专注于武汉中小企业服务解决方案提供商

电脑维修、布线、安防监控、数据恢复、采购、回收

所属分类 > 家电维修 > 正文

CISCO PIX 防火墙及网络安全配置 (cisco pix525防火墙各种模式的作用)

编辑:rootadmin
----随着国际互连网的发展,一些企业建立了自己的INTRANET,并通过专线与INTERNET连通。为了保证企业内部网的安全,防止非法入侵,需要使用专用的防火墙计算机。路由器防火墙只能作为过滤器,并不能把内部网络结构从入侵者眼前隐藏起来。只要允许外部网络上的计算机直接访问内部网络上的计算机,就存在着攻击者可以损害内部局域网上机器的安全性,并从那里攻击其他计算机的可能性。   ----大多数提供代理服务的专用防火墙机器是基于UNIX*的,这些*作*本身就有安全*。C*CO提供了PIX(PrivateInterneteXchange,私有Internet交换)防火墙,它运行自己定制的*作*,事实证明,它可以有效地防止非法攻击。PIX防火墙要求有一个路由器连接到外部网络,如附图所示。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部*,使用他们来与外部网络通信。内部网络则配置有一个适合内部网络号方案的IP*。PIX的主要工作是在内部计算机需要与外部网络进行通信时,完成内部和外部*之间的映射。     ----配置好PIX防火墙后,从外部世界看来,内部计算机好象就是直接连接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主机传送信息包需要用到MAC*。为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的,PIX运行了代理ARP,代理ARP给外部网络层IP*指定数据链路MAC*,这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。大多数情况下,与外部网络的通信是从内部网络中发出的。由于PIX是对信息包进行*作,而不是在应用过程级(代理服务器则采用这种方法),PIX既可以*UDP会话,也可以*TCP连接。当一个计算机希望同外部计算机进行通信时,PIX记录下内部来源*,然后从外部*库分配一个*,并记录下所进行的转换。这就是人们常说的有界NAT(statefulNAT),这样,PIX就能记住它在同谁进行交谈,以及是哪个计算机首先发起的对话。只有已被确认的来自外部网络的信息包才会运行,并进入内部网络。     ----不过,有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的服务包括电子邮件、WWW服务、以及FTP服务。PIX给一个内部*硬编码一个外部*,这个*是不会过期的。在这种情况下,用到对目标*和端口号的普通过滤。除非侵入PIX本身,外部用户仍然是无法了解内部网络结构的。在不了解内部网络结构的情况下,恶意用户就无法从内部主机向内部网络实施攻击。     ----PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP*电子欺骗的方法早已公布,所以,入侵者已经有可能通过这种方法,控制住一个现成的TCP连接,然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点,入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的,因为每次初始化连接时,大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号,这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。     ----配置PIX防火墙是一个比较直接的工作,在提供相同级别的安全服务情况下,PIX的配置相比设置代理服务器要简单的多。从理论上讲,所需做的就是指定一个IP*和一个用来对外部进行访问的*库,一个针对内部连接的IP*和网络掩吗、RIP、超时以及其他附属安全信息。下面介绍一个PIX防火墙实际配置案例,供大家参考。因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。     一.PIX防火墙   ipaddressoutside.1..2      //设置PIX防火墙的外部*   ipaddressinside...1      //设置PIX防火墙的内部*   global.1..-.1..      //设置一个内部计算机与INTERNET   上计算机进行通信时所需的全局*池   nat.0.0.0      //允许网络*为.0.0.0   的网段*被PIX翻译成外部*   static.1....8.   //*工作站固定使用的外部*为.1..   conduit.1.. udp   .1.....      //允许从RTRA发送到到   *工作站的*日志包通过PIX防火墙   mailhost.1.....3      //允许从外部发起的对   邮件服务器的连接(.1..)   telnet..8.      //允许网络管理员通过   远程登录管理IPX防火墙   syslogfacility.7   sysloghost..8.      //在位于*工作站上的   日志服务器上记录所有事件日志     二.路由器RTRA     ----RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报*,如果有人攻入此路由器,管理可以立即被通知。     noservicetcp*all-servers   //阻止一些对路由器本身的攻击   loggingtrapdebugging   //强制路由器向*日志服务器   发送在此路由器发生的每一个事件,   包括被存取列表拒绝的包和路由器配置的改变;   这个动作可以作为对*管理员的早期预警,   预示有人在试图攻击路由器,或者已经攻入路由器,   正在试图攻击防火墙   logging.1..   //此*是*工作站的外部*,   路由器将记录所有事件到此   主机上enablesecretxxxxxxxxxxx     interfaceEthernet0   ipaddress.1.....0     interfaceSerial0   ipunnumberedethernet0   ipaccess-groupin      //保护PIX防火墙和HTTP/FTP   服务器以及防卫欺骗攻击(见存取列表)     access-listdenyip.1...0.0.anylog      //禁止任何显示为来源于路由器RTRA   和PIX防火墙之间的信息包,这可以防止欺骗攻击   access-listdenyipanyhost.1..2log      //防止对PIX防火墙外部接口的直接   攻击并记录到*日志服务器任何企图连接   PIX防火墙外部接口的事件r   access-listpermittcpany   .1...0.0.established   //允许已经建立的TCP会话的信息包通过   access-listpermittcpanyhost.1..3eqftp   //允许和FTP/HTTP服务器的FTP连接   access-listpermittcpanyhost.1..2eqftp-data   //允许和FTP/HTTP服务器的FTP数据连接   access-listpermittcpanyhost.1..2eqwww   //允许和FTP/HTTP服务器的HTTP连接   access-listdenyipanyhost.1..2log   //禁止和FTP/HTTP服务器的别的连接   并记录到*日志服务器任何   企图连接FTP/HTTP的事件   access-listpermitipany.1...0.0.   //允许其他预定在PIX防火墙   和路由器RTRA之间的流量     linevty   login   passwordxxxxxxxxxx   access-classin   //*可以远程登录到此路由器的IP*   access-listpermitip.1..   //只允许*工作站远程登录到此路由器,   当你想从INTERNET管理此路由器时,   应对此存取控制列表进行修改     三.路由器RTRB     ----RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口.     loggingtrapdebugging   logging..8.   //记录此路由器上的所有活动到   *工作站上的日志服务器,包括配置的修改     interfaceEthernet0   ipaddress......0   noipproxy-arp   ipaccess-groupin       access-listpermitudphost....0.0.   //允许通向*工作站的*日志信息   access-listdenyipanyhost...2log   //禁止所有别的从PIX防火墙发来的信息包   access-listpermittcphost...3   .0.0....eq*tp   //允许邮件主机和内部邮件服务器的SMTP邮件连接   access-listdenyiphost....0.0....   //禁止别的来源与邮件服务器的流量   access-listdenyipany....0.0.   //防止内部网络的信任*欺骗   access-listpermitip...0   0.0.0..0.0....   //允许所有别的来源于PIX防火墙   和路由器RTRB之间的流量     linevty   login   passwordxxxxxxxxxx   access-classin   //*可以远程登录到此路由器上的IP*     access-listpermitip..8.   //只允许*工作站远程登录到此路由器,   当你想从INTERNET管理此路由器时,   应对此存取控制列表进行修改

标签: cisco pix525防火墙各种模式的作用


本文链接地址:https://www.iopcc.com/jiadian/35323.html转载请保留说明!

上一篇:Cisco PIX 防火墙安装指南 (cisco防火墙配置教程)

下一篇:安全专家:Cisco PIX Syslog 配置说明 (安全专家招聘)

推荐内容:

安霸携手华域视觉助力智己汽车打造智能车灯系统 (安霸怎么样)

安霸携手华域视觉助力智己汽车打造智能车灯系统 (安霸怎么样)

}年月日——安霸(NASDAQ代码:AMBA,专注于AI视觉芯片的半导体公司),携手汽车照明与电子行业的先锋企业,华域视 ...

赛睿Rival 300S游戏鼠标拆解测评 (赛睿rival3和300s)

赛睿Rival 300S游戏鼠标拆解测评 (赛睿rival3和300s)

竞游戏鼠标,并且率先搭载了一颗与原相合作定制的TrueMove3光学传感器,可实现真正的1比1*,带来更加精准的*控表现 ...

Win10电脑鼠标间歇性卡顿如何维修?Win10鼠标间歇性卡顿的怎么修理 (win10鼠标移动没反应)

Win10电脑鼠标间歇性卡顿如何维修?Win10鼠标间歇性卡顿的怎么修理 (win10鼠标移动没反应)

会标出现了间歇性卡顿还蛮影响我们对于电脑的使用感,那么当我们遇到这种情况的时候应该如何维修呢?下面就和 ...

win10老出现蓝屏电脑修复提示_win10老出现蓝屏电脑修复提示怎么修理 (wind10老是蓝屏)

win10老出现蓝屏电脑修复提示_win10老出现蓝屏电脑修复提示怎么修理 (wind10老是蓝屏)

以在win*的实际使用中获得伟大的体验!但是在*的使用中不可避免地会出现各种各样的问题!最近,一些朋友回应说, ...

全球首款12TB机械硬盘——UltraStar He12

全球首款12TB机械硬盘——UltraStar He12

B依然都是稀罕物,这么弄下去被SSD固态硬盘全面甩开只是个时间问题。即便是发布了大容量新品,上市速度也是奇慢 ...

传供应商正为下半年0.75亿部iPhone 11做准备 (供应商site)

传供应商正为下半年0.75亿部iPhone 11做准备 (供应商site)

商现在正在为今年下半年的万部新款iPhone生产零部件,与去年同期水平变化不大。整理分享传供应商正为下半年0.75亿 ...

华为MateRS保时捷规划诠释“超级旗舰”新概念 (华为保时捷40rs)

华为MateRS保时捷规划诠释“超级旗舰”新概念 (华为保时捷40rs)

定位器不仅推出了全新系列旗舰新*,更是意外拿出了超级旗舰——华为MateRS保时捷规划,无论工艺、规划,还是用料 ...

手机越来越卡如何维修?安卓手机如何设置更加流畅 (手机越卡怎么办)

手机越来越卡如何维修?安卓手机如何设置更加流畅 (手机越卡怎么办)

得定位器运行起来越来越卡,觉得自己该更换*了,其实不然,只要我们稍微做一些设置和*作就可以大幅度的提升*的 ...

固态硬盘如何正确使用? (固态硬盘如何正确使用)

固态硬盘如何正确使用? (固态硬盘如何正确使用)

的读写速度以及显著的提高电脑运行速度倍受广大消费者钟爱。固态硬盘使用方式与之前HDD基本一样,但是在一些细 ...

四个微信超实用技巧!原来微信还有这种操作! (四个微信昵称)

四个微信超实用技巧!原来微信还有这种操作! (四个微信昵称)

技巧了。今天要说的是*兄为大家挑选的四个超实用的微信小技巧,*兄拍胸脯,此类高效率技巧,一旦用上就会爱不释 ...

Copyright © 2023 武汉电脑维修 All Rights Reserved.

鄂ICP备2023003026号

免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢!邮箱: opceo@qq.com