PIX防火墙列介绍(四).ppt

  1. 1、本文档共19页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
PIX防火墙列介绍(四)

网络拓扑 Step1:标识端口 nameif ethernet0 outside security0 //e0口接入外部网络,安全级别最低 nameif ethernet1 inside security100 //e1口接入内部网络,安全级别最高 nameif ethernet2 mail security20 //e2口接入mail服务器网络,安全级别20 nameif ethernet3 erp security80 //e3口接入erp服务器网络,安全级别80 Step2:配置IP地址 ip address outside ip address inside ip address mail ip address erp Step3:激活接口 interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto interface ethernet3 auto Step4:nat nat (inside) 1 0 0 内部用户对outside、mail、erp这些较低安全级别的接口上启动连接 如果只有inside和outside两个接口,直接输入nat 1 0 0 nat(inside) 1 0 48 内部用户,只允许7-2(subnet:6;broadcast:3)6个主机进行连接 nat (erp) 1 0 0 使erp区域的用户对outside、mail接口上启动连接 nat (mail) 1 0 0 使mail区域的用户对outside接口上启动连接 Step5:global global(outside) 1 0- 0 global(outside) 1 Step6:static 目标: inside中的MCU(7)映射到公网地址0 mail中的mail 服务器要映射到公网1 erp中的erp服务器要映射到公网2 注意:static的地址不能使用global地址池中的地址。 static(inside,ouside)0 7 如果只有inside和outside,只需配置static 1 7 static(mail,ouside)1 static(erp,ouside) 2 Step7:conduit 目标: 只允许公网终端访问inside中的gk进行注册访问 只允许公网部分主机访问mail中的服务器进行访问 只允许公网主机访问erp中的服务器进行注册访问 conduit permit udp host 0 eq 1719 any conduit permit tcp host 1 eq snmp 211.96.102. 0 conduit permit tcp host 2 any Step8:route route if_name ip_address netmask gateway_ip [metric] ip_address:内部和外部网络地址。用 指定缺省路由,可缩写为0 route outside 1 问题: “网络拓扑”中,172.96.x.x子网,有一台主机0要在防火墙的外部接口上做静态映射为1,分别在防火墙和路由器上,如何配置路由? 解读配置 PIX Version 6.0(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 mail security20 nameif ethernet3 erp security80 //定义接口 enable password 8Ry2YjIyt7RRXU24 encrypted //进入特权模式的密码 passwd 2KFQnbNIdI.2KYOU encrypted //telnet的密码 hostname ciscopix //配置防火墙的名字 解读配置(续) fixup protocol ftp 21 fixup protocol http 80 …… no fixup protocol sip 5060 no fixup protocol h323 //fixup protocol 允许查看、改变、允许、取消相关协议在一定端口通过防火墙。端口号可以改变,但一旦改变后,以前的绑定端口无效。 fixup protocol 是全局的,对入和出连接都有效。 //例如将ftp的协议端口由缺省的改为2011,那么所有ftp的连接必须在2011

文档评论(0)

sm80033 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档