防火墙配置3
PIX防火墙命令集==============
Aaa 允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+或RADIUS用户认证、授权和帐户
Aaa-server指定一个AAA服务器
Access-group 将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口
Access-list创建一个访问列表
Alias管理双向NAT中的重叠地址
Arp改变或查看ARP缓存,设置超时值
Auth-prompt改变AAA的提示文本
Ca配置PIX防火墙和CA的交互
Clock设置PIX防火墙时钟以供PIX防火墙系统日志服务器和PKI协议使用
Conduit为向内连接添加、删除或显示通过防火墙的管道
Configure清除或融合当前配置与软盘或闪存中的配置。进入配置模式或查看当前配置
Crypto dynamic-map创建、查看或删除一个动态加密映射项。
Crypto ipsec创建、查看或删除与加密相关的全局值
Crypto map 创建、查看或删除一个动态加密映射项,也用来删除一个加密映射集
Debug通过PIX防火墙调试信息包或ICMP轨迹。
Disable退出特权模式并返回到非特权模式
Domain_name改变IPSec域名
Enable启动特权模式
Enable password设置特权模式的口令
Exit退出访问模式
Failover改变或查看到可选failover特性的访问
Filter允许或禁止向外的URL或HTML对像过滤
Fixup protocol改变、允许、禁止或列出一个PIX防火墙应用的特性
Flashfs清除闪存或显示闪存扇区大小
Floodguard允许或禁止洪泛(FLOOD)保护以防止洪泛攻击
Help显示帮助信息
Global从一个全局地址池中创建或删除项
Hostname改变PIX防火墙命令行提示中的主机名
Interface标示网络接口的速度和双工属性
Ip为本地池和网络接口标示地址
Ipsec配置IPSEC策略
Isakmp协商IPSEC策略联系并允许IPSEC安全通信
Kill终止一个TELNET会话
Logging允许或禁止系统日志和SNMP记录
Mtu为一个接口指定MTU(最大流量单元)
Name/names关联一个名称和一个IP地址
Nameif命名接口并分配安全等级
Nat联系一个网络和一个全局IP地址池
Outbound/apply创建一个访问列表用于控制因特网
Pager使能或禁止屏幕分页
Passwd为TELNET和PIX管理者访问防火墙控制台配置口令
Perfmon浏览性能信息
Ping决定在PIX防火墙上其他的IP地址是否可见
Quit退出配置或特权模式
Reload重新启动或重新加载配置
Rip改变RIP设置
Route为指定的接口输入一条静态或缺省的路由
Service复位向内连接
Session访问一个嵌入式的ACCESSPRO路由器控制台
Show查看命令信息
Show blocks/clear blocks显示系统缓冲区利用情况
Show checksum显示配置校验和
Show conn列出所有的活跃连接
Show history显示前面输入的行
Show interface显示接口配置
Show memory显示系统内存的使用情况
Show processes显示进程
Show tech-support查看帮助技术支持分析员诊断问题的信息
Show traffic显示接口的发送和接收活动
Show uauth未知(我没搞过,嘿嘿)
Show version浏览PIX防火墙操作信息
Show xlate查看地址转换信息
Snmp-server提供SNMP事件信息
Static将局部地址映射为全局地址
Sysopt改变PIX防火墙系统项
Terminal改变控制台终端设置
Timeout设置空闲时间的最大值
Uauth(clear and show)将一个用户的所有授权高速缓存删除
url-cache缓存响应URL过滤对WebSENSE服务器的请求
url-server为使用folter命令指派一个运行WebSENSE的服务器
virtual访问PIX防火墙虚拟服务器
who显示PIX防火墙上的活跃的TELNET管理会话
write存储、查看或删除当前的配置
xlate(clear and show)查看或清除转换槽信息
=========================
防火墙在互联网中起着非常重要的作用,它通过检查和过滤进出网络的每一个数据包,保护企业内部网免受外来攻击。防火墙产品一般分为硬件和软件2种,硬件防火墙采用专用的硬件设备,然后集成生产厂商的专用防火墙软件; 软件防火墙一般基于某个操作系统平台开发,直接在计算机上进行软件的安装和配置。相对于软件防火墙而言,硬件防火墙往往能提供更优越的网络速度和性能,Cisco公司的PIX防火墙就是一种典型的企业级硬件防火墙产品。 一、Cisco PIX的特点
作为一种硬件防火墙,Cisco PIX的优势有两点:第一,网络性能相当不错,Cisco PIX可以提供2~6个100Mbps快速以太网接口,能够满足大部分的应用需求。与软件防火墙相比,它的包处理速度和转发速度要快得多。第二,Cisco PIX中包含了丰富的基于IPsec的VPN服务软件,VPN能够提供站点到站点之间和远程客户端到站点之间的安全访问,不过需要另外的一台认证服务器。
Cisco PIX的不足之处是管理完全基于命令行方式,如果用户需要图形化的管理界面,就必须到Cisco网站上下载一个管理软件;另外,Cisco PIX的监视和日志功能有限,为了记录日志,还必须下载一个基于Windows NT的PIX Firewall Syslog Server才行。Cisco PIX无法根据用户名或工作组来进行安全策略管理,而只能通过IP地址进行管理,而且实施安全策略管理还需要购买另一个软件包CSPM(Cisco Security Policy Manager)。
二、Cisco PIX的管理和配置
现在,我们通过一个相对简单的示例说明如何使用Cisco PIX对企业内部网络进行管理。网络拓扑图如附图所示。Cisco PIX安装2个网络接口,一个连接外部网段,另一个连接内部网段,在外部网段上运行的主要是DNS服务器,在内部网段上运行的有WWW服务器和电子邮件服务器,通过Cisco PIX,我们希望达到的效果是:对内部网络的所有机器进行保护,WWW服务器对外只开放80端口,电子邮件服务器对外只开放25端口。具体操作步骤如下。
/qzone/newblog/v5/editor/css/loading.gif498)this.style.width=498;" border=0> 1. 连接一台控制终端
页:
[1]