- 1、本文档共19页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
PIX防火墙列介绍(四)
网络拓扑 Step1:标识端口 nameif ethernet0 outside security0 //e0口接入外部网络,安全级别最低 nameif ethernet1 inside security100 //e1口接入内部网络,安全级别最高 nameif ethernet2 mail security20 //e2口接入mail服务器网络,安全级别20 nameif ethernet3 erp security80 //e3口接入erp服务器网络,安全级别80 Step2:配置IP地址 ip address outside ip address inside ip address mail ip address erp Step3:激活接口 interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto interface ethernet3 auto Step4:nat nat (inside) 1 0 0 内部用户对outside、mail、erp这些较低安全级别的接口上启动连接 如果只有inside和outside两个接口,直接输入nat 1 0 0 nat(inside) 1 0 48 内部用户,只允许7-2(subnet:6;broadcast:3)6个主机进行连接 nat (erp) 1 0 0 使erp区域的用户对outside、mail接口上启动连接 nat (mail) 1 0 0 使mail区域的用户对outside接口上启动连接 Step5:global global(outside) 1 0- 0 global(outside) 1 Step6:static 目标: inside中的MCU(7)映射到公网地址0 mail中的mail 服务器要映射到公网1 erp中的erp服务器要映射到公网2 注意:static的地址不能使用global地址池中的地址。 static(inside,ouside)0 7 如果只有inside和outside,只需配置static 1 7 static(mail,ouside)1 static(erp,ouside) 2 Step7:conduit 目标: 只允许公网终端访问inside中的gk进行注册访问 只允许公网部分主机访问mail中的服务器进行访问 只允许公网主机访问erp中的服务器进行注册访问 conduit permit udp host 0 eq 1719 any conduit permit tcp host 1 eq snmp 211.96.102. 0 conduit permit tcp host 2 any Step8:route route if_name ip_address netmask gateway_ip [metric] ip_address:内部和外部网络地址。用 指定缺省路由,可缩写为0 route outside 1 问题: “网络拓扑”中,172.96.x.x子网,有一台主机0要在防火墙的外部接口上做静态映射为1,分别在防火墙和路由器上,如何配置路由? 解读配置 PIX Version 6.0(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 mail security20 nameif ethernet3 erp security80 //定义接口 enable password 8Ry2YjIyt7RRXU24 encrypted //进入特权模式的密码 passwd 2KFQnbNIdI.2KYOU encrypted //telnet的密码 hostname ciscopix //配置防火墙的名字 解读配置(续) fixup protocol ftp 21 fixup protocol http 80 …… no fixup protocol sip 5060 no fixup protocol h323 //fixup protocol 允许查看、改变、允许、取消相关协议在一定端口通过防火墙。端口号可以改变,但一旦改变后,以前的绑定端口无效。 fixup protocol 是全局的,对入和出连接都有效。 //例如将ftp的协议端口由缺省的改为2011,那么所有ftp的连接必须在2011
您可能关注的文档
- NC7SZ1P5X,NC7SZ14M5X,NC7SZ14M5,规格书,Datasheet 资料.pdf
- NC7SZ17P6X,NC7SZ157P6X,NC7SZ157P6X,NC7SZ157L6X,NC7SZ157FHX, 规格书,Datasheet 资料.pdf
- NEC_Dtrm_Series_I_UserGuide 说明书.pdf
- NaGdF4Yb3+,H03+与GdF3_Yb3+,H03+纳米材料的合成、形貌控制与发光性质 - 副本.pdf
- Next fontiers for lean 精益生产下一代前沿.pdf
- NC7SZ32P6X, 规格书,Datasheet 资料.pdf
- Neutrio 880M 操作手册.pdf
- nc8000明书.pdf
- No2波动方答案.pdf
- new VD 说明书A(Page13-24).pdf
- 2024年中图版七年级地理下册月考试卷851.doc
- 2024年上教版九年级语文上册阶段测试试卷597.doc
- 2024年外研版三年级起点选择性必修2物理上册阶段测试试卷551.doc
- 2024年鲁人新版七年级历史上册阶段测试试卷718.doc
- 2024年鲁人版六年级英语上册阶段测试试卷449.doc
- 2024年外研版必修1物理下册阶段测试试卷840.doc
- 2024年人教五四新版选择性必修1地理上册阶段测试试卷833.doc
- 2024年北师大版八年级物理下册月考试卷606.doc
- 2024年湘教版选修2地理下册阶段测试试卷135.doc
- 2024年粤人版四年级英语上册阶段测试试卷899.doc
文档评论(0)