您的位置: 学习网(Gzu521.com) >> 学习资料 >> IT认证 >> 思科认证 >> 文章正文

学习网考试学习资料

Gzu521.com

Cisco四种类型的防火墙技术汇总(5)(1)

思科认证   点击:次   发布时间:2006-8-9   【字体: 】   来源:Gzu521.com
Gzu521.com学习网
六、pix与路由器的结合配置 
   (一)、pix防火墙  BqW!NC'6V[本文 来源 于我 的学习 网IT认证思科认证 WWW.GZU521.COM )BqW!NC'6V
   1、设置pix防火墙的外部地址: 
   ip address outside 131.1.23.2 
   2、设置pix防火墙的内部地址: 
   ip address inside 10.10.254.1 
   3、设置一个内部计算机与internet上计算机进行通信时所需的全局地址池: 
   global1 131.1.23.10-131.1.23.254 
   4、允许网络地址为10.0.0.0的网段地址被pix翻译成外部地址: 
   nat 110.0.0.0 
   5、网管工作站固定使用的外部地址为131.1.23.11: 
   static 131.1.23.11 10.14.8.50 
   6、允许从rtra发送到到网管工作站的系统日志包通过pix防火墙: 
   conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255 
   7、允许从外部发起的对邮件服务器的连接(131.1.23.10): 
   mailhost 131.1.23.10 10.10.254.3 
   8、允许网络管理员通过远程登录管理ipx防火墙: 
   telnet 10.14.8.50 
   9、在位于网管工作站上的日志服务器上记录所有事件日志: 
   syslog facility 20.7 
   syslog host 10.14.8.50 
   (二)、路由器rtra 
   rtra是外部防护路由器,它必须保护pix防火墙免受直接攻击,保护ftp/http服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。 
   1、阻止一些对路由器本身的攻击: 
   no service tcps mall-servers 
   2、强制路由器向系统日志服务器发送在此路由器发生的每一个事件 : 
   3、此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上: 
   logging 131.1.23.11 
   4、保护pix防火墙和http/ftp服务器以及防卫欺骗攻击(见存取列表): 
   enable secret xxxxxxxxxxx 
   interface ethernet 0 
   ipaddress 131.1.23.1 255.255.255.0 
   interfaceserial 0 
   ip unnumbered ethernet 0 
   ip access-group 110 in 
   5、禁止任何显示为来源于路由器rtra和pix防火墙之间的信息包,这可以防止欺骗攻击: 
   access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog 
   6、防止对pix防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接pix防火墙外部接口的事件: 
   access-list 110 deny ip any host 131.1.23.2 log 
   7、允许已经建立的tcp会话的信息包通过: 
   access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established 
   8、允许和ftp/http服务器的ftp连接: 
   access-list 110 permit tcp any host 131.1.23.3 eq ftp 
   9、允许和ftp/http服务器的ftp数据连接: 
   access-list 110 permit tcp any host 131.1.23.2 eq ftp-data 
   10、允许和ftp/http服务器的http连接: 
   access-list 110 permit tcp any host 131.1.23.2 eq www 
   11、禁止和ftp/http服务器的别的连接并记录到系统日志服务器任何企图连接ftp/http的事件: 
   access-list 110 deny ip any host 131.1.23.2 log 
   12、允许其他预定在pix防火墙和路由器rtra之间的流量: 
   access-list 110 permit ip any 131.1.23.0 0.0.0.255 

本文共2页:上一页12下一页

责任编辑:gzu521

本类相关文章:
 经典案例分析:安全第一在router上使用ssh
 资料分享——CCNP-CIT中文笔记(二)
 资料分享——CCNP-CIT中文笔记(一)
 企业网络规划对工作效率的影响
 SSL协议让网络上的数据传输更安全
 网吧电影服务器解决方案完全指南
 无线网攻击工具进攻方法及防范技巧
 Cisco指导:PC端口完全解析
 GSM数字移动通信无线网络规划设计探讨
 讲述电信禁止路由上网的破解方法
 思科考试300个问题全解系列之二(2)
 思科考试300个问题全解系列之二(1)
更多相关信息->
IT认证分类
计算机软件水平考试
全国计算机等级考试
思科认证
微软认证
ORACLE/CIW认证
Linux认证
JAVA认证
其它认证
分类推荐信息
更多...
大类最新文章
更多...