配置pix防火墙
niyh 2003-08-24 04:16:37 下 文 介 绍 一 个PIX 防 火 墙 实 际 配 置 案 例, 因 为 路 由 器 的 配 置 在 安 全 性 方 面 和PIX 防 火 墙 是 相 辅 相 成 的, 所 以 路 由 器 的 配 置 实 例 也 一 并 列 出。
**PIX 防 火 墙
1.设 置PIX 防 火 墙 的 外 部 地 址:
ip address outside 131.1.23.2
2.设 置PIX 防 火 墙 的 内 部 地 址:
ip address inside 10.10.254.1
3.设 置 一 个 内 部 计 算 机 与Internet 上 计 算 机 进 行 通 信 时 所 需 的 全 局 地 址 池:
global 1 131.1.23.10-131.1.23.254
4.允 许 网 络 地 址 为10.0.0.0 的 网 段 地 址 被PIX 翻 译 成 外 部 地 址:
nat 1 10.0.0.0
5.网 管 工 作 站 固 定 使 用 的 外 部 地 址 为131.1.23.11:
static 131.1.23.11 10.14.8.50
6.允 许 从RTRA 发 送 到 到 网 管 工 作 站 的 系 统 日 志 包 通 过PIX 防 火 墙:
conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255
7.允 许 从 外 部 发 起 的 对 邮 件 服 务 器 的 连 接(131.1.23.10):
mailhost 131.1.23.10 10.10.254.3
8.允 许 网 络 管 理 员 通 过 远 程 登 录 管 理IPX 防 火 墙:
telnet 10.14.8.50
9.在 位 于 网 管 工 作 站 上 的 日 志 服 务 器 上 记 录 所 有 事 件 日 志:
syslog facility 20.7
syslog host 10.14.8.50
** 路 由 器 RTRA
----RTRA 是 外 部 防 护 路 由 器, 它 必 须 保 护PIX 防 火 墙 免 受 直 接 攻 击, 保 护FTP/HTTP 服 务 器, 同 时 作 为 一 个 警 报 系 统, 如 果 有 人 攻 入 此 路 由 器, 管 理 可 以 立 即 被 通 知。
1.阻 止 一 些 对 路 由 器 本 身 的 攻 击:
no service tcp small-servers
2.强 制 路 由 器 向 系 统 日 志 服 务 器 发 送 在 此 路 由 器 发 生 的 每 一 个 事 件, 包 括 被 存 取 列 表 拒 绝 的 包 和 路 由 器 配 置 的 改 变; 这 个 动 作 可 以 作 为 对 系 统 管 理 员 的 早 期 预 警, 预 示 有 人 在 试 图 攻 击 路 由 器, 或 者 已 经 攻 入 路 由 器, 正 在 试 图 攻 击 防 火 墙:
logging trap debugging
3.此 地 址 是 网 管 工 作 站 的 外 部 地 址, 路 由 器 将 记 录 所 有 事 件 到 此 主 机 上:
logging 131.1.23.11
4.保 护PIX 防 火 墙 和HTTP/FTP 服 务 器 以 及 防 卫 欺 骗 攻 击( 见 存 取 列 表):
enable secret xxxxxxxxxxx
interface Ethernet 0
ip address 131.1.23.1 255.255.255.0
interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in
5.禁 止 任 何 显 示 为 来 源 于 路 由 器RTRA 和PIX 防 火 墙 之 间 的 信 息 包, 这 可 以 防 止 欺 骗 攻 击:
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
6.防 止 对PIX 防 火 墙 外 部 接 口 的 直 接 攻 击 并 记 录 到 系 统 日 志 服 务 器 任 何 企 图 连 接PIX 防 火 墙 外 部 接 口 的 事 件:
access-list 110 deny ip any host 131.1.23.2 log
7.允 许 已 经 建 立 的TCP 会 话 的 信 息 包 通 过:
access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
8.允 许 和FTP/HTTP 服 务 器 的FTP 连 接:
access-list 110 permit tcp any host 131.1.23.3 eq ftp
9.允 许 和FTP/HTTP 服 务 器 的FTP 数 据 连 接:
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
10.允 许 和FTP/HTTP 服 务 器 的HTTP 连 接:
access-list 110 permit tcp any host 131.1.23.2 eq www
11.禁 止 和FTP/HTTP 服 务 器 的 别 的 连 接 并 记 录 到 系 统 日 志 服 务 器 任 何 企 图 连 接FTP/HTTP 的 事 件:
access-list 110 deny ip any host 131.1.23.2 log
12.允 许 其 他 预 定 在PIX 防 火 墙 和 路 由 器RTRA 之 间 的 流 量:
access-list 110 permit ip any 131.1.23.0 0.0.0.255
13.限 制 可 以 远 程 登 录 到 此 路 由 器 的IP 地 址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
14.只 允 许 网 管 工 作 站 远 程 登 录 到 此 路 由 器, 当 你 想 从Internet 管 理 此 路 由 器 时, 应 对 此 存 取 控 制 列 表 进 行 修 改:
access-list 10 permit ip 131.1.23.11
** 路 由 器 RTRB
----RTRB 是 内 部 网 防 护 路 由 器, 它 是 你 的 防 火 墙 的 最 后 一 道 防 线, 是 进 入 内 部 网 的 入 口。
1.记 录 此 路 由 器 上 的 所 有 活 动 到 网 管 工 作 站 上 的 日 志 服 务 器, 包 括 配 置 的 修 改:
logging trap debugging
logging 10.14.8.50
2.允 许 通 向 网 管 工 作 站 的 系 统 日 志 信 息:
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
3. 禁 止 所 有 别 的 从PIX 防 火 墙 发 来 的 信 息 包:
access-list 110 deny ip any host 10.10.254.2 log
4.允 许 邮 件 主 机 和 内 部 邮 件 服 务 器 的SMTP 邮 件 连 接:
access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp
5.禁 止 别 的 来 源 与 邮 件 服 务 器 的 流 量:
access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255
6. 防 止 内 部 网 络 的 信 任 地 址 欺 骗:
access-list deny ip any 10.10.254.0 0.0.0.255
7.允 许 所 有 别 的 来 源 于PIX 防 火 墙 和 路 由 器RTRB 之 间 的 流 量:
access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255
8.限 制 可 以 远 程 登 录 到 此 路 由 器 上 的IP 地 址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
9.只 允 许 网 管 工 作 站 远 程 登 录 到 此 路 由 器, 当 你 想 从Internet 管 理 此 路 由 器 时, 应 对 此 存 取 控 制 列 表 进 行 修 改:
access-list 10 permit ip 10.14.8.50
----按 以 上 设 置 配 置 好PIX 防 火 墙 和 路 由 器 后,PIX 防 火 墙 外 部 的 攻 击 者 将 无 法 在 外 部 连 接 上 找 到 可 以 连 接 的 开 放 端 口, 也 不 可 能 判 断 出 内 部 任 何 一 台 主 机 的IP 地 址, 即 使 告 诉 了 内 部 主 机 的IP 地 址, 要 想 直 接 对 它 们 进 行Ping 和 连 接 也 是 不 可 能 的。 这 样 就 可 以 对 整 个 内 部 网 进 行 有 效 的 保 护。
下面介绍理论。待续……