[网络][CISCO]Cisco-PIX配置详解

Cisco PIX防火墙配置指南

任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,使内部网络与Internet之间或与其他外部网络互相隔离,并限制网络互访,从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。

在众多的企业级主流防火墙中,Cisco PIX防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号:PIX506、515、520、525、535。其中PIX535是PIX 500系列中最新、功能最强大的一款,适用于大型的ISP等服务提供商。然而,PIX特有的OS操作系统使得大多数管理是通过命令行来实现的,这给初学者带来不便。本文将通过实例介绍如何配置Cisco PIX防火墙。

防火墙的物理特性

防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口。当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:

  • 内部区域(内网):企业内部网络或其一部分,是互连网络的信任区域,受到防火墙的保护。
  • 外部区域(外网):通常指Internet或非企业内部网络,是互连网络中不被信任的区域。外部区域想要访问内部区域的主机和服务时,需要通过防火墙实现有限制的访问。
  • 停火区(DMZ):一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机,通常放置Web服务器、Mail服务器等。停火区对外部用户通常是可访问的,但不允许他们访问企业内部网络。注意:2个接口的防火墙是没有停火区的。

由于PIX535在企业级别不具有普遍性,下面主要说明PIX525在企业网络中的应用。

管理访问模式

PIX防火墙提供4种管理访问模式:

  1. 非特权模式:开机自检后处于此模式,系统显示为 pixfirewall>
  2. 特权模式:输入 enable 进入特权模式,可以改变当前配置,显示为 pixfirewall#
  3. 配置模式:输入 configure terminal 进入此模式,绝大部分的系统配置都在这里进行,显示为 pixfirewall(config)#
  4. 监视模式:在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。可以更新操作系统映像和口令恢复,显示为 monitor>

配置步骤

配置PIX防火墙有6个基本命令:nameifinterfaceip addressnatglobalroute。以下是配置的基本步骤:

1. 配置防火墙接口的名字,并指定安全级别(nameif)

Pix525(config)# nameif ethernet0 outside security0
Pix525(config)# nameif ethernet1 inside security100
Pix525(config)# nameif dmz security50

提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100。安全级别取值范围为1~99,数字越大安全级别越高。

2. 配置以太口参数(interface)

Pix525(config)# interface ethernet0 auto
Pix525(config)# interface ethernet1 100full
Pix525(config)# interface ethernet1 100full shutdown

注:shutdown选项表示关闭这个接口,若启用接口去掉该选项。

3. 配置内外网卡的IP地址(ip address)

Pix525(config)# ip address outside 61.144.51.42 255.255.255.248
Pix525(config)# ip address inside 192.168.0.1 255.255.255.0

4. 指定要进行转换的内部地址(nat)

Pix525(config)# nat (inside) 1 0 0

例:表示启用nat,内网的所有主机都可以访问外网。

5. 指定外部地址范围(global)

Pix525(config)# global (outside) 1 61.144.51.42-61.144.51.48

6. 设置指向内网和外网的静态路由(route)

Pix525(config)# route outside 0 0 61.144.51.168 1

高级配置

a. 配置静态IP地址翻译(static)

Pix525(config)# static (inside, outside) 61.144.51.62 192.168.0.8

b. 管道命令(conduit)

Pix525(config)# conduit permit tcp host 192.168.0.8 eq www any

c. 配置fixup协议

Pix525(config)# fixup protocol ftp 21

d. 设置telnet

Pix525(config)# telnet local_ip [netmask]

配置实例

welcome to the pix firewall type help or ’?’ for a list of available commands.
pix525> en
password: 
pix525# sh config : saved : pix version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 7y051hhccoirtsqz encrypted
hostname pix525
domain-name 123.com
fixup protocol ftp 21
fixup protocol http 80
global (outside) 1 61.144.51.46
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1

维护命令

  • show interface:查看端口状态
  • show static:查看静态地址映射
  • show ip:查看接口IP地址
  • ping outside | inside ip_address:确定连通性

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/54092.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vue:watchEffect的作用与性质

目录 一.watchEffect的作用 二.watchEffect的性质 三. watch对比watchEffect 四.watchEffect的使用 在 Vue 中,watchEffect 是一个用于副作用处理的函数,它是 Vue 3 Composition API 的一部分。它的主要作用是自动追踪其内部依赖的响应式状态&#x…

[机器学习]决策树

1 决策树简介 2 信息熵 3 ID3决策树 3.1 决策树构建流程 3.2 决策树案例 4 C4.5决策树 5 CART决策树(分类&回归) 6 泰坦尼克号生存预测案例 import pandas as pd from sklearn.model_selection import train_test_split from sklearn.tree import …

链表的快速排序(C/C++实现)

一、前言 大家在做需要排名的项目的时候,需要把各种数据从高到低排序。如果用的快速排序的话,处理数组是十分简单的。因为数组的存储空间的连续的,可以通过下标就可以简单的实现。但如果是链表的话,内存地址是随机分配的&#xf…

【H2O2|全栈】关于CSS(2)CSS基础(二)

目录 CSS基础知识 前言 准备工作 选择器的组合 盒模型 示例网页代码 后代选择器 亲代选择器 相邻兄弟选择器 后续兄弟选择器 多个元素选择器 通配符选择器 优先级 其他应用 伪类 锚链接的属性 列表的属性 list-style-type list-style-position list-style…

react 事件处理

概述 Web应用中,事件处理是重要的一环,事件处理将用户的操作行为转换为相应的逻辑执行或界面更新。在React中,处理事件响应的方式有多种,本文将详细介绍每一种处理方式的用法、使用场景和优缺点。 如果原生DOM有一个监听事件&…

QGis二次开发 —— 3、程序加载栅格tif与矢量shp文件可进行切换控制,可进行导出/导入工程(附源码)

效果 功能说明 软件可同时加载.tif栅格图片与.shp矢量图片、加载图片后可进行自由切换查看图层、可对加载的图片进行关闭 关闭后清空图层、可对加载的图片进行导出.qgs的QGIS工程、可对.qgs的QGis工程导入并导入后可进行自由切换查看图层。 源码 注意: 在加载tif栅格文件后会在…

C语言野指针

什么是野指针 野指针(Wild Pointer)在C语言中指的是未初始化的指针,即它没有被显式地指向任何有效的内存地址。使用野指针可能会导致程序访问到非法或未知的内存区域,从而引发不可预测的行为和错误。 为了避免出现野指针问题&am…

动态ip切换过快,会引起我的账号下次登录异常吗

在网络世界中,动态IP地址的使用为用户提供了灵活性和隐私保护。然而,频繁且快速地切换IP地址可能会引起一些安全问题,尤其是在涉及到账号登录时。本文将探讨动态IP切换过快是否会导致账号登录异常,以及如何平衡IP切换的速度与账号…

Error: ENOENT: no such file or directory, uv_cwd

鸿蒙 Harmony 的工程在进行构建的时候遇到这个问题:Error: ENOENT: no such file or directory, uv_cwd 详细报错其实是在 node 里面,因此在网络上主要有以下几种解决方式 如果是在终端运行的话,可以重启终端,看是否解决暴力终止…

el-table 如何实现行列转置?

在某些需求里需要用到 行列转置 的表格,但 el-table 提供的基本表格是不支持行列转置的,这样就需要对这个表格进行二次开发。下面来看具体实现的效果: 具体实现方式 基本原理就是对原有的可渲染的数据结构进行处理,表头与表格数…

计算机的错误计算(九十三)

摘要 探讨 log(y,x) 即以 x 为底 y 的对数的计算精度问题。 Log(y,x)运算是指 x 为底 y 的对数。 例1. 计算 log(123667.888, 0.999999999999999) . 不妨在Python中计算,则有: 若在 Excel 单元格中计算,则有几乎同样的输出: 然…

模型部署基础

神经网络的模型部署是将训练好的神经网络模型应用到实际系统中,以实现预测、分类、推荐等任务的过程。下图展示了模型从训练到部署的整个流程: 1.模型部署的平台 在线服务器端部署 在线服务器端部署适用于处理大模型、需要精度优先的应用场景&#xff…

CSCC2024数据库内核赛道Profile记录

同学参加CSCC2024数据库系统赛道比赛,我和他一起研究了一些优化的case,最后成功拿到全国2/325。在这里记录一下我们讨论优化过的问题(建议把源码下下来边读边搜代码,否则会晕) 行锁占用内存过大 Q:TPCC测…

liunx 计划任务

任务脚本 #!/bin/bash# 配置项 # Oracle 安装路径,根据实际情况修改,查看安装地址:cat /etc/oratab ORACLE_HOME/home/database/oracle/product/11.2.0 # Oracle 实例名,根据实际情况修改 ORACLE_SID # 数据库用户名 USER # 数据…

OpenCV运动分析和目标跟踪(1)累积操作函数accumulate()的使用

操作系统:ubuntu22.04 OpenCV版本:OpenCV4.9 IDE:Visual Studio Code 编程语言:C11 算法描述 将一个图像添加到累积图像中。 该函数将 src 或其部分元素添加到 dst 中: dst ( x , y ) ← dst ( x , y ) src ( x , y ) if mask…

网络基础,协议,OSI分层,TCP/IP模型

网络的产生是数据交流的必然趋势,计算机之间的独立的个体,想要进行数据交互,一开始是使用磁盘进行数据拷贝,可是这样的数据拷贝效率很低,于是网络交互便出现了; 1.网络是什么 网络,顾名思义是…

使用Serilog在.NET应用程序中写日志文件

在开发.NET应用程序时,良好的日志系统是至关重要的。它可以帮助我们跟踪应用程序的运行情况,更好地理解应用程序的行为,以及在出现问题时进行调试。今天,我要介绍的是一个强大且易于使用的日志库——Serilog。 什么是Serilog&…

串口接收不到数据之电阻虚焊bug分析思路

单片机和EC移远通信模块进行通信,相同的代码运行在相同的硬件上,但是一个能联网,一个因为没有EC的应答连不上网。 开始分析,排除软件问题,给EC模块发为什么没应答? 1.发送失败 2.接收失败 排除情况2&#x…

汽车租赁系统1.0版本

汽车租赁系统1.0版本比较简陋,以后还会有2.0、3.0……就像《我爱发明》里面的一代机器二代机器,三代机器一样,是一个迭代更新的过程(最近比较忙,可能会很久),这个1.0版本很简陋,也请…

Python+Pytest框架,“api_key.py文件怎么编写“?

1、在"api_keyword"文件夹下新增"api_key.py" import allure import requests import json import jsonpath from deepdiff import DeepDifffrom config import *allure.title("测试用例执行") class ApiKey:allure.step(">>>:开…