管理此路由器時(shí)，應(yīng)對(duì)此存取控制列表進(jìn)行

14/17

修改：

access-list10permitip1（三）、路由器RTRB

RTRB是內(nèi)部網(wǎng)防護(hù)路由器，它是你的防火墻的最終一道防線(xiàn)，是進(jìn)入內(nèi)部網(wǎng)的入口。1、記錄此路由器上的所有活動(dòng)到網(wǎng)管工作站上的日志服務(wù)器，包括配置的修改：loggingtrapdebugginglogging0

2、允許通向網(wǎng)管工作站的系統(tǒng)日志信息：interfaceEthernet0

ipaddressnoipproxy-arp

ipaccess-group110in

access-list110permitudphost553、阻止所有別的從PIX防火墻發(fā)來(lái)的信息包：access-list110denyipanyhostlog

4、允許郵件主機(jī)和內(nèi)部郵件服務(wù)器的SMTP郵件連接：

access-listpermittcphost155eqsmtp5、阻止別的來(lái)源與郵件服務(wù)器的流量：

access-listdenyiphost1556、防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙：

access-listdenyipany55

7、允許所有別的來(lái)源于PIX防火墻和路由器RTRB之間的流量：access-listpermitip55558、限制可以遠(yuǎn)程登錄到此路由器上的IP地址：linevty04login

passwordxxxxxxxxxxaccess-class10in

9、只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器，當(dāng)你想從Internet管理此路由器時(shí)，應(yīng)對(duì)此存取控制列表進(jìn)行修改：

access-list10permitip0

按以上設(shè)置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無(wú)法在外部連接上找到可以連接的開(kāi)放端口，也不可能判斷出內(nèi)部任何一臺(tái)主機(jī)的IP地址，即使告訴了內(nèi)部主機(jī)的IP地址，要想直接對(duì)它們進(jìn)行Ping和連接也是不可能的。這樣就可以對(duì)整個(gè)內(nèi)部網(wǎng)進(jìn)行有效的保護(hù)。

技術(shù)共享使用CISCOPIX防火墻

關(guān).

noshutdown在router上用戶(hù)激活這個(gè)端口，在pix中，沒(méi)有noshutdown命令，只有使用到shutdown這個(gè)參數(shù)，主要用于管理關(guān)閉接口.

interfacehardware_idhardware_speed[shutdown]interfacee0autointerfacee1autointerfacee2auto

15/17

1.inte