页面打开中,请稍候...
www.Gzu521.com
| 贵州学习网—属于你的学习中心 |
|
希望此文能够对渴望了解ADSL技术、微软proxy软件以及思科防火墙的网友有所帮助。 浙江人民广播电台宽带上网解决方案 sczd/文 浙江广电采用adsl宽带上网,一共是两路线,每路512k,动态分配地址。解 决方案要求做到: 1、鉴于高带宽带来的潜在风险,要求方案中必须包含防火墙的功能,以保障 内部网络的安全。 2、对于内部网的出去情况应能实现最大程度的监控。其中控制部分应能实现 ip地址与用户级双重控制,如果能够控制到具体的应用则更好。监视部分应能对 用户的访问情况进行详细的记录。 3、对目前的两路线应能进行统一、灵活的管理,还应考虑日后线路可能增加 的问题。 实际中采用ms proxy2.0代理与CISCO pix520防火墙相结合的设计,较好 的实现了安全性与可控性。 具体方案如下: 将整个网络划为三个部分:内部区、隔离区、外部区。内部区即电台采编网, 为172.16.0.0/16网段,静态地址。内部区与隔离区由pix防火墙隔开(内部网交换 机通过普通网线连接到防火墙的内网卡),这里防火墙的作用是阻隔向内的任何访 问,并可在ip地址级对向外的访问进行控制,同时将可以出去的ip地址转化为隔 离区的网段地址10.0.0.0/8。隔离区是一个小hub,向内连接防火墙的外网卡,向 外连接两台代理服务器的两个内网卡,隔离区主要起到缓冲区的作用,以实现纵深 防御。隔离区通过代理服务器连到外部区,其中代理服务器的内网卡连接到隔离区 的hub,外网卡与adsl modem相连,代理服务器能够实现用户级的访问控制,并 将来自内部合法用户的ip地址(已经被pix防火墙转化过一次)转化为代理本身 的地址与外部区即互联网相连。 以下是具体的参数配置: 防火墙部分配置参数清单(通过超级终端进入后,在配置模式下键入write terminal命令或show configure命令可以查看配置清单。其中没有注释三个星号的 命令行均为系统默认设置) 命令行 注释 nameif ethernet0 outside security0 *** /*定义防火墙外网卡名为 outside,密级为最低的0级*/ nameif ethernet1 inside security100 *** /*定义防火墙内网卡名为 inside,密级为最高的100级*/ enable password 8ry2yjiyt7rrxu24 encrypted /*显示特权模式的密码, 因为设置密码时没有特别说明是明文显示,所以这里以密文方式显示*/ passwd 2kfqnbnidi.2kyou encrypted /*密文显示telnet远 程访问密码*/ hostname pixfirewall /*防火墙主机的名字*/ fixup protocol Ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 names /*执行该命令后即可 对每个端口的ip地址定义一个字符串的名字*/ access-list acl_in permit tcp any any *** /*允许由内向外的tcp数据 , 其中最后的两个any表示不对源和目标地址做任何限制,本命令必须与后面的 access-group命令捆绑起来才能生效*/ access-list acl_in permit udp any any *** /*允许由内向外的udp数据 , 其中最后的两个any表示不对源和目标地址做任何限制,本命令必须与后面的 access-group命令捆绑起来才能生效*/ pager lines 24 /*一屏显示的行数*/ logging on /*启用日志服务,可以 具体配置将哪些事件写入到pix本身的缓存或者专门的日志服务器中*/ no logging timestamp no logging standby no logging console no logging monitor no logging buffered no logging trap no logging history logging facility 23 logging queue 512 interface ethernet0 auto /*设置网卡双工模式为 auto*/ interface ethernet1 auto mtu outside 1500 /*定义通过网卡的最大 ip包长度,超过此长度的包将被分割成几个包*/ mtu inside 1500 ip address outside 10.0.0.1 255.0.0.0 *** /*定义外网卡ip地址和掩码 */ ip address inside 172.16.0.240 255.255.0.0 *** /*定义内网卡ip地址和掩码 */ no failover /*没有第二台双机热备 pix防火墙*/ failover timeout 0:00:00 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 arp timeout 14400 global (outside) 1 10.0.0.20-10.0.0.254 *** /*所有允许出去的ip地址都 被转化为10.0.0.20-10.0.0.254这个网段里的某个地址。当并发用户超过这段的地址 数时,pix会自动启动pat服务,使每个转换地址最多可“容纳”65536个内部地址 */ nat (inside) 1 0.0.0.0 0.0.0.0 0 0 *** /*启用内部任意ip地址出去 , 注意此命令好像一个开关,必须打开,内部才能访问外部。此命令与上一条global 命令捆绑使用,捆绑识别号为1*/ access-group acl_in in interface inside *** /*与前面的access-list命 令捆 绑使用,捆绑代号为acl_in,表示将access-list命令作用于内网卡*/ timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00  |
责任编辑:gzu521
您现在的位置:
