偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

如何進(jìn)行CISCO PIX防火墻網(wǎng)絡(luò)安全配置

安全
CISCO PIX防火墻要求有一個(gè)路由器連接到外部網(wǎng)絡(luò),如附圖所示。PIX有兩個(gè)ETHERNET接口,一個(gè)用于連接內(nèi)部局域網(wǎng),另一個(gè)用于連接外部路由器。外部接口有一組外部地址,使用他們來與外部網(wǎng)絡(luò)通信。

防火墻是互聯(lián)網(wǎng)安全最早的、也是最常用的技術(shù)。企業(yè)為了保證自己的內(nèi)網(wǎng)安全,通常會設(shè)置專用的防火墻對自身進(jìn)行保護(hù)。本文文章講述了CISCO PIX防火墻如何通過路由器向外部連接,對企業(yè)互聯(lián)網(wǎng)進(jìn)行篩選和保護(hù)。

一.CISCO PIX防火墻設(shè)置

ip address outside 131.1.23.2 

//設(shè)置PIX防火墻的外部地址 

ip address inside 10.10.254.1 

//設(shè)置PIX防火墻的內(nèi)部地址 

global 1 131.1.23.10-131.1.23.254 

//設(shè)置一個(gè)內(nèi)部計(jì)算機(jī)與INTERNET 

上計(jì)算機(jī)進(jìn)行通信時(shí)所需的全局地址池 

nat 1 10.0.0.0 

//允許網(wǎng)絡(luò)地址為10.0.0.0 

的網(wǎng)段地址被PIX翻譯成外部地址 

static 131.1.23.11 10.14.8.50 

//網(wǎng)管工作站固定使用的外部地址為131.1.23.11 

conduit 131.1.23.11 514 udp 

131.1.23.1 255.255.255.255 

//允許從RTRA發(fā)送到到 

網(wǎng)管工作站的系統(tǒng)日志包通過PIX防火墻 

mailhost 131.1.23.10 10.10.254.3 

//允許從外部發(fā)起的對 

郵件服務(wù)器的連接(131.1.23.10) 

telnet 10.14.8.50 

//允許網(wǎng)絡(luò)管理員通過 

遠(yuǎn)程登錄管理IPX防火墻 

syslog facility 20.7 

syslog host 10.14.8.50 

//在位于網(wǎng)管工作站上的 

日志服務(wù)器上記錄所有事件日志

二.路由器RTRA設(shè)置

RTRA是外部防護(hù)路由器,它必須保護(hù)CISCO PIX防火墻免受直接攻擊,保護(hù)FTP/HTTP服務(wù)器,同時(shí)作為一個(gè)警報(bào)系統(tǒng),如果有人攻入此路由器,管理可以立即被通知。

no service tcp small-servers 

//阻止一些對路由器本身的攻擊 

logging trap debugging 

//強(qiáng)制路由器向系統(tǒng)日志服務(wù)器 

發(fā)送在此路由器發(fā)生的每一個(gè)事件, 

包括被存取列表拒絕的包和路由器配置的改變; 

這個(gè)動作可以作為對系統(tǒng)管理員的早期預(yù)警, 

預(yù)示有人在試圖攻擊路由器,或者已經(jīng)攻入路由器, 

正在試圖攻擊防火墻 

logging 131.1.23.11 

//此地址是網(wǎng)管工作站的外部地址, 

路由器將記錄所有事件到此 

主機(jī)上enable secret xxxxxxxxxxx

interface Ethernet 0 

ip address 131.1.23.1 255.255.255.0

interface Serial 0 

ip unnumbered ethernet 0 

ip access-group 110 in 

//保護(hù)PIX防火墻和HTTP/FTP 

服務(wù)器以及防衛(wèi)欺騙攻擊(見存取列表) 

access-list 110 deny ip 131.1.23.0 0.0.0.255 any log 

// 禁止任何顯示為來源于路由器RTRA 

和PIX防火墻之間的信息包,這可以防止欺騙攻擊 

access-list 110 deny ip any host 131.1.23.2 log 

//防止對PIX防火墻外部接口的直接 

攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接 

PIX防火墻外部接口的事件r 

access-list 110 permit tcp any 

131.1.23.0 0.0.0.255 established 

//允許已經(jīng)建立的TCP會話的信息包通過 

access-list 110 permit tcp any host 131.1.23.3 eq ftp 

//允許和FTP/HTTP服務(wù)器的FTP連接 

access-list 110 permit tcp any host 131.1.23.2 eq ftp-data 

//允許和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接 

access-list 110 permit tcp any host 131.1.23.2 eq www 

//允許和FTP/HTTP服務(wù)器的HTTP連接 

access-list 110 deny ip any host 131.1.23.2 log 

//禁止和FTP/HTTP服務(wù)器的別的連接 

并記錄到系統(tǒng)日志服務(wù)器任何 

企圖連接FTP/HTTP的事件 

access-list 110 permit ip any 131.1.23.0 0.0.0.255 

//允許其他預(yù)定在PIX防火墻 

和路由器RTRA之間的流量

line vty 0 4 

login 

password xxxxxxxxxx 

access-class 10 in 

//限制可以遠(yuǎn)程登錄到此路由器的IP地址 

access-list 10 permit ip 131.1.23.11 

//只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器, 

當(dāng)你想從INTERNET管理此路由器時(shí), 

應(yīng)對此存取控制列表進(jìn)行修改

三. 路由器RTRB設(shè)置

logging trap debugging 

logging 10.14.8.50 

//記錄此路由器上的所有活動到 

網(wǎng)管工作站上的日志服務(wù)器,包括配置的修改

interface Ethernet 0 

ip address 10.10.254.2 255.255.255.0 

no ip proxy-arp 

ip access-group 110 in

access-list 110 permit udp host 10.10.254.0 0.0.0.255 

//允許通向網(wǎng)管工作站的系統(tǒng)日志信息 

access-list 110 deny ip any host 10.10.254.2 log 

//禁止所有別的從PIX防火墻發(fā)來的信息包 

access-list permit tcp host 10.10.254.3 

10.0.0.0 0.255.255.255 eq smtp 

//允許郵件主機(jī)和內(nèi)部郵件服務(wù)器的SMTP郵件連接 

access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255 

//禁止別的來源與郵件服務(wù)器的流量 

access-list deny ip any 10.10.254.0 0.0.0.255 

//防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙 

access-list permit ip 10.10.254.0 

0.0.0.255 10.0.0.0 0.255.255.255 

//允許所有別的來源于PIX防火墻 

和路由器RTRB之間的流量

line vty 0 4 

login 

password xxxxxxxxxx 

access-class 10 in 

//限制可以遠(yuǎn)程登錄到此路由器上的IP地址

access-list 10 permit ip 10.14.8.50 

//只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器, 

當(dāng)你想從INTERNET管理此路由器時(shí), 

應(yīng)對此存取控制列表進(jìn)行修改 

按以上設(shè)置配置好CISCO PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口,也不可能判斷出內(nèi)部任何一臺主機(jī)的IP地址,即使告訴了內(nèi)部主機(jī)的IP地址,要想直接對它們進(jìn)行Ping和連接也是不可能的。

這樣就可以對整個(gè)內(nèi)部網(wǎng)進(jìn)行有效的保護(hù),防止外部的非法攻擊。

 

【編輯推薦】

  1. Web應(yīng)用防火墻的功能與價(jià)值
  2. xss攻擊 Web安全新挑戰(zhàn)
  3. 百家爭鳴:web攻擊與web防護(hù)
  4. Web應(yīng)用防火墻的主要特性
  5. 防止入侵從Web應(yīng)用安全漏洞做起
責(zé)任編輯:張啟峰 來源: IT168
相關(guān)推薦

2010-09-14 10:30:55

Cisco PIX防火

2010-08-03 09:39:45

路由器

2010-08-13 13:40:34

2010-08-03 13:14:10

路由器配置

2010-09-30 17:23:35

2010-09-10 14:25:30

Cisco PIX防火

2010-09-14 15:13:15

2009-12-16 15:29:06

2012-08-01 10:17:10

2010-09-14 14:30:29

2009-07-09 23:01:02

Cisco啟動密鑰

2010-03-24 14:23:11

CentOS防火墻

2024-01-12 16:06:55

2011-08-19 13:24:24

2010-08-05 14:22:35

2025-04-11 08:25:00

防火墻網(wǎng)絡(luò)邊界網(wǎng)絡(luò)安全

2009-12-01 17:13:35

2011-03-10 13:18:47

防火墻Cisco

2010-09-10 13:48:01

2024-11-04 00:25:57

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號